Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSense e SQUID em máquinas diferentes

    Scheduled Pinned Locked Moved Portuguese
    4 Posts 2 Posters 796 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R Offline
      ronaldog.araujo
      last edited by

      Bom dia senhores …

      Tenho o PFSense implantado e funcionando perfeitamente.

      Quero agora implantar um Proxy autenticando os usuários num AD que possuo.
      Sei que se fizer isso no próprio PFSense, a cada vez que o usuário abrir o browser, o mesmo terá que digitar a senha (pra mim inviável essa solução).
      Vi que o Luiz Gustavo (muitíssimo parabéns Luiz por essa iniciativa) está desenvolvendo um pacote de integração do PFsense + Squid + Samba com o AD. Já cheguei até a fazer essa implantação em um ambiente de teste fazendo a compilação dos pacotes na mão ... Funcionou, mas não gostaria de instalar mais serviços no PFSense ...

      Meu PFSense tem uma interface de rede sobrando e tenho também um computador sobrando com 2 placas de rede.
      Nesse computador já tenho o SQUID autenticando no AD.

      O que já fiz como teste foi:

      Configurei uma rede a parte pra essa placa do PFSense e liguei nesse computador com o SQUID. Essa placa é meu gateway de saída da máquina SQUID.
      Na outra placa do computador, conectei ele na minha LAN e configurarei o navegador dos usuários pra acessarem o servidor proxy.
      Até esse passo, sem problema. O navegador autentica e respeita as regras que montei no SQUID (embora o https esteja dando problema. Sites https bloqueados, ex: facebook, não mostram a página de acesso negado mas sim de que site não existe, mas ainda estou fazendo testes pra entender o porque disso).

      A maior questão é que se o usuário desabilitar o proxy do navegador, ele consegue navegar na internet sem passar pelo SQUID e assim não respeitar as regras que montei.

      Imagino que, preciso montar regras de que todo o tráfego HTTP ou HTTPS que esteja vindo da minha LAN e indo pra a INTERNET, tenha que ser redirecionado para a máquina SQUID.
      E tem que ser indo pra internet, porque tenho a minha DMZ e também o adm do PFSENSE que está na minha LAN.

      Alguém já montou alguma coisa desse tipo ?

      Pode me dar alguma dica ?

      Obrigado

      Ronaldo Araujo

      Ronaldo Araujo

      1 Reply Last reply Reply Quote 0
      • S Offline
        santello
        last edited by

        É só alterar o gateway das máquinas para o servidor que roda o Squid. Crie as regras de bloqueio HTTP e HTTPS nele.

        1 Reply Last reply Reply Quote 0
        • R Offline
          ronaldog.araujo
          last edited by

          É uma opção, mas não sei se é a mais correta, já que a máquina dos usuários acessam outros serviços (envio / recebimento de e-mail, ftp , DMZ).

          Fazendo essa alteração, eu teria mais um passo para todos esses serviços já que teria que passar pelo server SQUID (que viraria o gateway) pra depois ir pro PFSENSE (que realmente é o gateway de saída).

          1 Reply Last reply Reply Quote 0
          • S Offline
            santello
            last edited by

            Não vejo problema nisso.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.