pfSense Gold Subscription

Author Topic: Problema com acesso sem proxy  (Read 488 times)

0 Members and 1 Guest are viewing this topic.

Offline slon

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Problema com acesso sem proxy
« on: May 18, 2017, 03:06:28 pm »
Boa tarde a todos,

Tenho o seguinte ambiente aqui na empresa.

Tenho um PFSense instalado, fazendo papel de gateway da rede, com dhcp ativo.
Ele também é responsável pelo squid autenticado e sarg.

Até ai tudo bem, eu coloco o proxy na aba conexões la em Opções da Internet, show, tudo funciona.
Mas quando eu removo o proxy, o acesso total é liberado.
Como eu posso fazer para bloquear o acesso para usuários que não estejam com o proxy ativo ?

Eu tentei com o proxy transparente, mas estava dando muito problema com os sites HTTPS.

Outro problema é quando tento gerar o relatorio do SARG.

Se eu forço ele a fazer, ele gera numa boa .. mas se eu abro a pagina novamente ele some o index parece.
No Realtime funciona certinho, numa boa ..

Tem esse erro aqui quando salvo a informação da agenda: Warning: symlink(): No such file or directory in /usr/local/pkg/sarg.inc on line 98

Ele gera, mas quando abro o relatorio, recebo esse código de erro.

Error: Could not find report index file.
Check and save Sarg settings and try to force Sarg schedule.

Se alguém puder me ajudar eu agradeço.

« Last Edit: May 18, 2017, 03:48:04 pm by slon »

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 13352
  • Karma: +579/-6
    • View Profile
Re: Problema com acesso sem proxy
« Reply #1 on: May 18, 2017, 10:30:42 pm »
O bloqueio de máquinas sem proxy é feito nas regras da Lan. Bloqueie principalmente 80 e 443. Mas de preferência a configuração inversa, ou seja, libere apenas os serviços que a empresa necessita.

Offline slon

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Problema com acesso sem proxy
« Reply #2 on: May 19, 2017, 07:12:09 am »
Certo, eu li sobre isso em outros, mas quando faço isso com e sem proxy para tudo aqui..

Teria algum exemplo de como ficaria ?

Não sou expert em firewall e essas paradas..

Como aqui não tem AD, não tenho como bloquear a parte do proxy, se desse seria tudo mais simples, então, busco soluções alternativas para os caras que tirarem o proxy de la ..

Offline Diogenis

  • Newbie
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Re: Problema com acesso sem proxy
« Reply #3 on: May 19, 2017, 01:24:26 pm »
Cria uma regra na LAN autorizando o FW a acessar as portas 80 e 443

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 13352
  • Karma: +579/-6
    • View Profile
Re: Problema com acesso sem proxy
« Reply #4 on: May 20, 2017, 10:04:46 pm »

Não sou expert em firewall e essas paradas..


Você precisa criar uma regra de firewall em firewall -> rules -> lan.

acima da regra que libera tudo, você cria uma regra bloqueando trafego tcp na porta 80 e outra regra bloqueando trafego tcp na porta 443.

Tanto no forum, quando no google você encontra fácil tutoriais de como criar regras de firewall no pfSense.

Offline slon

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Problema com acesso sem proxy
« Reply #5 on: May 23, 2017, 09:09:00 am »
Tudo bem, vou tentar efetuar essas alterações.

Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

Offline danilosv.03

  • Hero Member
  • *****
  • Posts: 1209
  • Karma: +70/-14
    • View Profile
Re: Problema com acesso sem proxy
« Reply #6 on: May 23, 2017, 09:15:04 am »
Tudo bem, vou tentar efetuar essas alterações.

Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

Sim.
_________________________

|Analista de Segurança
|E-mail: danilosv.03@gmail.com
|Skype: danilosv.03
_________________________

Offline slon

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Problema com acesso sem proxy
« Reply #7 on: May 23, 2017, 09:39:43 am »
certo, vou tentar efetuar essas alterações e comunico.

Quanto ao Sarg, alguem tem algum parecer?

O cenário que preciso dentro da empresa é bem simples..

Preciso apenas do proxy transparente rodando, sem bloqueios algum e o relatorio de acessos aos sites, porém tive diversos erros com os sites https, erros com o certificado, ja fiz e refiz 30x e persiste os erros..
o sarg, da uns bugs que quando atualiza some todos os relatorios ..

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 13352
  • Karma: +579/-6
    • View Profile
Re: Problema com acesso sem proxy
« Reply #8 on: May 23, 2017, 11:24:17 am »
Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.

Offline Tomas Waldow

  • Hero Member
  • *****
  • Posts: 2475
  • Karma: +155/-1
    • View Profile
Re: Problema com acesso sem proxy
« Reply #9 on: May 23, 2017, 11:52:02 am »
Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.

Com o splice o consumo de memoria está bem alto, avaliar com moderação.

Marcello, esta tendo sucesso com Splice All?

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 13352
  • Karma: +579/-6
    • View Profile
Re: Problema com acesso sem proxy
« Reply #10 on: May 23, 2017, 11:56:13 am »
Marcello, esta tendo sucesso com Splice All?

só lab por enquanto. Estou focado no antispam e e2guardian.

Offline vsaad

  • Jr. Member
  • **
  • Posts: 60
  • Karma: +3/-0
    • View Profile
Re: Problema com acesso sem proxy
« Reply #11 on: May 23, 2017, 07:22:34 pm »
Tudo bem, vou tentar efetuar essas alterações.

Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.

O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.

Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.





Offline danilosv.03

  • Hero Member
  • *****
  • Posts: 1209
  • Karma: +70/-14
    • View Profile
Re: Problema com acesso sem proxy
« Reply #12 on: May 24, 2017, 06:14:49 am »
Tudo bem, vou tentar efetuar essas alterações.

Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.

O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.

Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.
Acredito que não, pois como a regra é default, ela ta liberando tudo, se ta liberando tudo consequentemente era pra ta acessando normal.
_________________________

|Analista de Segurança
|E-mail: danilosv.03@gmail.com
|Skype: danilosv.03
_________________________