Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)

andreartedesign

;D boa noite, sou novo no forum e instalei o PfSense no servidor da empresa (ele esta configurado no básico fazendo proxy) mais gostaria de configura-lo em modo totalmente – restrito -- bloqueando tudo e ir liberando sites, VPNs e portas de acordo com a necessidade... E faz autenticação com usuário no active Directory do windows 2008R2 só q não arrisco fazer sem opnião de vocês q mexe a mais tempo do q eu neste sistema. Ficaria grato! ::)

marcelloc

André, bem vindo ao fórum. :)

Leia e veja os tutoriais sobre regras e aliases, eles vão te ajudar a entender como o pfsense funciona.

O acesso externo
( wan -> lan ) já vem bloqueado por padrão. O que voce vai alterar são as regras da lan. Crie os acessos antes de desabilitar a regra padrão e lembre sempre de fazer backup antes de começar a alterar a configuração.

Como voce vai encontrar nos tutorias e tópicos do fórum, a integração de autenticacao é possivel desde que nao use proxy transparente.

leotomé

Cara… não sei se é a forma correta de se fazer, mas fiz o teste aqui e funcionou. Lá no squid onde tem a black list eu coloquei apenas um ponto ".", e ele bloqueia qualquer página, pois todas precisam do "." (.pagina.com.br) daí na lista de liberados fui colocando os sites permitidos.
Funcionou! Tenta aí! Espero ter ajudado! ;)

marcelloc

Usando em modo não transparente e bloqueando as outras portas, funciona sim.

Agora se o modelo é instalação padrão com o squid em modo transparente, então um simples https pula o bloqueio.

att,
Marcello Coutinho

vithort

Uma duvida marcelloc,

eu vi que tem um pacote Squid3 que diz que filtra HTTPS, como funcionaria?

Eu tenho que ter o squid e squid3 instalados juntos ou só funciona se tiver apenas um deles?

Ou de nenhum jeito funciona? rs

marcelloc

@vithort:

eu vi que tem um pacote Squid3 que diz que filtra HTTPS, como funcionaria?

Para filtrar acesso ssl no squid, basta marcar o proxy no browser do cliente(de forma manual ou usando WPAD/PAC).

A função de ssl também existe para o proxy reverso(quando você publica um ou mais sites em uma ou mais máquinas na sua rede interna e coloca o squid3 para fazer a segurança/distribuição das requisições usando pelo menos um ip público).

Para usá-lo, você precisa desinstalar o squid2.

Só lembrando que o squid3, principalmente nas funções de proxy reverso, está em versão beta.
Ainda tenho que testar o ssl com vários certificados e transferir as configurações específicas do owa da aba geral para a aba dos servidores internos.

att,
Marcello Coutinho

vithort

Desculpe a ignorancia,

Tenho um proxy transparente. Como faria para deixalo sem ser transparente? Já estou com muitos problemas com pessoas usando HTTPS para burlar os acessos e como hoje em dia quase todos os sites tem HTTPS fica dificil segurar o pessoal.

Pelo que imagino provavelmente deveria bloquear no firewall as portas:
TCP 80
TCP 443

Criar um NAT Port Forward:
(imagem em anexo)

O que mais eu deveria fazer? Ativar a opcao de Proxy no navegador? (imagem em anexo)
Ali devo colocar a direcao de meu proxy ou o que?

Exemplo:
Check - Usar um servidor proxy para a LAN
Direcao: 192.168.4.1 (IP de meu proxy)
Porta: 80

Assim deveria ser??

marcelloc

• Desabilite os nats

• crie as regras na wan bloqueando 80,443(prefiro bloquear tudo e liberar o que precisa, usando aliases e regras)

• Configure o browser do cliente com o ip da lan do pfsense e a porta do squid(na mesma tela que você postou)

vithort

Ficaria assim entao?

• Excluir os NAT Forward

• Criar Firewall Rules WAN:
  (imagem em anexo)

• Desativar a opcao Transparent Proxy em Proxy Server
  (imagem em anexo)

• Ativar Proxy no navegador:
  (imagem em anexo)
  Direcao: 192.168.4.1 (Proxy IP)
  Porta: 3128 (Squid Port)

??

Valeu!

marcelloc

A regra fica na lan e não na wan.

Sempre crie regras na interface onde a comunicação começa.

vithort

Olá marcelloc,

Fiz o que foi recomendado, mas antes de provar fiz as regras somente para meu computador na rede.

Funcionou, ele estava sem internet. Marquei o proxy no Navegador e funcionou.

O problema é que me aparece sempre a mensagem sem conexao (ver imagem), mesmo podendo navegar e tudo mais.

tem como resolver esse problema?

valeu!

marcelloc

@vithort:

tem como resolver esse problema?

Veja via tcpdump o que o windows tenta acessar para dizer se tem internet disponível ou não.

Talvez seja apenas consultas dns ou um icmp qualquer.

att,
Marcello Coutinho

vithort

Depois que eu fiz essas mudancas, meu proxy esta se comportando de maneira estranha…

esta me bloqueando até para acessar o Common ACL, Groups ACL, etc... quando tento acessar isso me sai a mensagem de erro do SquidGuard.

Alguma ideia do que pode ter acontecido?

pensei que poderia ter sido meu IP que estava bloqueado, mas mesmo mudando meu IP ou tentando de outro PC, ele sai o mesmo erro.

PS: mesmo mudando meu IP de 192.168.4.61 para 192.168.4.62 ele ainda sai a mensagem de Client 192.168.4.61 no erro do SquidGuard! Já reiniciei o Proxy e nada

vithort

Também quando tento entrar na interface LAN de meu proxy sai a mensagem "Request denied by pfSense proxy: 403 Forbidden"

Só consigo acessar as minhas WANs.

Eu consigo acessar o proxy em todas opcoes desde a WAN, já verifiquei se é alguma configuracao e nao identifiquei ainda …

alguma dica? (antes de restaurar o backup?)

vithort

provavelmente foi um bug no pfsense.

restaurei o backup e pronto.

valeu