Squid autenticado + email expresso.rs.gov.br



  • Olá

    sistema: Pfsense 2.2, Squid 2.7.9

    Estou com uma certa dificuldade para configurar o squid de forma que ele não tenha cache para o site de webmail expresso.rs.gov.br.
    Estou usando os navegadores com usuários autenticados no squid +ldap, na porta 3128. Quando utilizávamos proxy transparente eu adicionava a exceção em "Bypass proxy for these destination IPs" na aba General em Services-Proxy server, porém esta opção fica desabilitada ao utilizar autenticação.
    Já tentei adicionar na opção Cache Mgmt - do not cache a URL/IP mas não obtive sucesso.
    Access Control - Whitelist também não resolve.

    Ao digitar o usuários e senha, por passar pelo proxy, mesmo estando os dados corretos o site retorna uma mensagem automática de sessão expirada.

    Desde já, obrigado.



  • E se adicionar a exceção na configuração do proxy das estações?



  • Hj eu utilizo captive portal e proxy transparente, e não tenho mais esse problema pq o "Bypass proxy for these destination IPs" funciona bem.

    Mas já tive esse problema com Linux qdo utilizava proxy autenticado, e a única solução é alterando as regras do FW.

    Infelizmente não tenho muito conhecimento do IPFW ( firewall do FreeBSD ) para te ajudar na empreita.

    Mas se vc pesquisar vai encontrar uma solução. Este é o caminho para resolver seu problema.



  • Descubra quais são os ips que respondem para o endereço
    vá em firewall > aliases e crie uma aliase com este(s) ip(s)
    Vá em firewal > rules > lan e crie uma regra de pass para o destino da aliase que você criou

    se atente a ordem das regras do firewall



  • @carlos.pratti:

    E se adicionar a exceção na configuração do proxy das estações?

    Bom dia, essa opção é totalmente inviável, o expresso.rs.gov.br é um email institucional do estado do rio grande do sul, o proxy irá filtrar todas as minhas LANs, terão desktops que estão no domínio, notebooks pessoais e outros dispositivos usando nossa rede wireless. Não tem a menor condição de configurar exceção em cada dispositivo que estará nessas redes.

    Em desktops o endereço do proxy ficará configurado diretamente no navegador, mas em celulares por exemplo, ao selecionar a rede wifi disponível o usuário digitará a senha da rede + endereço de proxy + porta, assim quando o celular logar nessa rede wifi toda a navegação do dispositivo passará pelo proxy.

    Estou aberto a qualquer sugestão, obrigado pelo interesse.



  • @iNCONIX:

    Hj eu utilizo captive portal e proxy transparente, e não tenho mais esse problema pq o "Bypass proxy for these destination IPs" funciona bem.

    Mas já tive esse problema com Linux qdo utilizava proxy autenticado, e a única solução é alterando as regras do FW.

    Infelizmente não tenho muito conhecimento do IPFW ( firewall do FreeBSD ) para te ajudar na empreita.

    Mas se vc pesquisar vai encontrar uma solução. Este é o caminho para resolver seu problema.

    Bom dia

    Também pensamos em utilizar um captive portal, porém a opção do squid autenticado no LDAP foi porque precisamos de alguma forma ter um log que associe o conteúdo acessado a quem acessou, com o captive portal eu tinha somente e log de quem se logou e quando, mas não o que foi acessado.

    Eu acredito que a questão não seja as regras do firewall propriamente dito mas sim no squid, ao usar o navegador apontando para o IP do servidor + porta 3128, todas as requisições do navegador irão para este IP e porta, quando é digitado https://expresso.rs.gov.br (200.189.134.172) essa requisição é enviada direto ao squid.

    Quando eu tiro o squid do modo autenticado e passo para o modo transparente, a autenticação desse email volta ao normal.

    obrigado pela resposta, a saga do squid autenticado + email expressolivre continua…



  • eu não utilizo a versão 2 faz tanto tempo, portanto, veja ai nas configurações do squid para nao fazer cache deste dominio.



  • @jvicente:

    eu não utilizo a versão 2 faz tanto tempo, portanto, veja ai nas configurações do squid para nao fazer cache deste dominio.

    Já utilizei a opção Do not cache, com o domínio expresso.rs.gov.br, mas somente isto não está sendo suficiente. Nenhum navegador utilizando proxy autenticado está conseguindo autenticar os usuários na tela de login do email.



  • ## Etapa 1 - Criando o(s) arquivo(s) e diretorio(s) e configurando permissões via console

    # Acessar a pasta onde irão ficar os arquivos customizados a serem usados pelo squid:
    cd /var/squid/acl/

    # Criar a uma pasta chamada bypass (fica a critério a escolha do nome):
    mkdir bypass

    # Acessar a pasta bypass e criar um arquivo chamado "dominios.acl"
    cd bypass
    touch dominios.acl

    # Editar o arquivo criado (use o editor de sua preferência):
    ee dominios.acl

    # Inserir os dominios que não precisam ser autenticados para navegar pelo proxy:
    .seudominio.com.br
    .teste.com.br

    OBS: Não esquecer de deixar o "." PONTO na frente do dominio como o exemplo acima.

    # Dar permissão a pasta e arquivos criados:
    chown -R proxy:proxy /var/squid/acl/bypass

    ## Etapa 2 - Configurando os parametros a serem usados pelo squid

    # Configuração da ACL para os dominios cadastrados no arquivo "dominios.acl" serem acessados sem autenticação (bypass):

    –---------------------------------------------------------------------------------

    Dominios que sao acessados sem autenticacao no proxy - bypass

    -----------------------------------------------------------------------------------

    acl dominios_bypass dstdomain "/var/squid/acl/bypass/dominios.acl"
    http_access allow dominios_bypass

    OBS: Sempre que puder crie uma descrição da ACL criada… isso facilita identificar a função da ACL.

    ## Etapa 3 - Inserindo as configurações da Etapa 2 nas configurações do squid via GUI do pfSense (Services > Proxy Server)

    # Acessar o menu de configuração do squid, menu "Services > Proxy Server":

    # Copiar o a configuração da ACL criada na Etapa 2:

    *********** COPIAR O CONTEUDO TODO ABAIXO ***********

    –--------------------------------------------------------

    Dominios que podem ser acessados sem autenticacao no proxy

    ----------------------------------------------------------

    acl dominios_bypass dstdomain "/var/squid/acl/bypass/dominios.acl"
    http_access allow dominios_bypass

    ******************* FIM ********************

    # Vá até a opção "Custom Settings" e cole o conteúdo acima no campo "Custom ACLS (Before_Auth)" e depois clique em SAVE.

    OBS: A ACL deve ser criada ANTES DOS PARAMETROS DE AUTENTICAÇÃO CONFIGURADOS NO SEU SQUID!!!

    # Testar a solução!

    OBS: A solução apresentada foi feita em cima do pfSense 2.2.3 utilizando a última versão do squid3 !!!

    Também é interessante você criar uma ACL para dominios que não irão para o CACHE squid, isso também evita problemas de acesso a determinados serivços.  ;)



  • Como sugestão, utilize o pacote filer para criar o aquivo da etapa1. dessa forma suas configurações ficam no backup xml do pfSense e facilitam bastante uma restauração.