Controle de MAC ADDRESS + Squid



  • Boa tarde à todos !

    Com base no procedimento deste link:

    http://forum.pfsense.org/index.php?topic=43663.0;prev_next=prev

    Gostaria de um help nas configurações complementares do link acima, a necessidade é:

    Os usuários da rede, trocam de IP uns entre os outros, assim alguns tem mais privilégios que os outros, devido o Squid estava configurado com privilégios de GRUPOS;

    Solução 1º

    Amarrar o usuário com MAC ADDRESS da máquina, assim que o usuário trocar de IP, o MAC ADDRESS não vai mais pertencer a aquele IP e o usuário não deverá navegar na INTERNET

    Solução 2º

    Criar uma GPO no AD, fazendo a desativação das Conexões de Rede do usuário, porém testamos no Windows 7 está solução e não tivemos sucesso!!!

    Por favor!  Necessitamos de um ajuda na Solução 1º, muito obrigado.

    Mendaxcn



  • @mendaxcn:

    Por favor!  Necessitamos de um ajuda na Solução 1º, muito obrigado.

    Mesmo com o squid compilado para filtro por mac(não lembro se os pacotes atuais tem esta opção), a autenticação só funciona no mesmo segmento de rede.

    Sei que o squid 3.2 já tem esta opção no menu do ports, mas ainda não tenho previsão de quando vou/vão portar para o pfsense.

    Doações podem agilizar este processo  ;)



  • Pra você amarrar o IP ao MAC basta ir no dhcp, marcar Enable Static ARP entries, cadastrar os IPs e fazer o filtro do squid por IP.



  • @kelsen:

    Pra você amarrar o IP ao MAC basta ir no dhcp, marcar Enable Static ARP entries, cadastrar os IPs e fazer o filtro do squid por IP.

    Olá como vai? Obrigado pela força! Mas ai tenho um problema, vou ter que habilitar o DHCP na rede, este será um outro problema, porém vamos estudar o caso. Agora preciso de um help por favor!  para liberar alguns IP's de servidores para acesso a internet full com NAT e bloquear os outros IP's para não fazer parte deste NAT e o restante dos IP's utilizarem o Squid para a navegação, porém mesmo eu já bloqueando a entrada de tráfego na WAN eu não consigo fazer este procedimento, poderia me ajudar por favor?  Muito obrigado.

    Mendax




  • Bloquear a entrada de tráfego na WAN não tem nada haver com seu problema, além disso a policy padrão pra WAN no pfsense é bloquear, ou seja, tudo que estiver entrando na WAN é bloqueado por padrão. Você resolve seu problema simplesmente criando uma regra na LAN bloqueando as portas 80 e 443, outra regra encima dessa última liberando o acesso a todas as portas ou as portas 80 e 443 para os ips dos servidores(essas duas regras devem estar acima da regra padrão da LAN que libera tudo caso vc não tenha desativado ou excluído ela). Se o proxy for manual, basta configurá-lo e setar no navegador, se for transparente, o bloqueio da porta 443 não funciona, e sites que utilizam https como facebook estará desbloqueado, minha sugestão é que utilize proxy manual e ative o dhcp amarrando os ips ao mac.



  • @mendaxcn:

    Boa tarde à todos !

    Com base no procedimento deste link:

    http://forum.pfsense.org/index.php?topic=43663.0;prev_next=prev

    Gostaria de um help nas configurações complementares do link acima, a necessidade é:

    Os usuários da rede, trocam de IP uns entre os outros, assim alguns tem mais privilégios que os outros, devido o Squid estava configurado com privilégios de GRUPOS;

    Solução 1º

    Amarrar o usuário com MAC ADDRESS da máquina, assim que o usuário trocar de IP, o MAC ADDRESS não vai mais pertencer a aquele IP e o usuário não deverá navegar na INTERNET

    Solução 2º

    Criar uma GPO no AD, fazendo a desativação das Conexões de Rede do usuário, porém testamos no Windows 7 está solução e não tivemos sucesso!!!

    Por favor!  Necessitamos de um ajuda na Solução 1º, muito obrigado.

    Mendaxcn

    Olá,

    A solução seria fazer como vc mencionou acima, amarando os mac com previlégios no squid, e depois criando a GPO no SRV2008 bloqueando o acesso na placa de rede, fazendo o seguinte vai até a GPO Configuracoes do usuário> modelos administrativos > rede > conexoes de rede
    e tira a permissão, depois faz no executar um gpupdate /force.

    Espero ter ajudado.



  • @marcohubert:

    @mendaxcn:

    Boa tarde à todos !

    Com base no procedimento deste link:

    http://forum.pfsense.org/index.php?topic=43663.0;prev_next=prev

    Gostaria de um help nas configurações complementares do link acima, a necessidade é:

    Os usuários da rede, trocam de IP uns entre os outros, assim alguns tem mais privilégios que os outros, devido o Squid estava configurado com privilégios de GRUPOS;

    Solução 1º

    Amarrar o usuário com MAC ADDRESS da máquina, assim que o usuário trocar de IP, o MAC ADDRESS não vai mais pertencer a aquele IP e o usuário não deverá navegar na INTERNET

    Solução 2º

    Criar uma GPO no AD, fazendo a desativação das Conexões de Rede do usuário, porém testamos no Windows 7 está solução e não tivemos sucesso!!!

    Por favor!  Necessitamos de um ajuda na Solução 1º, muito obrigado.

    Mendaxcn

    Olá,

    A solução seria fazer como vc mencionou acima, amarando os mac com previlégios no squid, e depois criando a GPO no SRV2008 bloqueando o acesso na placa de rede, fazendo o seguinte vai até a GPO Configuracoes do usuário> modelos administrativos > rede > conexoes de rede
    e tira a permissão, depois faz no executar um gpupdate /force.

    Espero ter ajudado.

    Olá como vai? Irei tentar fazer este procedimento e muito obrigado pela ajuda.

    Mendax



  • @kelsen:

    Bloquear a entrada de tráfego na WAN não tem nada haver com seu problema, além disso a policy padrão pra WAN no pfsense é bloquear, ou seja, tudo que estiver entrando na WAN é bloqueado por padrão. Você resolve seu problema simplesmente criando uma regra na LAN bloqueando as portas 80 e 443, outra regra encima dessa última liberando o acesso a todas as portas ou as portas 80 e 443 para os ips dos servidores(essas duas regras devem estar acima da regra padrão da LAN que libera tudo caso vc não tenha desativado ou excluído ela). Se o proxy for manual, basta configurá-lo e setar no navegador, se for transparente, o bloqueio da porta 443 não funciona, e sites que utilizam https como facebook estará desbloqueado, minha sugestão é que utilize proxy manual e ative o dhcp amarrando os ips ao mac.

    Olá desculpe! Errei no post o bloqueio está sendo feio na LAN e não na WAN como mencionei e vou fazer este procedimento que me falou e consegui bloquear o range inteiro do facebook, agora só estou com dificuldade de bloquear o range do Gmail, porém tem algumas pessoas que usam o Google Apps que está na mesma rede do Gmail.

    Estes funcionários acessam: https://mail.google.com/a/dominio.com.br

    Aí está o problema, se eu bloquear o Gmail também para o serviço do Google Apps, e tentei fazer como me disse, bloquear primeiro e liberar depois, porém não tive sucesso!

    Se possível poderia postar um print das regras como ficaram neste campo por favor?

    Muito obrigado.

    Mendax



  • Olha o arquivo em anexo, percebe que eu bloquei as portas 80 e 443 pra lan? dessa forma ninguém além do ip 192.168.0.1 vai poder navegar se não utilizar o proxy. É claro que vc pode criar um alias pras duas portas e fazer uma só regra pro bloqueio.
    Quanto ao gmail explique melhor oq voce pretende, voce não está utilizando o proxy pra bloquear? como estão as ACL's ?




  • @kelsen:

    Olha o arquivo em anexo, percebe que eu bloquei as portas 80 e 443 pra lan? dessa forma ninguém além do ip 192.168.0.1 vai poder navegar se não utilizar o proxy. É claro que vc pode criar um alias pras duas portas e fazer uma só regra pro bloqueio.
    Quanto ao gmail explique melhor oq voce pretende, voce não está utilizando o proxy pra bloquear? como estão as ACL's ?

    Olá desculpe a demora! Segue as ACL's e estou melhorando as mesmas, estou acertando os grupos, fazendo que o usuário só acesse o site que estiver no grupo que lhe pertence, segue:

    #–Liberacao de USUARIOS e GRUPOS

    GRUPO -> liberado  SOMENTE    -> usuarios_liberado.acl     -> Acesso irrestrito a INTERNET

    GRUPO -> restrito SOMENTE      ->  usuarios_restrito.acl    -> Acesso moderado a INTERNET

    GRUPO -> bloqueado SOMENTE  -> usuarios_bloqueado.acl  -> Acesso restrito a INTERNET

    #--Liberacao de GRUPOS

    acl liberado   url_regex -i "/var/squid/acl/grp/liberado.acl"
    acl restrito  url_regex -i "/var/squid/acl/grp/restrito.acl"
    acl bloqueado  url_regex -i "/var/squid/acl/grp/bloqueado.acl"

    #--Liberacao de USUARIOS

    acl usuarios_liberado  proxy_auth "/var/squid/acl/users/usuarios_liberado.acl"
    acl usuarios_restrito proxy_auth "/var/squid/acl/users/usuarios_restrito.acl"
    acl usuarios_bloqueado proxy_auth "/var/squid/acl/users/usuarios_bloqueado.acl"

    #--Liberacao de EXTENSOES (SITES)

    acl wl_extensoes url_regex -i "/var/squid/acl/extensoes/wl_extensoes.acl"
    http_access allow wl_extensoes usuarios_liberado usuarios_protegido usuarios_bloqueado

    #--Bloqueia de EXTENSOES (VIRUS, WORMS, AUDIO, VIDEO)

    acl bl_extensoes url_regex -i "/var/squid/acl/extensoes/bl_extensoes.acl"
    http_access deny bl_extensoes usuarios_liberado usuarios_protegido usuarios_bloqueado

    #--Bloqueio de USUARIOS blacklist

    http_access deny blacklist restrito usuarios_bloqueado
    http_access deny blacklist bloqueado usuarios_bloqueado

    #--Liberacao de USUARIOS whitelist USUARIOS

    http_access allow whitelist liberado  usuarios_liberado
    http_access allow deny restrito  usuarios_restrito !liberado  !usuarios_liberado
    http_access allow deny bloqueado  usuarios_bloqueado !liberado  !usuarios_liberado

    Muito obrigado pela força!

    Mendax


Locked