Liberação / Criação de grupos acesso total a internet



  • Prezados, Bom dia!
    Comecei a mais ou menos uns 20 dias em uma empresa, onde tenho algumas dificuldades com o firewall pfsense.
    sou um bom conhecedor de firewall cisco e sonicwall, porém nunca havia mexido com pfsense.
    Estou meio confuso, não estendi como fazer a liberação de ips ou criação de grupos (onde eu possa adicionar os ips) para acesso total a internet. Esta solicitação me foi feita a mais ou menos 2 dias, porém já li e reli vários materiais e cada um explica de um jeito diferente. Não sei dizer se aqui esta ativado o squidguard ou não, tem algo que eu possa passar pra vocês, para identificarem?
    como vocês fariam para fazer a criação de um grupo com acesso total a internet?
    Eu fui la em proxy filter, adicionei um grupo web liberado e mesmo adicionando os ips em cliente source na pagina desta guia, os mesmos não foram liberados. Como fazer? estou super confuso com esse firewall, parece que tudo que aplico aparentemente certo, não funciona. Será que tem alguém ai pra me dar uma mão? desde já, obrigado!



  • Use os alias(firewall->aliases) para criar seus grupos de ips

    depois associe este grupo a uma regra na LAN(firewall-> Rules)

    E é claro, seja bem vindo ao fórum!  :)



  • Opa! Valeu pelas boas vindas  ;)

    OK, ate cheguei ate aqui no que você explicou, tenho em firewall aliases um grupo chamado maquinas_ti onde esse grupo tem meu ip, certo?
    la em firewall rules, na guia lan, como associo o grupo criado (que deve ter acesso total a internet) a regra?
    Entrei em criar new rule, porém não vejo campo pra associar a regra do aliases, além disto como crio a saída? exemplo feito que não deu certo: em protocolo marquei qualquer um (any), em source coloquei meu host/ip, no destino que fiquei confuso, coloco o que? e no destionation port range marco any também?
    Obrigado pelo apoio e fico no aguardo!



  • Boa tarde pessoal!

    Sou novo no fórum, estou começando a aprender a utilizar o pfSense (6 dias) mas vamos lá
    vou tentar dar minha primeira contribuição ao colega phg_moura, se por um acaso meu procedimento
    estiver incompleto, peço ajuda dos mais experientes para complementar minha resposta.

    Como o marcelloc falou, para você referenciar um grupo de usuários crie um alias em (Forewall > Aliases) e nele adicione os ip's que vão fazer parte de sua regra com tudo liberado.
    Depois você precisa autorizar o tráfego destes usuários na interface LAN (Firewall > Rules) da seguinte forma:
    Action > pass
    Interface > LAN
    Protocol > any
    Em Source, Type vc seleciona "Single host or alias" e em Address vc coloca o nome do alias que criou (o auto completar vai te ajudar).
    Destination > any
    salve e aplique a regra.

    Espero ter ajudado de alguma forma.



  • é realmente eu já tinha feito também deste modo (que é o mais fácil) porém mesmo após salvar e aplicar a regra, ainda aparece a mensagem de erro: (fiz um teste com um site que normalmente é bloqueado para todos os usuários)…alguma outra dica?

    Request denied by pfSense proxy: 403 Forbidden
    Reason:

    Client address:  192.168.5.61
    Client group:  default
    Target group:  blk_BL_socialnet
    URL:  http://pt-br.facebook.com/



  • phg_moura, pela mensagem que você postou, o que não está permitindo teu acesso é o SquidGuard e não as regras de firewall.
    O SquidGuard você configura em (Services > Proxy Filter), na aba Commom ACL e clicando no botão verde (Targe Rules List) vai te expandir tuas "Categorias alvo" e ai está o controle do conteúdo dos usuários.
    Pelo que vi o Client group que está usando é o default, ainda não fiz isso (estou testando agora), mas acho que seria só criar outro grupo em Groups ACL, deixar tudo liberado e vincular a regra com os teus usuários liberados.



  • Sim, exatamente. Mas já fiz isto, criei uma regra teste_ti e adicionei meu IP, no comon acl cliquei no botão verde e no grupo criado deixei como allow (permitido) porém também sem sucesso.
    Outra coisa, isso que ta me deixando mais confuso ainda, se eu criei uma regra no firewall dizendo que a maquina 192.168.x.x tem que acessar qualquer coisa independente de existirem os grupos no proxy filter deveria ter liberado ate onde esta meu entendimento.

    Pelo menos no sonicwall era assim, IP 10.0.0.X, 10.0.1.X era restrito somente a bancos, receita federal e etc…ip 10.0.2.x era liberado tudo menos essas porcarias de redes sociais, youtube e etc, e IP 10.0.3.x era extremamente tudo liberado. Eu tinha regras de bloqueio de sites e tinha essas categorias por ips, mas independente de eu ter regras bloqueando sites, o que eu determinava pelo grupo de IP funcionava, mas no pfsense não...não entendi...sinceramente...to desistindo...estou extremamente certo do que estou fazendo, mesmo antes de ter aberto este tópico pedindo uma luz...rsrsrs..mas não funciona..



  • phg_moura, testei e funcionou da seguinte forma, no SquidGuard na aba Group ACL crie uma nova e Client (source) coloque os ip's dos pc’s que vão ter a regra liberada, em target rulles se assegure que "Default access[all]" está como allow e em redirect mode selecione "none" salve e aplique.



  • Na msg no nevegador, o campo Client group:  está te retornando default?



  • sim…esta me retornando default...so pra não dizer que to louco, fiz de novo (do mesmo jeito que eu já tinha feito antes) e que você falou agora no groups acl mas não funciona, a mensagem ainda é a mesma...

    Request denied by pfSense proxy: 403 Forbidden
    Reason:

    Client address:  192.168.5.61
    Client group:  default
    Target group:  blk_BL_socialnet
    URL:  http://pt-br.facebook.com/

    só um detalhe, aqui temos 2 controladores de domínio, cada domínio com seu respectivo nome, pois são 2 empresas que se juntaram então administro os 2 controladores, porém 1 deles usa o bloqueio por proxy, não passa nem pelo firewall pfsense ate onde sei...e outro não usa proxy, é o pfsense...tem alguma coisa a ver ou nada a ver? sera que por tras do pfsense tem alguma outra coisa travando?



  • Cara uma pergunta, depois de salvar você foi na aba General Settings e deu um apply?
    Se sim, teria como postar um print das configs em Groups ACL?
    Pq aqui para mim funcionou!


Locked