Navegando sem Proxy (Resolvido)



  • Boa tarde pessoal,
    bom, meu pfSense tá quase do jeito que eu gostaria, só um detalhe que está me tirando o sono ..
    com o proxy configurado nas estações, o pfSense roda certinho, só acessa o que eu permiti, mas ao tirar o proxy, todos os sites ficam liberarados ..
    já bloqueei acesso as portas 80 e 443, mas mesmo assim o acesso é permitido.
    Alguém poderia me ajudar ?
    Obrigado !



  • Se tiver como posta suas regras para ver como está…



  • Só tenho 1 regra, que é bloqueando o acesso as portas 80 e 443. Meu proxy tá configurado pra usar a porta 3128 !

    ![Print 1.jpg](/public/imported_attachments/1/Print 1.jpg)
    ![Print 1.jpg_thumb](/public/imported_attachments/1/Print 1.jpg_thumb)
    ![Print 2.jpg](/public/imported_attachments/1/Print 2.jpg)
    ![Print 2.jpg_thumb](/public/imported_attachments/1/Print 2.jpg_thumb)



  • O Gateway das maquinas apontam para o pfsense ?



  • brunorissi

    É por que vc tem essa outra regra na Lan liberando tudo.



  • Segue

    ![Print 1.jpg](/public/imported_attachments/1/Print 1.jpg)
    ![Print 1.jpg_thumb](/public/imported_attachments/1/Print 1.jpg_thumb)



  • Sim, o gateway das máquinas apontam para o pfSense.
    Mas se eu desativar a regra que libera tudo, a internet cai.



  • Se o squid e o squidguard tiver funcionando diretinho com as regras vc vai sair pelo proxy.
    aqui estou sem essa regra e estou saindo pelo proxy.
    navegando normal



  • Fiz o teste agora. Eu desativo a regra e a internet para na hora.



  • Como está suas configurações do squid?



  • Não precisa fazer bloqueio, se não tem regra liberando é porque já está bloqueado.

    Pelo que vi tem uma regra padrão abaixo das regra que libera portas que permite todo tráfego.

    Você tem que remover essa regra padrão liberando tudo e fazer uma regra para cada serviço, DNS, Proxy, FTP, Skype, sistemas do Governo, etc, etc…

    Se tiver dúvidas eu te passo um padrão de regras que eu uso e funcionando com Proxy Ativo (não transparente)



  • Eu desativei a regra que liberada tudo e criei outra pra liberar somente a porta 3128. Mas ainda continua navegando sem proxy !

    ![Print 3.jpg](/public/imported_attachments/1/Print 3.jpg)
    ![Print 3.jpg_thumb](/public/imported_attachments/1/Print 3.jpg_thumb)



  • Segue

    ![Print 4.jpg](/public/imported_attachments/1/Print 4.jpg)
    ![Print 4.jpg_thumb](/public/imported_attachments/1/Print 4.jpg_thumb)



  • Faz um reset da tabela de estados de conexão ou reinicia o PFSense, parece que as conexões estavam abertas;



  • Reiniciei o pfSense e nada. Que zica é essa !



  • relembrando, no pfsense o que nao for liberado, esta bloqueado por padrao, entao a sua regra de bloqueio é inutil nessa situacao..

    sua regra de proxy tambem nao esta totalmente correta, o protocolo é TCP e no Destination, coloque LAN Address



  • @Tomas:

    Não precisa fazer bloqueio, se não tem regra liberando é porque já está bloqueado.

    Pelo que vi tem uma regra padrão abaixo das regra que libera portas que permite todo tráfego.

    Você tem que remover essa regra padrão liberando tudo e fazer uma regra para cada serviço, DNS, Proxy, FTP, Skype, sistemas do Governo, etc, etc…

    Se tiver dúvidas eu te passo um padrão de regras que eu uso e funcionando com Proxy Ativo (não transparente)

    poderia me passar essas regras, e sem querer tipo explicar que eu não entendo tipo quando eu coloquei o proxy uma vez a removi a regra que liberava tudo, e deixei sem nenhuma regra ai as maquinas não navegava, falaram pra fazer regras liberando portas de dns e navegação e tal, só que fiquei na duvida se as portas de navegação estão liberadas e o proxy ta transparente, como vou saber se os clientes estão saindo pelo proxy?



  • Eu criei essas regras na LAN e funciona certinho.

    IPv4 TCP LAN net * * 80 (HTTP) * nenhum Default LAN -> any

    IPv4 TCP LAN net * * 443 (HTTPS) * nenhum Default LAN -> any



  • no meu tive liberar porta de dns



  • Se for proxy-transparente aí tem que ficar assim como o williandemattos colocou as regras + liberação da porta UDP 53.

    Só que dessa maneira vc só vai conseguir bloquear sites em https por regras de firewall e não pelo Squid entende?

    O filé mesmo pra ter um controle total da sua rede seria fazer proxy não transparente com Wpad, fica show. Bloqueia todas as portas que nao são usadas, ou quando precisar de alguma, libere especificamente para o ip da sua lan e pro ip destino.
    Daí em diante vc monta os grupos da ACL no squidguard e vai liberando ou bloqueando os sites, independente se são HTTP ou HTTPs  ;)



  • É muita coisa para explicar em um post;

    Você está precisando um pouco mais de base sobre o firewall, proxy.

    Recomendo ver isto e depois vai passando o que ainda ficou de dúvida:

    http://www.ivanildogalvao.com.br/seguranca/pfsenseinternet
    https://www.youtube.com/watch?v=ufb_tjPIH_o&feature=youtu.be



  • Eu preferi liberar tudo e bloquear só o que for pertinente para empresa. A questão é, sem proxy tá navegando sem nenhum filtro. Isso que não quero !



  • @brunorissi:

    Eu preferi liberar tudo e bloquear só o que for pertinente para empresa. A questão é, sem proxy tá navegando sem nenhum filtro. Isso que não quero !

    Não entendi o que quis dizer com bloquear tudo.
    Por padrão se não tiver nenhuma regra tudo está bloqueado. Você precisa liberar o serviços (dns, proxy, etc);

    Você viu os vídeos?



  • Estou vendo os vídeos Tomas. Já te respondo !



  • Excelentes tutorias, muito bem explicado. Segui o tuto, mas não resolveu meu problema !



  • @brunorissi:

    Excelentes tutorias, muito bem explicado. Segui o tuto, mas não resolveu meu problema !

    Se não resolveu é porque vc está fazendo algo de errado, pois tenho 5 servidores rodando dessa maneira e nenhum problema.
    Poste suas regras, como está sua estrutura, dê mais detalhes.



  • Tenho um pfSense com 2 placas de redes. 1 LAN e outra WAN, óbvio. Um cabo de rede sai do modem da Velox e vai direto pro roteador TL-R480T+, do roteador sai um cabo de rede e vai para a LAN do pfSense. Da porta WAN do pfSense sai um cabo de rede e vai direto para o Switch que destribui pela rede. Tem algo errado na estrutura ?



  • Você quer as regras do Firewall ? ou do Squidguard ? As do Firewall eu postei no início no tópico !



  • @brunorissi:

    Tenho um pfSense com 2 placas de redes. 1 LAN e outra WAN, óbvio. Um cabo de rede sai do modem da Velox e vai direto pro roteador TL-R480T+, do roteador sai um cabo de rede e vai para a LAN do pfSense. Da porta WAN do pfSense sai um cabo de rede e vai direto para o Switch que destribui pela rede. Tem algo errado na estrutura ?

    sim, voce inverteu a LAN com a WAN



  • Placa LAN (on board), recebe o cabo que vem direto do roteador. Placa WAN (off board), joga o cabo direto pro Switch. Não é assim ?



  • @brunorissi:

    Placa LAN (on board), recebe o cabo que vem direto do roteador. Placa WAN (off board), joga o cabo direto pro Switch. Não é assim ?

    Não;

    LAN: é a sua rede interna.
    http://pt.wikipedia.org/wiki/Rede_de_área_local

    WAN: é a seu link de internet.
    http://pt.wikipedia.org/w/index.php?title=Rede_de_longa_distância&redirect=no



  • Amigos, eu cometi um erro feio. As estações estavam apontando para o Roteador e não para pfSense. Acertei isso e meu problema foi resolvido !



  • @brunorissi:

    Amigos, eu cometi um erro feio. As estações estavam apontando para o Roteador e não para pfSense. Acertei isso e meu problema foi resolvido !

    Acontece, o importante é aprender!



  • Obrigado ao Fórum e a todos que responderam. Valeuzão galera !



  • Maravilha,

    Coloca Muda o Topic como Resolvido

    abraço