Bypass em proxy não transparente



  • Pessoal,

    Como dou um bypass em proxy que não é transparente ?



  • @gst.freitas:

    Pessoal,

    Como dou um bypass em proxy que não é transparente ?

    Isso é conceitual, se não tiver configuração de proxy no browser/aplicativo do cliente, automaticamente já esta "bypassando" o proxy, só se você tenha alguma regra que bloqueie a porta 80/443, ele vai fazer nat.

    quando não é transparente, a conexão ao proxy é feita direto pelo o cliente, então, se precisa excluir um site/serviço, você precisa fazer isso na configuração do cliente (manualmente ou via GPO do AD, por exemplo).



  • Luiz,

    Não entendi a sua resposta, quer dizer que o proxy não transparente, eu não posso dar um bypass no pfsense /squid ? tenho que fazer isso manualmente em cada browser ?? tem como explicar isso ai..



  • @thiagomespb:

    Luiz,

    Não entendi a sua resposta, quer dizer que o proxy não transparente, eu não posso dar um bypass no pfsense /squid ? tenho que fazer isso manualmente em cada browser ?? tem como explicar isso ai..

    Faz assim, eu colei o link do Hangout sobre Squid abaixo, exatamente no tempo em que começo falar sobre esses ambientes:

    http://youtu.be/THNLGxxiWz8?t=1h28m11s

    ai eu explico e respondo a uma pergunta exatamente sobre isso.



  • Luiz,

    o caso que vc citou é para proxy transparente.. como seria para não transparente ?



  • @thiagomespb:

    Luiz,

    o caso que vc citou é para proxy transparente.. como seria para não transparente ?

    Thiago,

    você não deve ter visto o restante, mas eu falo exatamente sobre essa visão conceitual. Quando não transparente, não existe desvio do firewall para o proxy, a conexão sai direto do cliente para o proxy, então não tem bypass, a não ser na maquina cliente direto.



  • Então caso eu bloqueie a porta 80 obrigando o usuario a ter o proxy no seu navegador, esses usuarios não podem ter acesso liberado das restrições? e no caso se criar um "custom options" ?



  • Vc pode criar uma acl no squid na aba custons de no proxy ou criar uma  regra no rules antes da do direcionamento.



  • @amaica:

    Então caso eu bloqueie a porta 80 obrigando o usuario a ter o proxy no seu navegador, esses usuarios não podem ter acesso liberado das restrições? e no caso se criar um "custom options" ?

    Mas ae já estamos falando de firewall, não entra squid na jogada.

    Normalmente se cria uma regra com alias de liberados e libera a porta 80 e em seguinda (na ordem), bloqueia a porta 80. (VIA FIREWALL)



  • Falando a mesma coisa de outro jeito.

    Usar proxy sem passar pelo proxy só pode ser feito através de configuração manual/gpo no browser do cliente como já explicou o Luiz Gustavo.

    Uma alternativa seria usar o script de configuração automática de proxy(WPAD) onde o browser "pergunta" a um javascript qual proxy usar.

    Neste script você pode decidir entregar o proxy baseado em site, ip , porta, etc ou simplesmente retornar um DIRECT de acordo com a necessidade.

    Uso isso em um ambiente de 15 mil maquina e funciona muito bem.



  • Vou aproveitar este tópico um pouco mais antigo mais antigo para tirar minhas dúvidas ou afirmar minhas conclusões sobre o assunto.

    Estou apanhando um pouco dessa parte!…só para definição ....meu ambiente é autenticado uso squidguard...

    Me corrijam se falar alguma besteira!....meu intuito é aprender!

    Se meu host cliente estiver com proxy setado o PFSENSE sozinho não consegue fazer um bypass em um determinado site?

    O bypass tem que ser definido no cliente (manualmente, GPO, WPAD, etc)?

    A opção do SQUID de não fazer cache é propriamente o que o nome diz: não fazer cache.....ou seja....o site vai continuar passando no proxy, só não vai fazer cache...

    Nem por regra de firewall consigo isso....pois o trafego já esta associado ao proxy....correto?

    É isto ou falei muita besteira?



  • @edge540:

    Se meu host cliente estiver com proxy setado o PFSENSE sozinho não consegue fazer um bypass em um determinado site?

    O bypass tem que ser definido no cliente (manualmente, GPO, WPAD, etc)?

    Acho que vocÊ está confundindo o Bypass com liberação de acesso. Bypass é quando você cria uma rota por fora da rota normal, no caso a rota normal é o Squid.
    Se você possui Proxy Não transparente, a partir do momento que o Browser está com o endereço e porta do Proxy configurados ele acessará os sites passando pelo Squid. Então Bypass nesse caso é a palavra errada, se você quer que um site seja liberado direto sem restrição, coloque ele na whitelist do Squid e também como liberado no SquidGuard.



  • No caso seria uma rota diferente….e talvez o entendimento sobre isto é o que gera a confusão em outros posts que vi....

    Por exemplo...quero que o site forum.pfsense.org nem apareça no meu access.log.....nesse caso preciso de alguma forma fazer um bypass no meu caminho padrão que é pelo SQUID.....
    mesmo colocando em todas withlist (SQUID e SQUIDGUARD) e também para não fazer cache nas configurações do SQUID.....o site forum.pfsense.org vai aparecer quando eu dou um tail -f /var/squid/logs/access.log....

    se não for assim devo ter perdido muito tempo tentando alguma coisa errada....

    só não aparece quando coloco o endereço no WPAD....ai sim ele faz o bypass (desvia do squid)....

    O principal impacto do proxy autenticado para mim, são alguns serviços que devem barrar na autenticação...JAVA e google appsync...

    Tem como passar pelo proxy e não exigir autenticação para determinados destinos?

    Meu proxy é autenticado por NTLM...não abre telinha para digitar usuário e senha.



  • @edge540:

    No caso seria uma rota diferente….e talvez o entendimento sobre isto é o que gera a confusão em outros posts que vi....

    Por exemplo...quero que o site forum.pfsense.org nem apareça no meu access.log.....nesse caso preciso de alguma forma fazer um bypass no meu caminho padrão que é pelo SQUID.....
    mesmo colocando em todas withlist (SQUID e SQUIDGUARD) e também para não fazer cache nas configurações do SQUID.....o site forum.pfsense.org vai aparecer quando eu dou um tail -f /var/squid/logs/access.log....

    se não for assim devo ter perdido muito tempo tentando alguma coisa errada....

    só não aparece quando coloco o endereço no WPAD....ai sim ele faz o bypass (desvia do squid)....

    O principal impacto do proxy autenticado para mim, são alguns serviços que devem barrar na autenticação...JAVA e google appsync...

    Tem como passar pelo proxy e não exigir autenticação para determinados destinos?

    Meu proxy é autenticado por NTLM...não abre telinha para digitar usuário e senha.

    Se é por NTLM e o Proxy está configurado no Painel de controle, não deveria barrar o acesso. Verifique se os aplicativos estão configurados para obter as configurações de Proxy do sistema.



  • Desculpa…mas não entendi a parte de configuração no painel de controle. Tem que configurar algo a mais?

    Explicando melhor o cenário...Meu PFsense autentica os usuário no AD e o método que configurei é aquele que o Samba+NTLM consulta as credenciais do usuário direto no AD...assim não fica abrindo o pop-up de autenticação no navegador...
    O SquidGuard importa os usuários do AD via Script...

    Até agora tive problema com três aplicativos....o googleAppsync, JAVA e Office 365...estes não tem opção de configuração de proxy que eu possa modificar....só funcionaram depois que coloquei no WPAD os destinos que estes aplicativos buscam.

    Estes mesmos endereços coloquei nas Withlist do Squid e do SquidGuard e também para não fazer proxy nas configurações do SQUID, mesmo assim não funcionava...

    Estou pesquisando sobre ACL direto em Custom no SQUID....se consigo resolver algo por ali..



  • Boa noite galera,

    Estou tendo o mesmo problema que o Edge540, em um cenário muito similar.

    Não consigo fazer alguns sites passarem por fora do proxy, através de configuração no pfsense. mesmo marcando para não fazer cache no squid, colocando o site no whitelist do squid + squidguard, continua aparecendo no log… e o WPAD não é uma solução no meu caso pois estas configurações precisam ser aplicadas em um servidor de TS, e não pega o WPAD por DHCP já que é IP fixo.

    Queria tentar resolver isso no próprio pfsense, não tem uma forma? WPAD será que é a única opção?



  • Tenho wpad funcionando perfeitamente em maquinas com ip fixo via dns.

    A grande questão é que você quer que o cliente não use o proxy passando pelo proxy.

    Se não for usar o wpad, configure o site como exceção no browser via gpo/script/mão.



  • Eu não havia conseguido na época configurar o wpad por DNS… apenas por DHCP e até esqueci de procurar mais a respeito... vou fazer um teste e da uma olhada denovo na distribuição por dns



  • Só para reportar o meu teste, realmente por WPAD via DNS deu certo, consegui fazer os sites passarem por fora do proxy…
    Por GPO não da certo por causa da M*** do IE10 e 11 agora....
    Vou manter via WPAD... mais o legal seria conseguir fazer isso através do próprio pfsense.  porem sem crise. vamos assim



  • Olá, também me encontro em um problema parecido com este:

    Na rede tenho um proxy não transparente e preciso que um determinado site educacenso.inep.gov.br não passe pelo squid pois o mesmo apresenta lentidão e problemas quando acessado pelo proxy, criei um alias contendo os hosts do inep.gov.br e criei uma regra na lan permitindo o acesso a estes sites por qualquer porta e no wpad coloquei a expressão:

    if(shExpMatch(host, "gov.br"))
      {
        return "DIRECT";
      }

    mas mesmo assim ele não é redirecionado para fora do proxy e ainda apresenta os mesmos problemas, há algum erro na conf ou outro método para burlar o problema?