Squid não transparente



  • Bom procurei em alguns tutorias aqui e acabei não achando o que eu quero. Tenho uma rede básica e gostaria de usar proxy não transparente. A forma que eu quero é a seguinte:

    • Todas as requisições fossem capturadas pelo proxy;
    • Obrigação de configurar manualmente o endereço e porta do proxy nos navegadores dos clientes;
      *Caso algum cliente não esteja corretamente configurado, não navegar na internet;

    Inicialmente, desmarquei a opção de proxy transparente do squid, mas percebi que os clientes navegavam normalmente sem precisar colocar o endereço do proxy no navegador, como uso lightsquid pra relatório, gostaria que todos passassem pelo proxy.

    Basicamente a duvida é a seguinte: Como deixar o cliente sem acesso caso ele não esteja com o navegador setado para o endereço do proxy?

    PS.: Não uso AD / uso somente o Pfsense.



  • @wesmp3:

    Bom procurei em alguns tutorias aqui e acabei não achando o que eu quero.

    Basicamente a duvida é a seguinte: Como deixar o cliente sem acesso caso ele não esteja com o navegador setado para o endereço do proxy?

    Esta questão já foi amplamente discutida por aqui.

    Tem certeza que pesquisou a fundo?

    Para bloquear o acesso direto, você só precisa criar uma regra na lan liberando a porta do squid e bloqueando o resto.



  • É necessário liberar a porta do squid da LAN>Firewall e no final criar uma regra para bloquear tudo LAN>ANY TCP e UDP.

    Assim quem não tiver o proxy configurado no navegador não vai conseguir navegar.



  • @rafaelvs:

    É necessário liberar a porta do squid da LAN>Firewall e no final criar uma regra para bloquear tudo LAN>ANY TCP e UDP.

    Assim quem não tiver o proxy configurado no navegador não vai conseguir navegar.

    Amigo, por padrão o pfsense bloqueia tudo, voce cria regras apenas para liberar.
    Regras de bloqueio você cria para casos específicos, exemplo negar acesso ao facebook, ou a outra determinada rede…

    att



  • @guitarcleiton:

    @rafaelvs:

    É necessário liberar a porta do squid da LAN>Firewall e no final criar uma regra para bloquear tudo LAN>ANY TCP e UDP.

    Assim quem não tiver o proxy configurado no navegador não vai conseguir navegar.

    Amigo, por padrão o pfsense bloqueia tudo, voce cria regras apenas para liberar.
    Regras de bloqueio você cria para casos específicos, exemplo negar acesso ao facebook, ou a outra determinada rede…

    att

    Estou ciente, é por questão de consciência mesmo, não atrapalha.



  • Eu fiz assim: Exclui a regra de acesso padrão na LAN ( PASS > Source: any / Destination: any ) e adicionei a regra ( PASS TCP / UDP> Source: any / Destination: any Port:3128)



  • Ao fazer isso me deparei com mais um probleminha: o Analisador de trafego na LAN não registra o trafego de quem ta com proxy configurado.  Será que alterei o funcionamento do traffic graph ao fazer essa regra acima?



  • @wesmp3:

    Eu fiz assim: Exclui a regra de acesso padrão na LAN ( PASS > Source: any / Destination: any ) e adicionei a regra ( PASS TCP / UDP> Source: any / Destination: any Port:3128)

    O destination é lan address no lugar de any.



  • @marcelloc:

    @wesmp3:

    Eu fiz assim: Exclui a regra de acesso padrão na LAN ( PASS > Source: any / Destination: any ) e adicionei a regra ( PASS TCP / UDP> Source: any / Destination: any Port:3128)

    O destination é lan address no lugar de any.

    Obrigado Marcelo, Mas voltei pro transparente. Eu percebi que não dava pra acessar os access point dentro da rede… Não sei se com NAT funcionaria, ainda tou estudando redes ... :D



  • @wesmp3:

    Obrigado Marcelo, Mas voltei pro transparente. Eu percebi que não dava pra acessar os access point dentro da rede… Não sei se com NAT funcionaria, ainda tou estudando redes ... :D

    Coloque na configuração de cada browser os ip/redes que não precisam passar pelo proxy.

    Você pode fazer via gpo, wpad ou na mão.



  • @marcelloc:

    @wesmp3:

    Obrigado Marcelo, Mas voltei pro transparente. Eu percebi que não dava pra acessar os access point dentro da rede… Não sei se com NAT funcionaria, ainda tou estudando redes ... :D

    Coloque na configuração de cada browser os ip/redes que não precisam passar pelo proxy.

    Você pode fazer via gpo, wpad ou na mão.

    Marcello simplesmente você é genial! :D tou acompanhado seu trabalho no squid3.  Vou até fazer uma doação no inicio de fevereiro…


Log in to reply