Liberar Host externos
-
Olá pessoal
Consegui implementar o PFSENSE no meu ambiente, só que estou com dificuldade para liberar acesso de servidores no Firewall via porta 3128, criei uma regra de acesso para 3128 no firewall e depois coloquei o IP do servidor de destino que é 54.207.31.76 (fornece acesso ao programa para os advogados). porém pelo proxy não vai, então liberei pelo firewall(está com a regra de acesso full liberada) direto, sem o proxy ele funciona.
Eu configurei com o proxy autenticado de forma automática, conforme Tópico https://forum.pfsense.org/index.php/topic,66674.msg364055.html#msg364055 -
Olá pessoal
Consegui implementar o PFSENSE no meu ambiente, só que estou com dificuldade para liberar acesso de servidores no Firewall via porta 3128, criei uma regra de acesso para 3128 no firewall e depois coloquei o IP do servidor de destino que é 54.207.31.76 (fornece acesso ao programa para os advogados). porém pelo proxy não vai, então liberei pelo firewall(está com a regra de acesso full liberada) direto, sem o proxy ele funciona.
Eu configurei com o proxy autenticado de forma automática, conforme Tópico https://forum.pfsense.org/index.php/topic,66674.msg364055.html#msg364055ficou um pouco confusa sua pergunta mais vamos la, vc precisa que seu servidor tenha acesso ao ip 54.207.31.76 sem passar pelo proxy, é isso?
se for, crie uma regra de firewall com (protocolo xxxx) origem (ip do seu server), porta (xxx), para destino (54.207.31.76), porta (xxx)
-
Lucas muito obrigado pela resposta, vou testar. Porém fiz algo que deu certo, na configuração de browser em conexão de rede, onde coloquei o proxy manualmente , configurei a endereço 54.207.31.76 para não passar pelo proxy e funcionou.
Agora, tem como fazer isso pelo Acesso control? , porque depois que fiz funcionar o pfsense com AD de forma transparente, tudo que coloco no acess control não é defino, por exemplo, na Unrestricted IPs (proxyserver) coloquei o endereço 54.207.31.76 , porém quando acesso via proxy no browser não vai, só da forma que eu fiz acima que funcionou.uso o SQUID 2.7.9 pkg v.4.3.3; SQUIDGUARD 1.5_2 beta
-
vc precisa criar uma acl no squidguard para fazer o "bypass" no proxy, crie um target categories, coloque como whitelist, na custon options crie a acl para o acesso sem autenticacao..
-
O proxy continua marcado na estação?
-
O que vou escutar como fazer ACL, Lucas
Marcelo está marcado sim, e agora funciona
Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
no tutorial falara para ficar assim"
acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.
-
O que vou escutar como fazer ACL, Lucas
Marcelo está marcado sim, e agora funciona
Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
no tutorial falara para ficar assim"
acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.
vc precisa colocar a acl de bypass antes da integracao com o squidguard.. ou seja, no inicio das configuracoes no campo Integrations
-
Lucas o bypass são essas linha embaixo? se não como faço isso ?
http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"
-
Lucas o bypass são essas linha embaixo? se não como faço isso ?
http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"
sim so que essas liberam a atualizacao do java, voce precisa criar uma para liberar a target categories que vc criou
ex:
vc criou um target categories "sem_autenticacao"
em Target Rules vc define como "whitelist"
e cria uma acl em integrations: acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao;com isso os dominios ou ips que voce colocar na categoria "sem_autenticacao" irá passar pelo proxy sem pedir senha
-
Assim, tudo junto no custom options ?
acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao -
Assim, tudo junto no custom options ?
acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacaosim, tudo junto, so que nao é na custon options, é no campo Integrations, antes do comando de integracao com o squidguard, pode colocar no inicio da linha, so nao esquece do ; no fim de cada sentença…
-
nossa eu achei que era no custom option, onde fica o integrations e via console?
-
nossa eu achei que era no custom option, onde fica o integrations e via console?
um campo acima do custon options…
-
Agora ficquei preocupado, não tem esse campo no meu squid2.7, noa cosegui mandar a imagem rsrsrsrs….
mas o campo anterior é o
"Suppress Squid Version" -
Vi em outra parte do fórum (pelo marcelo) que o squid 2 não tem integrations
:( -
Vi em outra parte do fórum (pelo marcelo) que o squid 2 não tem integrations
:(verdade, nao me dei conta da versao que vc estava usando.. sugiro nesse caso vc atualizar..
-
Só para finalizarmos , para eu entender melhor funcionamento do squid no pfsense, funciona dessa forma ?
Primeiro, quando o proxy está habilitado, o pfsense verifica a tabela de regras, caso encontre, por exemplo, a primeira regra de redirecionamento (porta 3128) o trafego é enviado para squid que checa no Acess Control, as ACLS para aplicar as regras de IPS e Dominio (caso exista) e checar se existem portas liberadas no campo SSLPORTS e acl safeports, depois entra na regra do SQUIDGUARD para aplicar as ACL implementas nos grupos ACLS e Common ACLS, isso se tratando de SQUID com autenticação automática pelo Samba.
É isso ? -
Só para finalizarmos
Se o squid estiver em modo transparente, ele intercepta somente a porta 80 (na versão squid2)
no squid, você pode olhar o squid.conf gerado para entender a ordem das acls…
-
unrestricted hosts e whitelist não passam pela autenticacao
-
portas não cadastradas (em modo não transparente) dão erro de acesso negado no squid
-
acls de autenticação são executadas antes de enviar para o helper do squidguard
-