Squid autenticado + email expresso.rs.gov.br
-
Olá
sistema: Pfsense 2.2, Squid 2.7.9
Estou com uma certa dificuldade para configurar o squid de forma que ele não tenha cache para o site de webmail expresso.rs.gov.br.
Estou usando os navegadores com usuários autenticados no squid +ldap, na porta 3128. Quando utilizávamos proxy transparente eu adicionava a exceção em "Bypass proxy for these destination IPs" na aba General em Services-Proxy server, porém esta opção fica desabilitada ao utilizar autenticação.
Já tentei adicionar na opção Cache Mgmt - do not cache a URL/IP mas não obtive sucesso.
Access Control - Whitelist também não resolve.Ao digitar o usuários e senha, por passar pelo proxy, mesmo estando os dados corretos o site retorna uma mensagem automática de sessão expirada.
Desde já, obrigado.
-
E se adicionar a exceção na configuração do proxy das estações?
-
Hj eu utilizo captive portal e proxy transparente, e não tenho mais esse problema pq o "Bypass proxy for these destination IPs" funciona bem.
Mas já tive esse problema com Linux qdo utilizava proxy autenticado, e a única solução é alterando as regras do FW.
Infelizmente não tenho muito conhecimento do IPFW ( firewall do FreeBSD ) para te ajudar na empreita.
Mas se vc pesquisar vai encontrar uma solução. Este é o caminho para resolver seu problema.
-
Descubra quais são os ips que respondem para o endereço
vá em firewall > aliases e crie uma aliase com este(s) ip(s)
Vá em firewal > rules > lan e crie uma regra de pass para o destino da aliase que você criouse atente a ordem das regras do firewall
-
E se adicionar a exceção na configuração do proxy das estações?
Bom dia, essa opção é totalmente inviável, o expresso.rs.gov.br é um email institucional do estado do rio grande do sul, o proxy irá filtrar todas as minhas LANs, terão desktops que estão no domínio, notebooks pessoais e outros dispositivos usando nossa rede wireless. Não tem a menor condição de configurar exceção em cada dispositivo que estará nessas redes.
Em desktops o endereço do proxy ficará configurado diretamente no navegador, mas em celulares por exemplo, ao selecionar a rede wifi disponível o usuário digitará a senha da rede + endereço de proxy + porta, assim quando o celular logar nessa rede wifi toda a navegação do dispositivo passará pelo proxy.
Estou aberto a qualquer sugestão, obrigado pelo interesse.
-
Hj eu utilizo captive portal e proxy transparente, e não tenho mais esse problema pq o "Bypass proxy for these destination IPs" funciona bem.
Mas já tive esse problema com Linux qdo utilizava proxy autenticado, e a única solução é alterando as regras do FW.
Infelizmente não tenho muito conhecimento do IPFW ( firewall do FreeBSD ) para te ajudar na empreita.
Mas se vc pesquisar vai encontrar uma solução. Este é o caminho para resolver seu problema.
Bom dia
Também pensamos em utilizar um captive portal, porém a opção do squid autenticado no LDAP foi porque precisamos de alguma forma ter um log que associe o conteúdo acessado a quem acessou, com o captive portal eu tinha somente e log de quem se logou e quando, mas não o que foi acessado.
Eu acredito que a questão não seja as regras do firewall propriamente dito mas sim no squid, ao usar o navegador apontando para o IP do servidor + porta 3128, todas as requisições do navegador irão para este IP e porta, quando é digitado https://expresso.rs.gov.br (200.189.134.172) essa requisição é enviada direto ao squid.
Quando eu tiro o squid do modo autenticado e passo para o modo transparente, a autenticação desse email volta ao normal.
obrigado pela resposta, a saga do squid autenticado + email expressolivre continua…
-
eu não utilizo a versão 2 faz tanto tempo, portanto, veja ai nas configurações do squid para nao fazer cache deste dominio.
-
eu não utilizo a versão 2 faz tanto tempo, portanto, veja ai nas configurações do squid para nao fazer cache deste dominio.
Já utilizei a opção Do not cache, com o domínio expresso.rs.gov.br, mas somente isto não está sendo suficiente. Nenhum navegador utilizando proxy autenticado está conseguindo autenticar os usuários na tela de login do email.
-
## Etapa 1 - Criando o(s) arquivo(s) e diretorio(s) e configurando permissões via console
# Acessar a pasta onde irão ficar os arquivos customizados a serem usados pelo squid:
cd /var/squid/acl/
–# Criar a uma pasta chamada bypass (fica a critério a escolha do nome):
mkdir bypass
–# Acessar a pasta bypass e criar um arquivo chamado "dominios.acl"
cd bypass
touch dominios.acl
–# Editar o arquivo criado (use o editor de sua preferência):
ee dominios.acl
–# Inserir os dominios que não precisam ser autenticados para navegar pelo proxy:
.seudominio.com.br
.teste.com.brOBS: Não esquecer de deixar o "." PONTO na frente do dominio como o exemplo acima.
–# Dar permissão a pasta e arquivos criados:
chown -R proxy:proxy /var/squid/acl/bypass
–## Etapa 2 - Configurando os parametros a serem usados pelo squid
# Configuração da ACL para os dominios cadastrados no arquivo "dominios.acl" serem acessados sem autenticação (bypass):
–---------------------------------------------------------------------------------
Dominios que sao acessados sem autenticacao no proxy - bypass
-----------------------------------------------------------------------------------
acl dominios_bypass dstdomain "/var/squid/acl/bypass/dominios.acl"
http_access allow dominios_bypassOBS: Sempre que puder crie uma descrição da ACL criada… isso facilita identificar a função da ACL.
–## Etapa 3 - Inserindo as configurações da Etapa 2 nas configurações do squid via GUI do pfSense (Services > Proxy Server)
# Acessar o menu de configuração do squid, menu "Services > Proxy Server":
–# Copiar o a configuração da ACL criada na Etapa 2:
*********** COPIAR O CONTEUDO TODO ABAIXO ***********
–--------------------------------------------------------
Dominios que podem ser acessados sem autenticacao no proxy
----------------------------------------------------------
acl dominios_bypass dstdomain "/var/squid/acl/bypass/dominios.acl"
http_access allow dominios_bypass******************* FIM ********************
# Vá até a opção "Custom Settings" e cole o conteúdo acima no campo "Custom ACLS (Before_Auth)" e depois clique em SAVE.
OBS: A ACL deve ser criada ANTES DOS PARAMETROS DE AUTENTICAÇÃO CONFIGURADOS NO SEU SQUID!!!
–
# Testar a solução!OBS: A solução apresentada foi feita em cima do pfSense 2.2.3 utilizando a última versão do squid3 !!!
Também é interessante você criar uma ACL para dominios que não irão para o CACHE squid, isso também evita problemas de acesso a determinados serivços. ;)
-
Como sugestão, utilize o pacote filer para criar o aquivo da etapa1. dessa forma suas configurações ficam no backup xml do pfSense e facilitam bastante uma restauração.
