Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Duvida de implantação em ambiente basico

    Scheduled Pinned Locked Moved Portuguese
    7 Posts 4 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      leoescarpellin
      last edited by

      Pessoal boa tarde,

      Gostaria de uma opinião de vocês. Estou com um cenário simples onde preciso colocar um pfsense para controle de internet, o local não possui qualquer servidor de domínio, apenas estações de trabalho.

      Qual vocês acham que seria a melhor forma de eu fazer isso, normalmente com domínio integro com ad fica show de bola, sem domínio eu caio em alguns problemas. Listei abaixo 3 cenários que imaginei e fiz alguns testes, teriam como me dar uma opinião qual a melhor forma de se tratar isso em um ambiente como esse?

      1. Squid3 (Não transparente com usuários locais) + SquidGuard + WPAD no pfsense distribuído por DHCP/DNS. Problema deste cenário, usuário pode facilmente desmarcar o proxy ou a detecção automática dos navegadores.

      2. Squid3 (Transparente) + Captive Portal + FreeRadius. Problema deste cenário, Ainda não consegui acertar de forma correta o patch para o cp integrar com o squid 0.4.7 que veio com a função desativada, o mesmo não mostra os usuários autenticados no cp e a necessidade de instalar o certificado SSL para interceptar o acesso https.

      3. Squid3 (transparente) + SquidGuard. Problemas deste cenário, não lista usuários por nome no log, necessidade de instalar o certificado SSL para interceptar o acesso https.

      Att,
      Leonardo Escarpellin

      Att,
      Leonardo Escarpellin

      1 Reply Last reply Reply Quote 0
      • A
        andr3.ribeiro
        last edited by

        Eu tenho sua opção 1 implementada.
        Bloqueia a porta 80, 443 que resolve

        1 Reply Last reply Reply Quote 0
        • L
          leoescarpellin
          last edited by

          @andr3.ribeiro:

          Eu tenho sua opção 1 implementada.
          Bloqueia a porta 80, 443 que resolve

          Vc só bloqueia as portas ou cria um NAT delas para a 3128,3129 respectivamente?

          Se eu criar um NAT não preciso bloquear as portas?

          Att,
          Leonardo Escarpellin

          1 Reply Last reply Reply Quote 0
          • H
            henriquejensen
            last edited by

            1. Squid3 (Não transparente com usuários locais) + SquidGuard + WPAD

            (melhor opção ao meu ver, e se vc bloquear as portas e deixar somente a do proxy o usuario vai ficar sem navegar caso desmarque o proxy.)

            2. Squid3 (Transparente) + Captive Portal + FreeRadius

            (Freeradius é show, mas é uma coisa à mais pra vc ter q se preocupar quando der problema, oque raramente acontece, só vejo tretas com interceptação de SSL, os navegadores vivem encomodando).

            3. Squid3 (transparente) + SquidGuard

            (muito furo no bloqueio de sites e portas)

            Vc vai usar a mesma rede pra acesso wifi em dispositivos móveis?

            1 Reply Last reply Reply Quote 0
            • T
              tomaswaldow
              last edited by

              Sempre uso opção 1, mas não precisa bloquear, basta apagar a regra padrão, e adicionar as regras para as portas/serviços que vai usar.

              Ex: DNS, VPN, 3128, etc…
              As portas que não estiverem liberadas por padrão estão bloqueadas.

              Tomas @ 2W Consultoria

              1 Reply Last reply Reply Quote 0
              • L
                leoescarpellin
                last edited by

                Sim henrique vai ser a mesma rede para wifi e interna…

                Fiquei com a opção 1 mesmo... acertei todas as maquinas e quem tentar fazer gracinha roda rs rs rs.
                Vamos ver como será em produção na semana q vem quando o pessoal volta a trabalhar.

                Att,
                Leonardo Escarpellin

                1 Reply Last reply Reply Quote 0
                • H
                  henriquejensen
                  last edited by

                  @leoescarpellin:

                  Sim henrique vai ser a mesma rede para wifi e interna…

                  Fiquei com a opção 1 mesmo... acertei todas as maquinas e quem tentar fazer gracinha roda rs rs rs.
                  Vamos ver como será em produção na semana q vem quando o pessoal volta a trabalhar.

                  Vc vai criar regras com range de ips pros dispositivos móveis liberando as portas de navegação e dns e etc ou vai setar proxy neles? Te pergunto isso pq em um cliente acabei fazendo isso por conta de nao conseguir configurar a Vlan pra uma interface virtual pra usar o captive portal nos roteadores wifi :/

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.