Configuraração de rede corporativa e rede visitante pfsense



  • bom dia pessoal

    tenho um pfsense com 4 interface de rede 2 wan e duas lan, sendo que as 2 lan uma é rede corporativa e outra visitante.

    na rede corporativa mando a configuração do proxy por wpd beleza, mas na rede visitante também mandei esta conf mais os celulares não funcionarão o que fiz deixei como proxy transparente e liberei a porta https ai os celulares funcionou, queria ver com vcs qual é a melhor forma de fazer isso ou como posso redirecionar a porta 443 para o squid no proxy transparente pois tenho que fazer bloqueio dos sites pornográficos



  • Não faz redirect da 443 porque não funciona.

    O que eu faço é informar o proxy manualmente nos celulares (wpad não funciona em dispositivos móveis).

    Uma opção menos segura, mas possivel é usar o nxFilter, que faz fitro por DNS, ajuda mas não resolve totalmente pois usuários experientes poderão contornar.



  • a rede local Tomas não teria problema de configurar o proxy nos celulares e tal, mas a rede visitante não queria esta fazendo nenhuma configuração, tipo conectou beleza, sera que não possui uma regra float ou algo assim



  • @isaiasbertin:

    sera que não possui uma regra float ou algo assim

    Não, e não do pfSense, pelo simples fato de HTTPs ser criptografado.



  • É realmente nao tem como usar o proxy afetivo com filtro https em dispositivos moveis, no entanto alguns politicas de acesso podem ser implementadas, como o bloqueios de portas, liberar somente as essências como: https, dns, email, proxy, e as demais necessárias.
    Usar o pacote PFblockerNG ajuda bloquear alguns domínios direto no firewall, usar o squidguard para bloqueios de http e bloqueios manuais de domínios com aliases no firewall dificulta o uso improprio da rede. Enfim dá pra realizar alguns bloqueios com essas políticas.
    Aqui eu faço o monitoramento dos acessos com NtopNG ajuda bastante, identifico acessos indevidos e bloqueio no Captive.

    Blz :D



  • @denicio:

    É realmente nao tem como usar o proxy afetivo com filtro https em dispositivos moveis, no entanto alguns politicas de acesso podem ser implementadas, como o bloqueios de portas, liberar somente as essências como: https, dns, email, proxy, e as demais necessárias.
    Usar o pacote PFblockerNG ajuda bloquear alguns domínios direto no firewall, usar o squidguard para bloqueios de http e bloqueios manuais de domínios com aliases no firewall dificulta o uso improprio da rede. Enfim dá pra realizar alguns bloqueios com essas políticas.
    Aqui eu faço o monitoramento dos acessos com NtopNG ajuda bastante, identifico acessos indevidos e bloqueio no Captive.

    Blz :D

    Claro que dá, só usar proxy ativo nos dispositivos.



  • De forma automática? ::) Manual td bem, mais é inviável em uma rede Hotspot.



  • Usa Squid transparente + SquidGuard + captive portal e cria uma zona para rede corporativa e um para visitante no captive portal.

    Ai a internet só é liberada após logar no CP, e depois de logado o Squidguard fará os filtros.



  • Coloca o NxFilter e bloqueia a porta 53 para ninguém consultar outro ser Vidor DNS fora da rede, exceto o proprio NxFilter.



  • Tem uma conf. que da certo, da um pouco de trabalho mas funciona para proxy transparente.

    Vc vai trabalhar com Aliases eo Firewall.

    =====================================
    No firewall vc cria uma regra bloqueando o protocolo HTTPS.

    Crie uma Aliases com o nome  'Liberados' - nela vc adiciona os IPS que tenham acesso total.

    Crie outra Aliases com o nome 'HTTPS ou Sites' - nela vc adicionas os IP dos Sites HTTPS que vc quer liberar, tipo banco itau, facebook…etc.

    Coloque tudo exatamente na ordem, igual a imagem abaixo.

    https://app.box.com/s/ekvi83ykvt47u4diqqcpz77gxhakow1a


Log in to reply