Squid + SquidGuard - não transparente: Problemas com Rede Local



  • Pessoal,

    Já tenho squid+squidGuard rodando há algum tempo na minha rede em modo transparente. Porém parece que é impossível filtrar https em modo transparente, por isso resolvi forçar a navegação pela porta 3128, e me deparei com os seguintes problemas:

    1. Os usuários não conseguem acessar hosts locais por nome, como: http://servidor1/ - (sem .dominio.com)

    2. Os usuários não conseguem acessar hosts locais por IP, como: http://x.x.x.x/ (sim, eu bloqueio acesso por IP, mas preciso pelo menos liberar os IPs locais).

    3. Os usuários não conseguem acessar hosts locais ou não, com aplicações que rodam em outras portas, como: http://servidor1:8080/ ou http://x.x.x.x:8080/

    Tentei adicionar estas opções nas whitelists do squidGuard, mas ele nem aceitou a configuração, acusou erro ao inserir a url só com o nome do servidor ou só com o IP.

    Alguém pode me dar uma idéia como proceder?
    Grato.
    Rafael



  • Se estiver usando a detecção automática de proxy, cadastre as redes/hosts que você não quer que passem pelo proxy.

    Se estiver marcando o browser na mão ou via ad, marque a opção para não usar proxy para endereços locais.



  • marcelloc, obrigado pela resposta. Já havia tentado isso sem muito sucesso. Não estou utilizando a detecção automática de proxy.

    To com um lab aqui, e acho que consegui uma evolução para o problema 2:

    Na white list, em Target Categories, se colocar somente o IP no campo Domains list, ele passa a aceitar.

    Para o problema 1, se adicionar o nome do host que deseja acessar pelo browser ("servidor1") no campo Expressions, a principio ele deixa de bloquear, mas aparece um erro do Squid falando que ele não conseguiu resolver este nome. Talvez seja necessário apontar o campo "Use alternate DNS-servers for the proxy-server" na configuração do Squid para o DNS da rede Local, mas não consegui simular isto ainda.



  • @Rafael:

    Já tenho squid+squidGuard rodando há algum tempo na minha rede em modo transparente. Porém parece que é impossível filtrar https em modo transparente, por isso resolvi forçar a navegação pela porta 3128, e me deparei com os seguintes problemas:

    Você não vai conseguir trabalhar com filtro HTTPS se o Squid estiver em modo transparent. Se você deseja usar o Squid para verificar conexões HTTPS com eficácia, deixe-o em modo "não transparente"

    Abraços!
    Jack



  • JackL,

    Talvez você não tenha percebido, mas na descrição do problema informei que estou tentando sair do proxy transparente.

    Grato.
    Rafael



  • @Rafael:

    Talvez você não tenha percebido, mas na descrição do problema informei que estou tentando sair do proxy transparente.

    Opa… é verdade Rafael!

    Não tinha me dado conta do "não transparente" no título do seu post. Me ative apenas aquele trecho do corpo onde você dizia que estava num cenário com "squid+squidGuard rodando há algum tempo na minha rede em modo transparente".

    Bem, sendo assim, então basta marcar nas estações (você pode fazer isso manualmente diretamente no browser ou automatizar a função via GPO de AD, etc...) a opção para não usar proxy para endereços locais - Conforme já explicado pelo colega marcelloc!

    Quanto aos problemas relativos a resolução DNS, veja que a ordem de precedência (prioridade) para atender as requisições DNSs no pfSense é:

    • DNS Forwarder;

    • Quando a opção Allow DNS server list to be overridden by DHCP/PPP on WAN estiver marcada, o pfSense usará os servidores DNSs atribuídos pelo provedor à WAN;

    • Se nenhuma das condições acima forem satisfeitas, então o pfSense utilizará os DNSs Alternativos (cadastrados manualmente em "System: General Setup").

    Abraços!
    Jack


Log in to reply