Bloquear navegação de hosts sem proxy (Proxy Não Transparente)



  • Configurei o PFSense como proxy não transparente e entregando a configuração por DHCP (proxy.pac).
    Funciona muito bem, mas quando um espertinho desmarca a opção de proxy automático em sua estação sua navegação fica liberada.
    Como fazer para que as estações não consigam navegador se desmarcar as opções de proxy (obrigando a setar proxy automático ou colocar o proxy manual) ?



  • Olá, pelo que da pra entender as portas 80 e 443 da Lan estão liberadas.
    Veja se a regra padrão que da acesso total para as máquinas da LAN está habilitada, se estiver tudo vai sair mesmo.
    Uma boa pratica é só ir liberando as portas e serviços que realmente precisa.



  • desativa a regra default no firewall



  • Olá, boa noite.

    tenho penso eu que a mesma dúvida do amigo ai em cima.
    Vejam só, na empresa onde estou atualmente, usamos o ubuntu + firestarter e squid, (é o que me disseram), mas como o gerente antigo saiu ( antigo adm do firewall )
    fiquei encarregado de substituir o atual sistema pelo PfSense com FailOver.
    FailOver está configurado, só que agora começa minha briga, pois quando configuro no navegador o proxy ele só navega com autenticação.
    Mas se lá não estiver configurado ele tem acesso full a todos os sites.
    A regra default da LAN já está desabilitada e não sei como bloquear as portas 80, 8080 e 403.
    já tentei penso eu que quase todas as combinações de aliases NAT e Regras que poderia ter.

    Alguém que possa ajudar ??



  • tenho penso eu que a mesma dúvida do amigo ai em cima.
    Vejam só, na empresa onde estou atualmente, usamos o ubuntu + firestarter e squid, (é o que me disseram), mas como o gerente antigo saiu ( antigo adm do firewall )
    fiquei encarregado de substituir o atual sistema pelo PfSense com FailOver.
    FailOver está configurado, só que agora começa minha briga, pois quando configuro no navegador o proxy ele só navega com autenticação.
    Mas se lá não estiver configurado ele tem acesso full a todos os sites.
    A regra default da LAN já está desabilitada e não sei como bloquear as portas 80, 8080 e 403.
    já tentei penso eu que quase todas as combinações de aliases NAT e Regras que poderia ter.

    no pfsense o que nao é liberado, esta bloqueado por default, ou seja, se a regra default ja esta desativada, essas portas tambem estao bloqueadas, o seu problema ta parecendo gateway, quem é o gateway de sua rede? o DHCP esta configurado corretamente? o que pode estar acontecendo é que quando o proxy esta desmarcado no browser, o acesso esta sendo feito por outro link.. faz o seguinte vai no site meuip.com.br testa o acesso com proxy e sem proxy.. assm vc terá certeza por onde esta saindo a navegacao..



  • Já fiz esse teste, mesmo se eu tirar o 2º link de internet a navegação flui normalmente mesmo sem o proxy estar setado na máquina,
    o que eu quero é que se tentarem acessar a internet sem setar o proxy no navegador, eles não consigam acessar nada,
    somente com o proxy setado tem que ser possível a navegação e sem ser transparente.

    Att.: Mumm-Ra  :-\



  • poste um print de suas regras de firewall



  • Olá!

    Se vc usar o squidguard por exemplo, em Groups ACL você criar um grupo chamado Default e nele bloqueia a faixa de rede local: 192.168.1.0/24 ou 172.16.1.0/16. Porem, antes de criar este grupo, crie uma regra para liberar a estação que tem acesso ao GUI do pfSense. Assim, quem não estiver cadastrado em algum dos grupos não tem acesso a internet ou  até mesmo a rede local.



  • Tem como colocar um print de como ficou?



  • segue as regras que uso. Usuário q desmarcou o proxy no navegador fica sem navegar  :P



  • Eu uso essa mesma regra porém a minha navegação depois que eu atualizei para a versão 2.1.5 - RELEASE (i386) ficou extramamente lenta a navegação, não sei se foi este o motivo… Alguém teve este problema?



  • Olha amigo, excelente dica. Realmente me ajudou muito, sempre tenho duvida para criar regras no firewall do pfsense.

    correria rsrs


Log in to reply