Problema com liberação no proxy ativo autenticado em aplicações de terceiros



  • Amigos PfSensenses,

    Estou enfrentando alguns problemas em relação a liberações em aplicações de terceiros no proxy ativo autenticado.

    Cenário:

    PfSense 2.1 amd64 / Squid 3.1.20 pkg 2.1.0 / Proxy ativo autenticado / WPAD  / Integração com Active directory (custom)

    3 grupos de acesso (AD): Liberado, Restrito e Bloqueado

    Liberado: Sem restrições
    Restrito: Bloqueio urls de uma lista
    Bloqueado: Libera urls de um lista

    (Este problema ocorre em mais de um firewall)
    –--

    Ocorre que necessito utilizar softwares de terceiros na LAN, como o dropbox por exemplo.

    Por padrão como as portas 80 e 443 são bloqueadas devido ao proxy, e estas são utilizadas pelo dropbox.

    Ao meu ver a solução seria simples: criar um usuário, adicioná-lo ao grupo de acesso liberado e configurar proxy na aplicação.

    Fiz isto e a presença de Murphy caiu sobre mim, não funciona.

    Aparentemente acredito que seja devido as conexões que chegam ao proxy sem autenticação,  todas estas são barradas. Não entendo porque algumas conexões chegariam sem autenticação, visto que o proxy está definido manualmente.

    Já efetuei a liberação na lista do grupo de acesso liberado e na whitelist padrão.

    Obviamente adicionando exceção no WPAD ou desmarcando proxy, e liberando a estação para a Internet funciona.

    Alguém saberia explicar o porque ocorre isto, ou outro ponto de vista de porque não funciona?

    Segue um print anexo.



  • Se o problema for que estes programas nao e possivel passar o login para autenticar, entao cria uma regra de firewall antes da regra do proxy liberando endereco do dropbox.



  • @gilmarcabral:

    Se o problema for que estes programas nao e possivel passar o login para autenticar, entao cria uma regra de firewall antes da regra do proxy liberando endereco do dropbox.

    Opa! A questão é algumas requisições chegam autenticadas e outras não, conforme no print.

    Não existe esta regra de proxy no firewall, é proxy ativo. A conversão da 3128 para 80 e 443 é feita automaticamente pelo PfSense.

    Obs.: Não utilizo squidguard.



  • meu ambiente é praticamente igual ao seu, eu apenas coloco o user e pass no aplicativo do dropbox.. funciona de boa..



  • @Lucas:

    meu ambiente é praticamente igual ao seu, eu apenas coloco o user e pass no aplicativo do dropbox.. funciona de boa..

    No Real Time do squid aparece o usuário que fez a requisição?

    É integrado com o AD também?



  • sim.. e os blocks de quem nao tem o user e pass configurado..

    ah um detalhe, tenho uma whitelist (não é bypass) com o dropbox.com nela




  • @Lucas:

    sim.. e os blocks de quem nao tem o user e pass configurado..

    ah um detalhe, tenho uma whitelist (não é bypass) com o dropbox.com nela

    Qual o tipo de integração com o AD que você faz?



  • ldap v3.. a padrao da tela de configuracao..



  • Bom dia! Estou com o mesmo problema com uma aplicação da ANP, Ela não vai no proxy mesmo setando no navegador.



  • @daniel.ramos:

    Bom dia! Estou com o mesmo problema com uma aplicação da ANP, Ela não vai no proxy mesmo setando no navegador.

    Deve estar tentando acessar direto, veja regra de firewall.