Pfsense Squid3 Proxy Usuarios acessam sem o proxy.

danilotsi
(usa Ubuntu)

Enviado em 14/09/2014 - 09:58h

Bom dia, sou iniciante no Pfsense e no linux.
Mas montei um servidorzinho com pfsense e dai configurei tudo com ajuda de um amigo, o proxy é autenticado só e tals.
Quando configuro o proxy no pc dos usuarios fica tudo certo com bloqueios e autenticação. O unico problema é se o nao configurar no navegar o proxy, os usuarios conseguem acessar a internet de boa.
Como faço para corrigir este problema?
O proxy usa port 3128.

ribeirosga
(usa Ubuntu)

Enviado em 14/09/2014 - 11:20h

Meu velho, quando proxy autenticado infelizmente vc terá que fazer as inclusões máquina a máquina.
Caso não seja mesmo necessário usar autenticação, vc pode usar proxy transparente, aí sim, toda e qualquer alteração será feita somente no servidor.

Qualquer coisa dá um feedback.

n4t4n
(usa Arch Linux)

Enviado em 14/09/2014 - 12:56h

Bem vindo ao VOL, Danilo.

É isso que o Ribeiro informou. Caso você queira "forçar" todas as máquinas a usarem o proxy, mesmo se não estiverem configuradas você configura o proxy como transparente.

O método usado pelo proxy transparente consiste em "desviar" o tráfego das portas de navegação (80 e 443) para a do squid (3128).

Em tese, outro modo de bloquear os que não possuem a configuração do proxy no navegador é bloquear as portas de navegação no firewall para a rede (ou apenas para alguns). Aí só acessa quem está direcionando esse tráfego para a 3128 manualmente.
Digo "em tese" pois nunca testei esse método, mas pela lógica é assim que funciona.

rronaldo
(usa FreeBSD)

Enviado em 19/09/2015 - 09:50h

E como faço essa opção?

andr3ribeiro
(usa Arch Linux)

Enviado em 30/10/2015 - 11:24h

Suas opções são:
1 - Usar Proxy Ativo
Retirar a opção transparente do squid e marcar o endereço em todos os navegadores da rede
Pró:
Filtragem de não SSL e dos SSL, podendo controlar os sites negados em uma única ACL de bloqueio
Contra:
Ter que ir maquina a maquina configurar

2 - Utilizar Interceptação SSL
Marcar a opção de Proxy SSL no squid e instalar o certificado digital em todos os navegadores da rede
Pró:
Filtragem de nao SSL e dos SSL, podendo controlar os sites negados em uma única ACL de bloqueio
Contra:
Ter que ir maquina a maquina configurar

3 - Implementação do WPAD
Windows Proxy Auto Discovery lhe habilita automaticamente o proxy no navegador do cliente, podendo filtrar o conteúdo SSL "transparentemente" ao usuário
Pró:
Filtragem de nao SSL e dos SSL, podendo controlar os sites negados em uma única ACL de bloqueio
Contra:
Ele nega o método CONNECT, e não exibe pagina de erro do squid para sites SSL (youtube, facebook), mas.. o importante é bloquear, né?

4 - Alias no Firewall
Bloqueia-se a navegação nos IPs públicos do site em questão
Pró:
O acesso aos sites nessa regra não é completado
Contra:
o acesso ao endereço não é diagnosticado pelo proxy, ou seja, não é filtrado, e nen sai no relatório (sarg, lightsquid). Também é importante tomar cuidado para não bloquear, no caso do youtube, outros serviços da Google (ou The Alphabet, rsrs). Se ha schedule para regra de horario liberado ou bloqueado no squid, é necessário criar outra schedule no firewall para tal regra.