Implantação com 3 níveis de acesso



  • Olá camarads.

    Antes de mais nada, gostaria de agradecer a oportunidade de participar do fórum e poder absorver o conhecimento que os membros aqui compartilham.
    Estou iniciando meu trabalho com o pfsense e estou com uma certa dificuldade em progredir na implantação somente acompanhando alguns vídeos no youtube,
    fico grato desde já a quem puder me ajudar.

    Tenho o seguinte cenário: Preciso implantar o pfsense na empresa em que trabalho principalmente para filtrar o acesso a internet. Preciso criar 3 níveis de permissão.
    São eles: Diretoria - com acesso ilimitado à internet, um segundo nível para um pequeno grupo de usuários que terão acesso à todo conteúdo exceto redes sociais,
    e por fim um acesso limitado somente a sites de interesse do trabalho, bloqueando tudo e liberando somente exceções.

    Tenho em mãos nesse momento um workgroup com 120 estações de trabalho, a maioria com Windows 7 pro 32 bits, alguns poucos com 64 bits, e poucos rodando windows xp SP3
    os quais serão substituídos por máquinas com Windows 7 em breve.
    Consigo criar no pfsense esses 3 níveis de acesso? Se alguém puder me dar uma ideia de como caminhar nessa implantação fico muito grato.

    Obrigado.



  • Acho que melhor é com Squid + SquidGuard.
    Criar os grupos do SquidGuard e separar por range de IP cada grupo.
    Tem bastante coisa sobre isso no forum,



  • Olá.

    Para bloquear as redes sociais, vai ter que usar o Firewall. Todas usam o protocolo https, então o proxy normal não vai filtrar as urls das redes sociais.

    Pode criar um alias no firewall com os ips da diretoria e outro alias com os ips das redes sociais, depois você dá um reject em toda a rede interna, EXCETO, os ips da diretoria, com destino aos ips das redes sociais. Isso fará você bloquear as redes sociais pra todos, menos a diretoria.

    O resto você faz no squidguard. Também criando 3 grupos e ajustando a ACL padrão pra deny. Aí, quando um ip for navegar, ele vai buscar a política de acesso dele dentro de um dos 3 grupos de ACL.

    Semana passada postei a minha atualização de ips do facebook, no post: https://forum.pfsense.org/index.php?topic=51815.0



  • @epboeira:

    Olá.

    Para bloquear as redes sociais, vai ter que usar o Firewall. Todas usam o protocolo https, então o proxy normal não vai filtrar as urls das redes sociais.

    Pode criar um alias no firewall com os ips da diretoria e outro alias com os ips das redes sociais, depois você dá um reject em toda a rede interna, EXCETO, os ips da diretoria, com destino aos ips das redes sociais. Isso fará você bloquear as redes sociais pra todos, menos a diretoria.

    O resto você faz no squidguard. Também criando 3 grupos e ajustando a ACL padrão pra deny. Aí, quando um ip for navegar, ele vai buscar a política de acesso dele dentro de um dos 3 grupos de ACL.

    Semana passada postei a minha atualização de ips do facebook, no post: https://forum.pfsense.org/index.php?topic=51815.0

    tem certeza disso? eu uso squid3 + squidguard3 e bloqueia de boa as redes sociais (https).. a unica coisa que nao aparece é a tela de bloqueio… nao tenho nenhuma regra de firewall fazendo essa funcao..



  • @Lucas:

    tem certeza disso? eu uso squid3 + squidguard3 e bloqueia de boa as redes sociais (https).. a unica coisa que nao aparece é a tela de bloqueio… nao tenho nenhuma regra de firewall fazendo essa funcao..

    Mas aí vc usa o recurso que o marcelo implantou no squid3 com instalação de certificado do pfsense nos pcs lucas?



  • nao.. uso o squid3, esse recurso de interceptacao so tem no squid3-dev..



  • Squid3-dev



  • Aqui uso sem SSL e faço uma regra no Squidguard e bloqueia tranquilo sem regra de firewall do mesmo jeito que o Lucas falou.
    Claro que a pagina de bloqueio é a do Squidguard, mas ela pode ser personalizada.



  • Olá!

    Senhores, estão esquecendo que existe diferença de operação entre proxy transparente e não transparente.

    No modo transparente, apenas a porta HTTP é interceptada, o Squid3-DEV intercepta HTTPS através da implantação do colega Marcelloc.

    Proxy não transparente intercepta HTTP e HTTPS, no caso de HTTPS ele não acessa o conteúdo, mas aplica as ACLs baseado no domínio e/ou IP do site acessado.

    CAL ROCKER,

    É perfeitamente possível implantar nesse cenário. Para a parte de filtros você pode utilizar o SquidGuard ou o DansGuardian(*).
    Nesse cenário, recomendo utilizar apenas pacotes estáveis, ou seja, marcados como "Stable". O Squid3 e Squid3-DEV embora bem preparados ainda não considerados estáveis e podem causar problemas em certos cenários. Se você preferir por essas versões, faça testes antes de colocar o PFSense em produção.



  • @LFCavalcanti:

    Proxy não transparente intercepta HTTP e HTTPS, no caso de HTTPS ele não acessa o conteúdo, mas aplica as ACLs baseado no domínio e/ou IP do site acessado.

    Só para não confundir os conceitos, o proxy em modo não transparente não intercepta, ele só faz o tunel se o dominio/ip estiver liberado. Neste caso no log só vemos um CONNECT no lugar da url do site.

    Se habilitado a interceptação de ssl, é possível ver no log as urls dos sites https.

    att,
    Marcello Coutinho



  • Bom dia, amigos.

    Obrigado pelas dicas e esclarecimentos, estou tentando prosseguir aqui com a simulação dessa implantação antes de colocá-la em prática. Porém, estou testando em um cenário diferente da empresa, como ainda estou de férias só vou mexer na infra da rede na próxima semana. Comecei a simular um ambiente no VMware Workstation, mas tenho tido problemas com o net virtua. O equipamento da net, modem/roteador usa o ip 192.168.1.1 e atribui dinamicamente o ip 192.168.1.11 para a minha máquina. Quando eu instalo o pfsense no VMware que está com duas placas de rede em modo Bridge a conexão de internet trava totalmente, creio que o ip default do pfsende deve estar conflitando com o do roteador da NET. Quando eu mudo o ip do roteador também não navega, e se eu mudo o ip do pfsense também continua sem conexão à internet. Sinceramente, estou um tanto perdido. rs

    Na empresa o cenário será diferente, somente a máquina física rodando o pfsense e utilizando somente o modem do vivo fibra. Lá eu já consegui bloquear todo o conteúdo direcionando o tráfego para a porta 3128 do squid, só não consegui aplicar exceções. Só não mexi com squidguard e squid 3 e não criei regras de firewall nem nada disso ainda, estou tentando. Se alguém tiver mais algumas dicas agradeço desde já.

    Obrigado!!!
    Modify message