Regras NAT/Firewall para Proxy's Virtuais



  • Caros,

    obtive uma sugestão do amigo marcelloc (http://forum.pfsense.org/index.php/topic,53657.msg287262.html#msg287262), em criar proxy's virtuais para cada rede que eu possuo (VLAN's).
    Admirei a idéia, pois desta forma consigo ter um controle melhor por departamentos, pois onde trabalho trata-se de um colégio (lê-se alunos).
    A modo transparente do proxy não é necessário, até crio os .pac para as redes (a propósito, como faço isto no pfSense?) ou manualmente mesmo.

    Para não fugir muito do assunto, minha dúvida é sobre como criar as regras para apontar estes proxy's virtuais para as redes; se vai ser via Floating, se vou poder ainda continuar com o Failover configurado, se as configurações vão ser dos dois lados (pfSense real e virtual)…
    Até cheguei a configurar o proxy sem ser transparente, mas como ele está em uma das VLAN's (não tenho rede na LAN), acabei saindo pelo gateway desta rede, ao invés do gateway da rede a qual eu estou.

    Desculpem me algum inconveniente.
    Abraços, obrigado!



  • Coloque cada proy na sua respectiva vlan. Desta forma ele vai usar a regra de balanceamento já definia.

    Se quiser usar um pool de proxy para isso com a ajuda do pac, crie as regras de balanceamento da vlan de proxies baseada no ip de cada um.



  • Marcelo,

    obrigado novamente. Farei desta forma e darei um retorno.
    Obrigado mais uma vez!



  • Caros,

    montei um servidor proxy (Squid) virtual, mas não usando o pfSense e está pronto e funcional.
    A idéia é que o pfSense distribua o wpad.dat para os clients da rede, porém não está acontecendo. Configurei o DNS Forwarder, DHCP (number, type e value) em cada interface, detecção automática no browser e alterei a extensão .pac para .dat (/etc/inc/system.inc).

    Consigo acessar e fazer o download do arquivo, via http://IP/wpad.dat (então, regra de firewall ok?). O que achei estranho, é que quando coloco HTTP no browser, ele muda para HTTPS. Acredito que isto aconteça pois é a forma em que eu acesso o pfSense. Mas isto implica na configuração automática do proxy?

    Usei esta função, alterando para o meu IP

    function FindProxyForURL(url,host)
    {
    return "PROXY 192.168.1.1:3128";
    }

    e depois esta, adaptada para a minha rede:

    **function FindProxyForURL(url, host) {
    // URL(s) local(s) de meu.domínio não precisa(m) de proxy:
    if (shExpMatch(url,".meu.domínio/")) {return "DIRECT";}
    if (shExpMatch(url, ".meu.domínio:/*")) {return "DIRECT";}

    // laboratórios de informática
    // 192.168.20.1 na porta 3128 (default Squid):
    if (isInNet(MyIPAdress(), "192.168.20.0", "255.255.255.0")) {return "PROXY 192.168.20.1:3128";}

    // administrativo
    // 192.168.0.1 na porta 3128 (default Squid):
    if (isInNet(MyIPAdress(), "192.168.0.0", "255.255.255.0")) {return "PROXY 192.168.0.1:3128";}

    // pedagógico
    // 192.194.21.1 na porta 3128 (default Squid):
    if (isInNet(MyIPAdress(), "192.194.21.0", "255.255.255.0")) {return "PROXY 192.194.21.1:3128";}

    // sem proxy ou falha, acesso direto à internet:
    return "DIRECT";
    }**

    e,

    Host: wpad
    Domain: meu.domínio
    IP Address: ip.do.pfSense.onde.está.o.wdap.dat
    Description: WPAD Autoconfigure Host

    Algo errado?
    Obrigado!



  • duas coisas:

    Não sei se o browser consegu puxar o script em https(é preciso testar)
    Ví em algum lugar que o windows7 não responde a função MyIPAdress(), o que dificulta na criação dos scripts.



  • Bom,

    agora vou trabahar encima destas duas informações que você me passou, postarei os resultados em seguida.
    Então este segundo script está certo, embora o Win7 não o possa ler?

    Obrigado!



  • @darkknight:

    Então este segundo script está certo, embora o Win7 não o possa ler?

    Ele le, só não interpreta/reponde a solicitação de ip em uso.



  • marcelloc,

    acabei usando uma outra solução Linux para gerenciar o proxy, em uma das minhas redes, que está funciando conforme nossas necessidades.
    Ainda não subi esta solução para produção, faltam alguns poucos detalhes.

    O que fazemos com o tópico, para não deixá-lo aberto e para quem futuramente não se perder, quando pesquisar o assunto?

    Obrigado, abraços!

    pfSense rules!


Log in to reply