Controle de MAC ADDRESS + Squid
-
Boa tarde à todos !
Com base no procedimento deste link:
http://forum.pfsense.org/index.php?topic=43663.0;prev_next=prev
Gostaria de um help nas configurações complementares do link acima, a necessidade é:
Os usuários da rede, trocam de IP uns entre os outros, assim alguns tem mais privilégios que os outros, devido o Squid estava configurado com privilégios de GRUPOS;
Solução 1º
Amarrar o usuário com MAC ADDRESS da máquina, assim que o usuário trocar de IP, o MAC ADDRESS não vai mais pertencer a aquele IP e o usuário não deverá navegar na INTERNET
Solução 2º
Criar uma GPO no AD, fazendo a desativação das Conexões de Rede do usuário, porém testamos no Windows 7 está solução e não tivemos sucesso!!!
Por favor! Necessitamos de um ajuda na Solução 1º, muito obrigado.
Mendaxcn
-
Por favor! Necessitamos de um ajuda na Solução 1º, muito obrigado.
Mesmo com o squid compilado para filtro por mac(não lembro se os pacotes atuais tem esta opção), a autenticação só funciona no mesmo segmento de rede.
Sei que o squid 3.2 já tem esta opção no menu do ports, mas ainda não tenho previsão de quando vou/vão portar para o pfsense.
Doações podem agilizar este processo ;)
-
Pra você amarrar o IP ao MAC basta ir no dhcp, marcar Enable Static ARP entries, cadastrar os IPs e fazer o filtro do squid por IP.
-
Pra você amarrar o IP ao MAC basta ir no dhcp, marcar Enable Static ARP entries, cadastrar os IPs e fazer o filtro do squid por IP.
Olá como vai? Obrigado pela força! Mas ai tenho um problema, vou ter que habilitar o DHCP na rede, este será um outro problema, porém vamos estudar o caso. Agora preciso de um help por favor! para liberar alguns IP's de servidores para acesso a internet full com NAT e bloquear os outros IP's para não fazer parte deste NAT e o restante dos IP's utilizarem o Squid para a navegação, porém mesmo eu já bloqueando a entrada de tráfego na WAN eu não consigo fazer este procedimento, poderia me ajudar por favor? Muito obrigado.
Mendax
-
Bloquear a entrada de tráfego na WAN não tem nada haver com seu problema, além disso a policy padrão pra WAN no pfsense é bloquear, ou seja, tudo que estiver entrando na WAN é bloqueado por padrão. Você resolve seu problema simplesmente criando uma regra na LAN bloqueando as portas 80 e 443, outra regra encima dessa última liberando o acesso a todas as portas ou as portas 80 e 443 para os ips dos servidores(essas duas regras devem estar acima da regra padrão da LAN que libera tudo caso vc não tenha desativado ou excluído ela). Se o proxy for manual, basta configurá-lo e setar no navegador, se for transparente, o bloqueio da porta 443 não funciona, e sites que utilizam https como facebook estará desbloqueado, minha sugestão é que utilize proxy manual e ative o dhcp amarrando os ips ao mac.
-
Boa tarde à todos !
Com base no procedimento deste link:
http://forum.pfsense.org/index.php?topic=43663.0;prev_next=prev
Gostaria de um help nas configurações complementares do link acima, a necessidade é:
Os usuários da rede, trocam de IP uns entre os outros, assim alguns tem mais privilégios que os outros, devido o Squid estava configurado com privilégios de GRUPOS;
Solução 1º
Amarrar o usuário com MAC ADDRESS da máquina, assim que o usuário trocar de IP, o MAC ADDRESS não vai mais pertencer a aquele IP e o usuário não deverá navegar na INTERNET
Solução 2º
Criar uma GPO no AD, fazendo a desativação das Conexões de Rede do usuário, porém testamos no Windows 7 está solução e não tivemos sucesso!!!
Por favor! Necessitamos de um ajuda na Solução 1º, muito obrigado.
Mendaxcn
Olá,
A solução seria fazer como vc mencionou acima, amarando os mac com previlégios no squid, e depois criando a GPO no SRV2008 bloqueando o acesso na placa de rede, fazendo o seguinte vai até a GPO Configuracoes do usuário> modelos administrativos > rede > conexoes de rede
e tira a permissão, depois faz no executar um gpupdate /force.Espero ter ajudado.
-
Boa tarde à todos !
Com base no procedimento deste link:
http://forum.pfsense.org/index.php?topic=43663.0;prev_next=prev
Gostaria de um help nas configurações complementares do link acima, a necessidade é:
Os usuários da rede, trocam de IP uns entre os outros, assim alguns tem mais privilégios que os outros, devido o Squid estava configurado com privilégios de GRUPOS;
Solução 1º
Amarrar o usuário com MAC ADDRESS da máquina, assim que o usuário trocar de IP, o MAC ADDRESS não vai mais pertencer a aquele IP e o usuário não deverá navegar na INTERNET
Solução 2º
Criar uma GPO no AD, fazendo a desativação das Conexões de Rede do usuário, porém testamos no Windows 7 está solução e não tivemos sucesso!!!
Por favor! Necessitamos de um ajuda na Solução 1º, muito obrigado.
Mendaxcn
Olá,
A solução seria fazer como vc mencionou acima, amarando os mac com previlégios no squid, e depois criando a GPO no SRV2008 bloqueando o acesso na placa de rede, fazendo o seguinte vai até a GPO Configuracoes do usuário> modelos administrativos > rede > conexoes de rede
e tira a permissão, depois faz no executar um gpupdate /force.Espero ter ajudado.
Olá como vai? Irei tentar fazer este procedimento e muito obrigado pela ajuda.
Mendax
-
Bloquear a entrada de tráfego na WAN não tem nada haver com seu problema, além disso a policy padrão pra WAN no pfsense é bloquear, ou seja, tudo que estiver entrando na WAN é bloqueado por padrão. Você resolve seu problema simplesmente criando uma regra na LAN bloqueando as portas 80 e 443, outra regra encima dessa última liberando o acesso a todas as portas ou as portas 80 e 443 para os ips dos servidores(essas duas regras devem estar acima da regra padrão da LAN que libera tudo caso vc não tenha desativado ou excluído ela). Se o proxy for manual, basta configurá-lo e setar no navegador, se for transparente, o bloqueio da porta 443 não funciona, e sites que utilizam https como facebook estará desbloqueado, minha sugestão é que utilize proxy manual e ative o dhcp amarrando os ips ao mac.
Olá desculpe! Errei no post o bloqueio está sendo feio na LAN e não na WAN como mencionei e vou fazer este procedimento que me falou e consegui bloquear o range inteiro do facebook, agora só estou com dificuldade de bloquear o range do Gmail, porém tem algumas pessoas que usam o Google Apps que está na mesma rede do Gmail.
Estes funcionários acessam: https://mail.google.com/a/dominio.com.br
Aí está o problema, se eu bloquear o Gmail também para o serviço do Google Apps, e tentei fazer como me disse, bloquear primeiro e liberar depois, porém não tive sucesso!
Se possível poderia postar um print das regras como ficaram neste campo por favor?
Muito obrigado.
Mendax
-
Olha o arquivo em anexo, percebe que eu bloquei as portas 80 e 443 pra lan? dessa forma ninguém além do ip 192.168.0.1 vai poder navegar se não utilizar o proxy. É claro que vc pode criar um alias pras duas portas e fazer uma só regra pro bloqueio.
Quanto ao gmail explique melhor oq voce pretende, voce não está utilizando o proxy pra bloquear? como estão as ACL's ?
-
Olha o arquivo em anexo, percebe que eu bloquei as portas 80 e 443 pra lan? dessa forma ninguém além do ip 192.168.0.1 vai poder navegar se não utilizar o proxy. É claro que vc pode criar um alias pras duas portas e fazer uma só regra pro bloqueio.
Quanto ao gmail explique melhor oq voce pretende, voce não está utilizando o proxy pra bloquear? como estão as ACL's ?Olá desculpe a demora! Segue as ACL's e estou melhorando as mesmas, estou acertando os grupos, fazendo que o usuário só acesse o site que estiver no grupo que lhe pertence, segue:
#–Liberacao de USUARIOS e GRUPOS
GRUPO -> liberado SOMENTE -> usuarios_liberado.acl -> Acesso irrestrito a INTERNET
GRUPO -> restrito SOMENTE -> usuarios_restrito.acl -> Acesso moderado a INTERNET
GRUPO -> bloqueado SOMENTE -> usuarios_bloqueado.acl -> Acesso restrito a INTERNET
#--Liberacao de GRUPOS
acl liberado url_regex -i "/var/squid/acl/grp/liberado.acl"
acl restrito url_regex -i "/var/squid/acl/grp/restrito.acl"
acl bloqueado url_regex -i "/var/squid/acl/grp/bloqueado.acl"#--Liberacao de USUARIOS
acl usuarios_liberado proxy_auth "/var/squid/acl/users/usuarios_liberado.acl"
acl usuarios_restrito proxy_auth "/var/squid/acl/users/usuarios_restrito.acl"
acl usuarios_bloqueado proxy_auth "/var/squid/acl/users/usuarios_bloqueado.acl"#--Liberacao de EXTENSOES (SITES)
acl wl_extensoes url_regex -i "/var/squid/acl/extensoes/wl_extensoes.acl"
http_access allow wl_extensoes usuarios_liberado usuarios_protegido usuarios_bloqueado#--Bloqueia de EXTENSOES (VIRUS, WORMS, AUDIO, VIDEO)
acl bl_extensoes url_regex -i "/var/squid/acl/extensoes/bl_extensoes.acl"
http_access deny bl_extensoes usuarios_liberado usuarios_protegido usuarios_bloqueado#--Bloqueio de USUARIOS blacklist
http_access deny blacklist restrito usuarios_bloqueado
http_access deny blacklist bloqueado usuarios_bloqueado#--Liberacao de USUARIOS whitelist USUARIOS
http_access allow whitelist liberado usuarios_liberado
http_access allow deny restrito usuarios_restrito !liberado !usuarios_liberado
http_access allow deny bloqueado usuarios_bloqueado !liberado !usuarios_liberadoMuito obrigado pela força!
Mendax