pfSense Support Subscription

Author Topic: Direcionar trafego para a porta 3128 do squid [RESOLVIDO]  (Read 12572 times)

0 Members and 1 Guest are viewing this topic.

Offline ricardodru

  • Jr. Member
  • **
  • Posts: 34
    • View Profile
Direcionar trafego para a porta 3128 do squid [RESOLVIDO]
« on: July 16, 2011, 04:40:27 pm »
Senhores,
Começei a utilizar o pfsense como firewall e proxy da rede, mas estou com algumas duvidas.
Quando altero as configurações do squid, desmarco a opção de proxy transparente, os usuários continuam a navegar sem nenhum tipo de bloqueio.
As minhas regras do firewall "Rules", não possui nenhuma regra cadastrada.

Vejo que o pfsense faz automaticamente o direcionamento do trafego na porta 80, para a 3128, mas nao vejo onde esta esta regra.

Estou perguntando isso, porque fiz alguns testes para o squid autenticar no AD (como não estou conseguindo fazer isso, irei postar outro topico), e ao desmarcar a opção "proxy transparent", o acesso fica liberado, só pedi login e senha quando habilito o proxy no navegador.

Pergunta:
Como faço as regras de firewall para direcionar os trafegos vindo das portas 80 e 443 para a porta 3128 do squid ?
Qual a regra para que o usuário nao navegue na internet configurando o navegador, para utilizar outro proxy qualquer ?
Estou utilizando a versão 2.0 RC3

Obrigado!
« Last Edit: July 26, 2011, 07:33:26 pm by ricardodru »

Offline johnnybe

  • Hero Member
  • *****
  • Posts: 1395
  • I've got... a head with wings
    • View Profile
    • nextsense blog
Re: Direcionar trafego para a porta 3128 do squid
« Reply #1 on: July 17, 2011, 10:09:07 am »
Ricardo,
Adicione uma nova regra do firewall na Lan, conforme imagem abaixo.
Contudo, uma vez que o Squid está em modo transparente, isso não vai impedir
que um usuário mais espertinho configure o navegador para acessar um proxy externo
que utilize outra porta além da 3128, conforme você pode checar neste post:
http://forum.pfsense.org/index.php/topic,38881.0.html

Tenha em mente aquela regra default na Lan: tudo que se origina da Lan net, de qualquer porta,
para qualquer destino, é permitido. Por isso a adição da nova regra antes da regra default.
Para certos ambientes, o ideal é desabilitar a regra default e abrir apenas as portas necessárias.

Editado para correção de engano na regra.



« Last Edit: July 18, 2011, 06:29:08 pm by johnnybe »
you would not believe the view up here

Offline ricardodru

  • Jr. Member
  • **
  • Posts: 34
    • View Profile
Re: Direcionar trafego para a porta 3128 do squid
« Reply #2 on: July 18, 2011, 06:24:29 am »
Johnnybe
Obrigado pela ajuda.
Tentei fazer conforme sua instrução, mas ao desabilitar o proxy transparente, os usuários navegam a full, sem nenhum bloqueio

Estou anexando a copia da tela onde mostra as regras do firewall. Assim poderia analisar o que esta errado.
Obrigado!

Offline johnnybe

  • Hero Member
  • *****
  • Posts: 1395
  • I've got... a head with wings
    • View Profile
    • nextsense blog
Re: Direcionar trafego para a porta 3128 do squid
« Reply #3 on: July 18, 2011, 06:27:16 pm »
Oooppsss, desculpe-me. Cometi um engano nas regras anteriores. Editei o post trocando a imagem das regras e fiz um teste rápido aqui.
Funcionou.
Tente mais uma vez, seguindo as regras conforme imagem editada.
Pare o squid e seja rápido para tentar acesso. Na nova versão o squid, uma vez parado,
reinicia rapidamente. Leva menos de um minuto para ele reiniciar.
you would not believe the view up here

Offline ricardodru

  • Jr. Member
  • **
  • Posts: 34
    • View Profile
Re: Direcionar trafego para a porta 3128 do squid
« Reply #4 on: July 22, 2011, 09:28:11 am »
Oooppsss, desculpe-me. Cometi um engano nas regras anteriores. Editei o post trocando a imagem das regras e fiz um teste rápido aqui.
Funcionou.
Tente mais uma vez, seguindo as regras conforme imagem editada.
Pare o squid e seja rápido para tentar acesso. Na nova versão o squid, uma vez parado,
reinicia rapidamente. Leva menos de um minuto para ele reiniciar.


johnnybe
Me desculpe a demora em responder.
Acabei de fazer um teste conforme o exemplo que vc me enviou, mas ao desmarcar o "proxy transparente", a navegação fica a full, sem bloqueio.
Veja a tela, com as minhas regras de firewall.
Obrigado!

Offline johnnybe

  • Hero Member
  • *****
  • Posts: 1395
  • I've got... a head with wings
    • View Profile
    • nextsense blog
Re: Direcionar trafego para a porta 3128 do squid
« Reply #5 on: July 22, 2011, 04:01:58 pm »
Vou fazer uns testes aqui. Antes disso, tente trocar Wan net por *, ou seja, qualquer destino.
you would not believe the view up here

Offline johnnybe

  • Hero Member
  • *****
  • Posts: 1395
  • I've got... a head with wings
    • View Profile
    • nextsense blog
Re: Direcionar trafego para a porta 3128 do squid
« Reply #6 on: July 22, 2011, 06:08:43 pm »
Testes feitos e funciona conforme regras da imagem abaixo.
Porém, há algumas considerações:

Se você optar por utilizar a regra na Lan conforme abaixo, você estará obrigando qualquer cliente (host)
a configurar o navegador para utilizar o proxy. Independente se o Squid está configurado para modo
transparente ou não!

Segundo minhas pesquisas, quando em modo transparente, o Squid redireciona qualquer requisição da
Lan para Wan na porta 80 para a porta 3128. Isso independente do firewall. Você vai perceber que,
ao utilizar a regra com * conforme a imagem que postei abaixo, o firewall vai bloquear o loopback na porta 80
quando o navegador estiver sem configuração de proxy.
Qualquer host que for utilizar a web vai precisar configurar o navegador para o proxy.

Daí aquilo que falei antes:
Uma vez que o Squid está em modo transparente, isso não vai impedir
que um usuário mais espertinho configure o navegador para acessar um proxy externo
que utilize outra porta além da 3128.

« Last Edit: July 22, 2011, 06:45:42 pm by johnnybe »
you would not believe the view up here

Offline ricardodru

  • Jr. Member
  • **
  • Posts: 34
    • View Profile
Re: Direcionar trafego para a porta 3128 do squid
« Reply #7 on: July 22, 2011, 06:53:23 pm »
johnnybe, faltou postar a imagem de como ficou as regras que vc testou.
Estive pesquisando e encontrei um tutorial neste link:

http://gelson.iyd.com.br/?p=155

Neste artigo esta descrito que o trafego será redicionado para a porta do squid que escuta na 8080.
Analisando minhas regras, percebi que nao possui aquela regrinha basica onde bloqueia tudo, e depois vai liberando o que precisa.

Talvez eu só vou conseguir testar na segunda feira, dai postarei os resultados.
Obrigado por enquanto.


Offline johnnybe

  • Hero Member
  • *****
  • Posts: 1395
  • I've got... a head with wings
    • View Profile
    • nextsense blog
Re: Direcionar trafego para a porta 3128 do squid
« Reply #8 on: July 22, 2011, 06:57:05 pm »
johnnybe, faltou postar a imagem de como ficou as regras que vc testou.

Foi mesmo. Eu estava dando um suporte a cliquei Post por acidente.
Já corrigi.
Desculpe-me.
you would not believe the view up here

Offline johnnybe

  • Hero Member
  • *****
  • Posts: 1395
  • I've got... a head with wings
    • View Profile
    • nextsense blog
Re: Direcionar trafego para a porta 3128 do squid
« Reply #9 on: July 22, 2011, 07:10:33 pm »
Estive pesquisando e encontrei um tutorial neste link:

http://gelson.iyd.com.br/?p=155

Neste artigo esta descrito que o trafego será redicionado para a porta do squid que escuta na 8080.
Analisando minhas regras, percebi que nao possui aquela regrinha basica onde bloqueia tudo, e depois vai liberando o que precisa.

Se funcionar... apenas, e apenas dessa maneira cujo link vc postou acima, avise. Por que no meu entendimento é pra funcionar independente da porta que você coloca o Squid pra escutar. Desde que não seja uma porta em conflito com outro aplicativo.
you would not believe the view up here

Offline ricardodru

  • Jr. Member
  • **
  • Posts: 34
    • View Profile
Re: Direcionar trafego para a porta 3128 do squid
« Reply #10 on: July 25, 2011, 04:41:46 pm »
johnnybe
Fiz conforme suas instruções, e funcionou muito bem.
A porta do squid continua na padrão 3128.
Quando desativo o proxy transparente, não é possivel navegar até setarem as configurações de proxy no navegador.
Obrigado pela ajuda !
Abraços

Offline johnnybe

  • Hero Member
  • *****
  • Posts: 1395
  • I've got... a head with wings
    • View Profile
    • nextsense blog
Re: Direcionar trafego para a porta 3128 do squid
« Reply #11 on: July 26, 2011, 07:27:51 pm »
Fico contente em ter ajudado.
Por favor, edite seu Post e coloque Resolvido após o assunto. Isso ajuda quem procura (search).
Valeu.
you would not believe the view up here

Offline digilabtec

  • Newbie
  • *
  • Posts: 1
    • View Profile
Re: Direcionar trafego para a porta 3128 do squid [RESOLVIDO]
« Reply #12 on: October 14, 2011, 10:31:35 am »
Olá Amigos sou novo aqui no sistema mais acho que perante a todas as dúvidas que foram apresentadas acima o ponto culminante para que estas regras funcionem é não observar se DNS FORWARDER está ou não habilitado, pois se o mesmo estiver não importa a regra que seja colocada em RULES / NAT o serviço de DNS será enviado as maquinas da rede local mesmo que o DNS não seja informado nas configurações da placa de rede.

Bom apenas queria compartilhar com todos pois depois de quebrar a cabeça revirar a internet acabei sem querer desabilitando DNS FORWARDER e todas as regras das telas acima acabaram funcionando e hoje eu tenho como unica forma de acesso a internet na maquina locais o serviço proxy.

Agradesço a ajuda de todos e intero que realmente a primeirro momento o PFsense é muito bom mesmo.

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9930
    • View Profile
Re: Direcionar trafego para a porta 3128 do squid [RESOLVIDO]
« Reply #13 on: October 14, 2011, 11:52:38 am »
digilabtec,

Apesar do seu serviço de proxy estar funcionando, suas regras da lan estão incorretas.

source port e dest port nao significa redirecionamento.

As regras de firewall no pfsense são analisadas na sequencia, portanto depois da regra que bloqueia a lan net, nenhuma outra será considerada.

O dns forwarder que você se referiu deveria estar atrapalhando a resolução local de nomes da maquina e não as regras de firewall.

Da uma olhada no docs.pfsense.com ou ate mesmo nos tutoriais deste forum para se aprofundar melhor nas configurações e possibilidades do pfsense.

Nota:
A primeira vista o pfsense é bom mesmo, a partir da segunda é melhor ainda ;)

att,
Marcello Coutinho
« Last Edit: October 15, 2011, 11:39:07 am by marcelloc »

Offline Daniiel.Batista

  • Newbie
  • *
  • Posts: 15
    • View Profile
Re: Direcionar trafego para a porta 3128 do squid
« Reply #14 on: November 17, 2011, 04:00:25 pm »
Testes feitos e funciona conforme regras da imagem abaixo.
Porém, há algumas considerações:

Se você optar por utilizar a regra na Lan conforme abaixo, você estará obrigando qualquer cliente (host)
a configurar o navegador para utilizar o proxy. Independente se o Squid está configurado para modo
transparente ou não!

Segundo minhas pesquisas, quando em modo transparente, o Squid redireciona qualquer requisição da
Lan para Wan na porta 80 para a porta 3128. Isso independente do firewall. Você vai perceber que,
ao utilizar a regra com * conforme a imagem que postei abaixo, o firewall vai bloquear o loopback na porta 80
quando o navegador estiver sem configuração de proxy.
Qualquer host que for utilizar a web vai precisar configurar o navegador para o proxy.

Daí aquilo que falei antes:
Uma vez que o Squid está em modo transparente, isso não vai impedir
que um usuário mais espertinho configure o navegador para acessar um proxy externo
que utilize outra porta além da 3128.



johnnybe desculpa a minha pergunta, se for ignorante, releve por favor, para direcionar as portas 80 e 443 para o Squid basta fazer esse tipo de configuração?

Fiz de uma forma um pouco diferente, criei duas regras, cada uma para cada porta e a princípio não funcionou, deixei-as respectivamente como sendo a segunda e terceira regra, apenas abaixo da regra que libero tudo para alguns IPs

Existem outras regras já funcionando (Bloqueio do MSN Messenger, GTalk, Facebook), o Facebook está sendo bloqueando agora pelos IPs das networks que ele possui, mas isso muda com o tempo e tem alguns outros sites na minha blacklist do squid que está bloqueando para a porta 80 e passando para a porta 443 (HTTPS)

Precisaria que os domínios que coloquei no Squid fossem bloqueados tanto para o http quanto para o https, o proxy está inserido em cada máquina, não preciso dele transparente. Caso tenha algo errado com as regras me informe, e ratifique se o bloqueio do http e https poelas geras é válido apenas para os domínios do Squid

Atenciosamente
« Last Edit: November 17, 2011, 04:02:15 pm by Daniiel.Batista »