Exigir que maquina passe pelo SQUID…
-
Ola, boa noite
Tenho muitas duvidas sobre o squid, já sanei muitas delas por aqui, obrigado a todos que participam com respostas. Hoje minha duvida é a seguinte, o squid não ta barrando nada :(. Vou explicar o senário aqui, a net chega no pfsense (instalado em somente o squid). LAN esta padrão 192.168.1.1, tenho um ap+router, ligo o cabo em umas das LAN´s dele, no router ligo um cabo que da para minha maquina (esta que estou teclando). Nela configuro manualmente IP fixo.
Agora os fatos, o pfsense esta configurado com o squid com proxy transparente, a maquina esta sem as configurações de proxy (configurado dentro de ferramentas em avançados, configurações de proxy). Estou conseguindo acessar a net sem problemas. Como faço para que com o proxy transparente exija que a maquina autentique nele? Preferencialmente com o proxy transparente.
Grato
Helton Luiz
-
Ola, boa noite
Tenho muitas duvidas sobre o squid, já sanei muitas delas por aqui, obrigado a todos que participam com respostas. Hoje minha duvida é a seguinte, o squid não ta barrando nada :(. Vou explicar o senário aqui, a net chega no pfsense (instalado em somente o squid). LAN esta padrão 192.168.1.1, tenho um ap+router, ligo o cabo em umas das LAN´s dele, no router ligo um cabo que da para minha maquina (esta que estou teclando). Nela configuro manualmente IP fixo.
Agora os fatos, o pfsense esta configurado com o squid com proxy transparente, a maquina esta sem as configurações de proxy (configurado dentro de ferramentas em avançados, configurações de proxy). Estou conseguindo acessar a net sem problemas. Como faço para que com o proxy transparente exija que a maquina autentique nele? Preferencialmente com o proxy transparente.
Grato
Helton Luiz
Helton,
na configuração do Squid você selecionou a interface que está plugando o roteador/notebook?
Quais sites você está testando? São HTTP ou HTTPS ? (O squid só filtra na porta 80).
Chegou a olhar o Log ?
Se for possível postar as telas de configuração facilita na ajuda.Abraço,
Bruno -
Como faço para que com o proxy transparente exija que a maquina autentique nele? Preferencialmente com o proxy transparente.
Autenticação e proxy transparente não funcionam juntos(exceto em alguns casos com ident)
Proxy transparente também não combina com filtro de urls ssl. Mesmo que sua configuração fique 100% o https tem que ser tratado via regra de firewall(liberando ou bloqueando.)
Você já habilitou o log do squid e deu uma olhada para ver se as requisições estão chegando nele?
-
Ola bom dia,
A autenticação que disse se refere a: para ter acesso a web a maquina tem que colocar obrigatoriamente as configurações do proxy, não usuário e senha. O que esta acontecendo aqui é que mesmo sem as configurações locais do proxy (na estação) consigo acessar internet. (porta que coloquei como padrão proxy 8080)
Grato
Helton Luiz
-
Ola bom dia,
A autenticação que disse se refere a: para ter acesso a web a maquina tem que colocar obrigatoriamente as configurações do proxy, não usuário e senha. O que esta acontecendo aqui é que mesmo sem as configurações locais do proxy (na estação) consigo acessar internet. (porta que coloquei como padrão proxy 8080)
Grato
Helton Luiz
Helton,
o proxy transparente dispensa justamente essa configuração no navegador. Na sua rede você não pode desmarcar essa opção e aplicar por GPO o proxy nas máquinas?abraço,
Bruno -
A autenticação que disse se refere a: para ter acesso a web a maquina tem que colocar obrigatoriamente as configurações do proxy
O WPAD/PAC existe exatamente para isso.
Aqui no forum mesmo você encontra informações de como configura-lo.
-
Ola a todos,
Obrigado pela a ajuda de todos que escreveram neste post, consegui arrumar da forma que preciso com a ajuda da Jessysato (muito obrigado Jéssika).
Seguinte, para bloquear o acesso a web fazendo com que a estação só acesse quando colocar o proxy nas configurações é bem simples1º cria um Gateway da Wan com o squid(proxy)
como?
system>>routing>>gateways>>+>>
interface: WAN
name: a escolha
marque: (X)Default Gateway
Monitor IP: IP_local_pfsense
salve2º Crie uma regra
como?
Firewall>>rules>>lan>>+
tcp+lannet+marcar seu Gatewey
salve3º desabilite (caso houver) a regra para acessar tudo
Segue imagens de como ficou cada passo.
Espero que ajude
Att
Helton Luiz
 -
Heltonlps,
Esta configuração apesar de ter funcionado, não está 100%.
Você esta forçanda o trafego para um gateway que é o mesmo do default e usando o ip do pfsense local(ou squid) como teste para saber se o link está up ou down???
Isso não faz muito sentido pra mim.Normalmente tudo o que você precisa é criar uma regra na lan bloqueando acesso a internet no lugar de liberar para um gateway inválido por exemplo.
att,
Marcello Coutinho -
Normalmente tudo o que você precisa é criar uma regra na lan bloqueando acesso a internet no lugar de liberar para um gateway inválido por exemplo.
Pois é, eu já havia indicado isto aqui…
http://forum.pfsense.org/index.php/topic,48873.msg258697.html#msg258697…mas adotaram outro procedimento.
-
Ola bom dia,
Se tem a forma certa gostaria de aprende-la, como não sou expert em freebsd, gostaria de um passo a passo detalhado de como posso faze-lo. Que só tenha acesso que estiver com o proxy marcado.
Obrigado
-
Heltonlps,
A configuração do cliente está correta.
Você já configurou as firewall para permitir acesso ao proxy e impedir acesso direto a internet?
Olhe os tutoriais aqui do fórum, vários deles tem screenshots de regras.
Este por exemplo mostra como criar uma regra para bloquear redes específicas. Execute o passo2 mudando destination para any em uma regra para protocolo http e outra regra igual para o protocolo https.
http://nextsense.com.br/blog/archives/402
-
""""Você já configurou as firewall para permitir acesso ao proxy e impedir acesso direto a internet?"""
isso que quero aprender detalhadamente
-
""""Você já configurou as firewall para permitir acesso ao proxy e impedir acesso direto a internet?"""
isso que quero aprender detalhadamente
É melhor ler isto pra entender melhor como funciona o pfsense.
http://forum.pfsense.org/index.php/topic,45007.0.html
-
ok
