Liberar Host externos



  • Olá pessoal

    Consegui implementar o PFSENSE no meu ambiente, só que estou com dificuldade para liberar acesso de servidores no Firewall via porta 3128, criei uma regra de acesso para 3128 no firewall e depois coloquei o IP do servidor de destino que é 54.207.31.76 (fornece acesso ao programa para os advogados). porém pelo proxy não vai, então liberei pelo firewall(está com a regra de acesso full liberada) direto, sem o proxy ele funciona.
    Eu configurei com o proxy autenticado de forma automática, conforme Tópico https://forum.pfsense.org/index.php/topic,66674.msg364055.html#msg364055



  • @anderxis:

    Olá pessoal

    Consegui implementar o PFSENSE no meu ambiente, só que estou com dificuldade para liberar acesso de servidores no Firewall via porta 3128, criei uma regra de acesso para 3128 no firewall e depois coloquei o IP do servidor de destino que é 54.207.31.76 (fornece acesso ao programa para os advogados). porém pelo proxy não vai, então liberei pelo firewall(está com a regra de acesso full liberada) direto, sem o proxy ele funciona.
    Eu configurei com o proxy autenticado de forma automática, conforme Tópico https://forum.pfsense.org/index.php/topic,66674.msg364055.html#msg364055

    ficou um pouco confusa sua pergunta mais vamos la, vc precisa que seu servidor tenha acesso ao ip 54.207.31.76 sem passar pelo proxy, é isso?

    se for, crie uma regra de firewall com (protocolo xxxx) origem (ip do seu server), porta (xxx), para destino (54.207.31.76), porta (xxx)



  • Lucas muito obrigado pela resposta, vou testar. Porém fiz algo que deu certo, na configuração de browser em conexão de rede, onde coloquei o proxy manualmente , configurei a endereço 54.207.31.76 para não passar pelo proxy e funcionou.
    Agora, tem como fazer isso pelo Acesso control? , porque depois que fiz funcionar o pfsense com AD de forma transparente, tudo que coloco no acess control não é defino, por exemplo, na Unrestricted IPs (proxyserver) coloquei o endereço 54.207.31.76 , porém quando acesso via proxy no browser não vai,  só da forma que eu fiz acima que funcionou.

    uso o SQUID 2.7.9 pkg v.4.3.3; SQUIDGUARD 1.5_2 beta



  • vc precisa criar uma acl no squidguard para fazer o "bypass" no proxy, crie um target categories, coloque como whitelist, na custon options crie a acl para o acesso sem autenticacao..



  • O proxy continua marcado na estação?



  • O que vou escutar como fazer ACL,  Lucas

    Marcelo está marcado sim, e agora funciona
    Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
    no tutorial falara para ficar assim"
    acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

    Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
    então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?

    desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.



  • @anderxis:

    O que vou escutar como fazer ACL,  Lucas

    Marcelo está marcado sim, e agora funciona
    Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
    no tutorial falara para ficar assim"
    acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

    Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
    então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?

    desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.

    vc precisa colocar a acl de bypass antes da integracao com o squidguard.. ou seja, no inicio das configuracoes no campo Integrations



  • Lucas o bypass são essas linha embaixo? se não como faço isso ?

    http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"



  • @anderxis:

    Lucas o bypass são essas linha embaixo? se não como faço isso ?

    http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

    sim so que essas liberam a atualizacao do java, voce precisa criar uma para liberar a target categories que vc criou

    ex:
    vc criou um target categories "sem_autenticacao"
    em Target Rules vc define como "whitelist"
    e cria uma acl em integrations: acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao;

    com isso os dominios ou ips que voce colocar na categoria "sem_autenticacao" irá passar pelo proxy sem pedir senha



  • Assim, tudo junto no custom options ?
    acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao



  • @anderxis:

    Assim, tudo junto no custom options ?
    acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao

    sim, tudo junto, so que nao é na custon options, é no campo Integrations, antes do comando de integracao com o squidguard, pode colocar no inicio da linha, so nao esquece do ; no fim de cada sentença…



  • nossa eu achei que era no custom option, onde fica o integrations e via console?



  • @anderxis:

    nossa eu achei que era no custom option, onde fica o integrations e via console?

    um campo acima do custon options…




  • Agora ficquei preocupado, não tem esse campo no meu squid2.7, noa cosegui mandar a imagem rsrsrsrs….
    mas o campo anterior é o
    "Suppress Squid Version"



  • Vi em outra parte do fórum (pelo marcelo) que o squid 2  não tem integrations
    :(



  • @anderxis:

    Vi em outra parte do fórum (pelo marcelo) que o squid 2  não tem integrations
    :(

    verdade, nao me dei conta da versao que vc estava usando.. sugiro nesse caso vc atualizar..



  • Só para finalizarmos , para eu entender melhor funcionamento do squid no pfsense, funciona dessa forma ? 
    Primeiro, quando o proxy está habilitado, o pfsense verifica a tabela de regras, caso encontre, por exemplo, a primeira regra de redirecionamento (porta 3128) o trafego é enviado para squid que checa no Acess Control,  as ACLS para aplicar as regras de IPS e Dominio (caso exista) e checar se existem portas liberadas no campo SSLPORTS e acl safeports, depois entra na regra do SQUIDGUARD para aplicar as ACL implementas nos grupos ACLS e Common ACLS, isso se tratando de SQUID com autenticação automática pelo Samba.
    É isso ?



  • @anderxis:

    Só para finalizarmos

    Se o squid estiver em modo transparente, ele intercepta somente a porta 80 (na versão squid2)

    no squid, você pode olhar o squid.conf gerado para entender a ordem das acls…

    • unrestricted hosts e whitelist não passam pela autenticacao

    • portas não cadastradas (em modo não transparente) dão erro de acesso negado no squid

    • acls de autenticação são executadas antes de enviar para o helper do squidguard