Reglas con Proxy No Transparente



  • Tengo un equipo que anteriormente estaba con proxy transparente y lo estoy pasando a modo no transparente. Defino las reglas y configuro en el navegador los parámetros del proxy, según imagen adjunto se puede ver que la primera regla es para no acceder a la configuración de pfsense por los puertos webs habituales, además de no tener reglas para poder acceder a otra red.
    Cual es mi sorpresa, que después de probar navegación, puedo entrar en la configuración de pfsense, pero no solo por la ip correspondiente a su red (192.168.50.1), sino por cualquiera de las otras redes.

    ![Captura de pantalla 2014-08-17 a la(s) 16.27.24.png](/public/imported_attachments/1/Captura de pantalla 2014-08-17 a la(s) 16.27.24.png)
    ![Captura de pantalla 2014-08-17 a la(s) 16.27.24.png_thumb](/public/imported_attachments/1/Captura de pantalla 2014-08-17 a la(s) 16.27.24.png_thumb)


  • Rebel Alliance

    Si quieres Bloquear el acceso al "webconfigurator" (Menú Web del pfSense) debes Bloquear el acceso a la IP de la Interface

    Si quieres bloquear salida a internet por puertos 80, 443, et… y el uso de DNS Externos, el destino de la/s Regla/s debe ser "ANY" y NO ""WIFI net" ya que el tráfico entre hosts de la "WIFI net" no toca al pfSense (se establece directamente entre los hosts de esa red).

    Además "Internet" No está en la Red "WIFI".. está afuera en "cualquier" (ANY) lugar/IP

    En la imagen adjunta, que pertenece a una interfaz inalámbrica, puedes ver la reglas utilizadas para:

    • Bloquear el acceso al "Webconfigurator" (Cualquiera de las IP's en las que "escucha" también se Bloquea el acceso por SSH)

    • Bloquear el uso de DNS externos (Solo se permite al pfSense/DNS Forwarder)

    • Permitir "salida" a internet, pero NO el acceso a los hosts/recursos de la LAN




  • Exceptuando la primera que he sustituido por la ip de configuración, el resto no debe dejar pasar tráfico a otras redes.
    Las reglas las seguí de la documentación del maestro Ballera. Y las reglas según tengo entendido van de la primera a la última en restricciones. De todas formas no debería acceder a la ip de administración con la primera regla. Al menos eso creo y así actuaba con el proxy transparente.


  • Rebel Alliance

    Podrías poner el Link al "tutorial" / "ejemplo" que seguiste ?

    Si estás 100% seguro que las reglas son correctas, pues entonces te faltó algo en el proxy



  • En este link, en la red alumnos la regla 2 según dice es para bloquear la administración de pfsense –> http://www.bellera.cat/josep/pfsense/regles_cs.html.
    Y este para las reglas de proxy no transparente y no brincarlo --> http://pheriko.blogspot.com.es/2012/03/pfsense-2-configurar-squid.html
    Supongo que como dices, tendrá que ser algo del proxy, pero la verdad es que no doy con lo que es.
    Gracias


  • Rebel Alliance

    Pues, a ver que cometan los autores de los tutoriales…

    Piensa que puedes implementar ciertas reglas, de manera diferente y obtener el mismo resultado ;)

    Ejemplo, en el caso del "Bloqueo de Servidores DNS externos"

    Puedes hacerlo con como lo muestra el compañero pheriko o como está en la imagen adjunta... y el resultado es el mismo...

    Como en la red (producción) no utilizamos proxy, y el pfSense de "prueba" del que dispongo está con la versión "2.2 Alpha".. dejaré que los compañeros "sigan" con el hilo.




  • Lo he puesto tal y como me has dicho, pero sigue entrando al acceso de webconfigurator. Es muy raro, no?



  • ¿Puede ser que el proxy (nat) sea el que me está redirigiendo al webconfigurator?
    Por mucho que pruebo, las reglas de no acceso al webconfigurator se las saltas, es más, puedo acceder a cualquier subred.  >:(



  • Bueno informo al respecto por si es un error o simplemente es así. He realizado pruebas tanto con VLAN como con tarjetas físicas, teniendo configurada la primera regla como deny al webconfigurator de pfsense (primera imagen) y sin proxy , como es de esperar no podemos entrar en la configuración desde la interface. Con proxy (sea transparente o modo no transparente, segunda imagen), y el navegador con el proxy en el puerto correspondiente, la regla se la salta, pudiendo entrar en todas las IPs de configuración (cualquier red de pfsense). Tanto el proxy transparente como el no transparente, está configurado por defecto sin ninguna modificación destacable, nat automático y sin nada más.

    Es decir por el puerto del proxy vuelve y se salta la regla, a no ser que configure acl para denegar en squid o squidGuard. Indudablemente no entra en el resto de las redes, pero en configuración SI.

    ¿Me estoy volviendo loco o esto es así?

    ![img 1.png](/public/imported_attachments/1/img 1.png)
    ![img 1.png_thumb](/public/imported_attachments/1/img 1.png_thumb)
    ![img 2.png](/public/imported_attachments/1/img 2.png)
    ![img 2.png_thumb](/public/imported_attachments/1/img 2.png_thumb)



  • Debes denegar el acceso a pfSense en las reglas del proxy.

    Es normal que sea así, pues entregas el control de la navegación al proxy.



  • Donde es mejor restringir desde squid o squidGuard al webconfigurator?
    Y para las ips o bien sólo el puerto?



  • Puedes probar activando la opción de squid:

    Bypass proxy for Private Address destination
    

    Esto hará que para cualquier IP privada NO se use el proxy, con lo que tus reglas tienen que hacer el efecto de bloquear el acceso al configurador web.

    Por cierto, ¿no tendrás marcado loopback en Proxy interface(s)?



  • Esa opción solo está en modo transparente, así que puedo probarlo. Y efectivamente no tengo loopback en proxy interface. ¿algún sitio donde sea mejor configurar el bloqueo?



  • @ajuser:

    Esa opción solo está en modo transparente

    Efectivamente está en la sección de proxy transparente pero no queda claro del todo si sólo es para modo transparente, pues NO tiene la coletilla

     [Applies only to transparent mode]
    

    de las otras dos opciones que le siguen.

    Si eso no sirve tendrás que impedir con las reglas de squidGuard que se pueda llegar al configurador web, prohibiendo por IP de destino y por nombre de equipo.



  • Si eso es lo que me temía, pero entonces el problema es que no puedo mostrar la página de error de squidGuard, ya que busca una ip de webconfigurator. ¿Alguna opción viable dentro de la misma máquina?
    Es que además me deja entrar en la ip WAN que está dinámica, ¿esto quiere decir que al haber proxy las reglas del firewall se las salta?



  • Pasa el configurador web a un puerto para ssl que no sea admitido por squid, Proxy server, ACLs, acl sslports

    ¡Ojo!

    Antes de hacerlo asegúrate que las reglas en LAN te permitirán seguir accediendo al configurador web de pfSense con el nuevo puerto.



  • Me puedes dar algún ejemplo práctico o concreto? Lo puse en el 10000 (no se sí lo soporta o no) y no devolvía las páginas. Pero sinceramente lo que más me preocupa es que squid se esté saltando las reglas y pueda acceder a la ip wan por ejemplo o cualquier ip de otra red, aunque estás también las controlo con los switches.
    Espero luz maestro  ;)



  • Como puedo des habilitar el tráfico de vuelta a las ips de configuración. Necesito un cable por que tengo que sacarlo a producción en breve.



  • Nadie ha probado (incluso en proxy transparente) en configurar el navegador con proxy y que llega a la ip de configuración?



  • Saludos mi estimado, no entiendo mucho que indicas trabajar un proxy transparente en una red teniendo pfsense como firewall enrutador es totalmente posible de hecho te escribo de una pc cliente de una de mis redes inalambricas donde esta maquina funciona con WPAD para obtener la configuracion del proxy por donde debe salir sin problemas. Estamos a la orden



  • Lo que quiero decir es que, teniendo proxy transparente, aunque no haga falta, configuras el navegador con los parámetros (ip más puerto) de tu proxy. Después intenta acceder a la administración de tu pfsense (webconfigurator), verás como tienes acceso a pesar de tener alguna regla que no lo permita.
    Te agradecería que lo probaras.



  • En ese escenario estas obligando al navegador a usar el proxy para salir donde sea por ello el bloqueo seria en el proxy mas no en el pfsense. Ahora bien cabe destacar que si tienes el proxy transparente e intentas usarlo manual configurando el mismo puerto transparente deberia tirarte un error porque se supone el proxy esta como transparente en el archivo de configuracion.



  • Pues no lo tira, por eso me extrañaba. La configuración primera es en modo no transparente, pero probé con con trasparente para ver que sucedía (hay que seguir investigando siempre), y cual fue mi sorpresa que además de funcionar, se saltaba las reglas del firewall, teniendo que restringir acceso vía proxy.



  • Modo transparente es un redireccionamiento incondicional del tráfico de navegación hacia el proxy.

    @bellera:

    Debes denegar el acceso a pfSense en las reglas del proxy.

    Es normal que sea así, pues entregas el control de la navegación al proxy.