Regra Firewall



  • Boa noite  todos,

    Sou novo no pfsense e estou gostando bastante. Preciso que meus usuários consigam fazer a atualização de tabels do programa sped fiscal, por exemplo.. para isso libero determinados ips no squid, porém existe uma regrar que precisa ser feita e que não estou encontrando como fazer no pfsense

    iptables -t nat -I PREROUTING -d "ipdestino"  -j ACCEPT

    pelo que vi o pfsense não usa o iptables, mas enfim, alguem sabe dizer como fazer essa regra ou se há outro jeito para fazer esse e outros programas que não aceitam configuração de proxy funcionarem?

    Grato desde já.



  • Sidnei, bem vindo ao fórum. :)

    Sugiro uma boa lida noa tutoriais antes de continuar sua configuração. O que voce quer faze é o mais básico de um firewall. Vá em firewall -> rules e crie sua regra de saída na interface de rede onde o trafego inicia(provavelmente LAN).



  • Olá Marcelo,

    Na verdade eu já fiz essa regra, agora a fim de testes está liberado tudo, sem nenhum tipo de bloqueio. O que pode ser que esteja acontecendo também é que ele não esteja conseguindo acessar diretamente o site (pois o squid pede autenticação). Já coloquei os endereços na whitelist do squid, ele acessa normalmente sem usuário e senha pelo navegador. Alguém consegue dar uma ajuda para fazer isso funcionar!?



  • Complementando, meu squid está configurado para autenticação de usuários. E criei uma regra que redireciona todo o tráfego da porta 80 e 443 para a 3128. Se eu desabilito a regra que redireciona o tráfego da 80 para a 3128 funciona. Teria como fazer com que todo o tráfego seja redirecionado exceto os IPS que eu quiser? No caso eu colocaria os IPS utilizados por esse programa para passarem direto pela porta 80..



  • Não precisa criar regras(nat) de redirecionamento, o pacote já tem isso(proxy transparente).

    Fazer proxy transparente de SSL, só interceptando a conexão. O squid3-dev já tem isso. Leia o tópico para ver o procedimento de instalação.



  • Certo, mas e no caso de um proxy não transparente, como procedo? Vi alguns casos que editava-se o arquivo squid.inc

    switch($type) {
    case 'nat':
    $rules .= "\n# Setup Squid proxy redirect\n";
    if ($squid_conf['private_subnet_proxy_off'] == 'on') {
    foreach ($ifaces as $iface) {
    $rules .= "no rdr on $iface proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, dontProxyDST} port 80\n";

    criei um alias chamado dontProxyDST com os endereços IP que o programa usa porém não obtive sucesso também..



  • @sidiney:

    criei um alias chamado dontProxyDST com os endereços IP que o programa usa porém não obtive sucesso também..

    O próprio pacote já tem um campo de bypass para proxy transparente onde ele mesmo cria a regra.



  • Proxy transparante não se encaixa para mim. Tem como fazer no proxy não transparente?



  • @sidiney:

    Proxy transparante não se encaixa para mim. Tem como fazer no proxy não transparente?

    se o proxy é não transparente, pra que o nat?  ???

    você esta ouvindo o squid só na 127.0.0.1 e quer subir a porta em um ip virtual?



  • o nat que você se refere é sobre a regra do iptables que postei? Acho que aquilo pode ser esquecido, no caso é só criar uma regra em firewall >> rules, liberando o tráfego para o ip de destino. O squid está ouvindo na interface LAN. Lembrando que todo tráfego está sendo redirecionado para a porta 3128, a fim de que os usuários não consigam navegar sem o proxy configurado no seu navegador. O que necessito é um proxy autenticado e que alguns ips de destino passem direto pela porta 80.



  • @sidiney:

    Lembrando que todo tráfego está sendo redirecionado para a porta 3128, a fim de que os usuários não consigam navegar sem o proxy configurado no seu navegador.

    Proxy transparente.

    @sidiney:

    O que necessito é um proxy autenticado e que alguns ips de destino passem direto pela porta 80.

    Procure por configuração automatica de proxy (PAC/WPAD)

    Você não vai conseguir dizer para o squid não receber o pacote que você configurou para enviar para ele.



  • Ok, irei procurar sobre isso, qualquer coisa posto aqui. Obrigado Marcelo!



  • Marcelo, gostaria de usar o squid3 e o squidguard, e o squidguard instala o squid 2.7 junto, como procedo para evitar quaisquer conflitos?



  • @sidiney:

    Marcelo, gostaria de usar o squid3 e o squidguard, e o squidguard instala o squid 2.7 junto, como procedo para evitar quaisquer conflitos?

    Reinstalar o squid3 novamente depois do squidguard.



  • Instalei o squid3-dev , instalei o squidguard, reinstalei o squid3-dev, porém os serviços não iniciam

    EDIT: Ao iniciar o squid pelo comando, dava o erro (Shared object "libgssapi.so.10" not found, required by "squid"'), ai copiei as bibliotecas e iniciou normalmente. Porém o squidguard não inicia, tens alguma outra ideia, como faço para iniciar o squidguard por comando para ver se resulta algum erro?



  • @sidiney:

    Porém o squidguard não inicia,

    O squidguard é chamado sob demanda a partir da versão 3 do squid. Se não tiver trafego, não tem squidguard, se tiver trafego, o squid executa ele…


Log in to reply