pfSense Gold Subscription

Author Topic: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)  (Read 1990 times)

0 Members and 1 Guest are viewing this topic.

Offline andreartedesign

  • Newbie
  • *
  • Posts: 1
    • View Profile
 ;D boa noite, sou novo no forum e instalei o PfSense no servidor da empresa (ele esta configurado no básico fazendo proxy) mais gostaria de configura-lo em modo totalmente -- restrito -- bloqueando tudo e ir liberando sites, VPNs e portas de acordo com a necessidade... E faz autenticação com usuário no active Directory do windows 2008R2 só q não arrisco fazer sem opnião de vocês q mexe a mais tempo do q eu neste sistema. Ficaria grato! ::)

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9930
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #1 on: June 25, 2012, 10:42:23 pm »
André, bem vindo ao fórum. :)

Leia e veja os tutoriais sobre regras e aliases, eles vão te ajudar a entender como o pfsense funciona.

O acesso externo
( wan -> lan ) já vem bloqueado por padrão. O que voce vai alterar são as regras da lan. Crie os acessos antes de desabilitar a regra padrão e lembre sempre de fazer backup antes de começar a alterar a configuração.

Como voce vai encontrar nos tutorias e tópicos do fórum, a integração de autenticacao é possivel desde que nao use proxy transparente.

Offline leotomé

  • Newbie
  • *
  • Posts: 16
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #2 on: June 27, 2012, 09:08:05 pm »
Cara... não sei se é a forma correta de se fazer, mas fiz o teste aqui e funcionou. Lá no squid onde tem a black list eu coloquei apenas um ponto ".", e ele bloqueia qualquer página, pois todas precisam do "." (.pagina.com.br) daí na lista de liberados fui colocando os sites permitidos.
Funcionou! Tenta aí! Espero ter ajudado! ;)

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9930
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #3 on: June 28, 2012, 09:41:51 am »
Usando em modo não transparente e bloqueando as outras portas, funciona sim.

Agora se o modelo é instalação padrão com o squid em modo transparente, então um simples https pula o bloqueio.

att,
Marcello Coutinho

Offline vithort

  • Full Member
  • ***
  • Posts: 172
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #4 on: June 28, 2012, 06:44:09 pm »
Uma duvida marcelloc,

eu vi que tem um pacote Squid3 que diz que filtra HTTPS, como funcionaria?

Eu tenho que ter o squid e squid3 instalados juntos ou só funciona se tiver apenas um deles?

Ou de nenhum jeito funciona? rs

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9930
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #5 on: June 28, 2012, 09:54:37 pm »
eu vi que tem um pacote Squid3 que diz que filtra HTTPS, como funcionaria?
Para filtrar acesso ssl no squid, basta marcar o proxy no browser do cliente(de forma manual ou usando WPAD/PAC).

A função de ssl também existe para o proxy reverso(quando você publica um ou mais sites em uma ou mais máquinas na sua rede interna e coloca o squid3 para fazer a segurança/distribuição das requisições usando pelo menos um ip público).

Para usá-lo, você precisa desinstalar o squid2.

Só lembrando que o squid3, principalmente nas funções de proxy reverso, está em versão beta.
Ainda tenho que testar o ssl com vários certificados e transferir as configurações específicas do owa da aba geral para a aba dos servidores internos.

att,
Marcello Coutinho


Offline vithort

  • Full Member
  • ***
  • Posts: 172
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #6 on: June 29, 2012, 09:05:41 am »
Desculpe a ignorancia,

Tenho um proxy transparente. Como faria para deixalo sem ser transparente? Já estou com muitos problemas com pessoas usando HTTPS para burlar os acessos e como hoje em dia quase todos os sites tem HTTPS fica dificil segurar o pessoal.

Pelo que imagino provavelmente deveria bloquear no firewall as portas:
TCP 80
TCP 443


Criar um NAT Port Forward:
(imagem em anexo)

O que mais eu deveria fazer? Ativar a opcao de Proxy no navegador? (imagem em anexo)
Ali devo colocar a direcao de meu proxy ou o que?

Exemplo:
Check - Usar um servidor proxy para a LAN
Direcao: 192.168.4.1 (IP de meu proxy)
Porta: 80

Assim deveria ser??

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9930
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #7 on: June 29, 2012, 09:14:17 am »
  • Desabilite os nats
  • crie as regras na wan bloqueando 80,443(prefiro bloquear tudo e liberar o que precisa, usando aliases e regras)
  • Configure o browser do cliente com o ip da lan do pfsense e a porta do squid(na mesma tela que você postou)

Offline vithort

  • Full Member
  • ***
  • Posts: 172
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #8 on: June 29, 2012, 09:34:00 am »
Ficaria assim entao?

- Excluir os NAT Forward

- Criar Firewall Rules WAN:
(imagem em anexo)

- Desativar a opcao Transparent Proxy em Proxy Server
(imagem em anexo)

- Ativar Proxy no navegador:
(imagem em anexo)
Direcao: 192.168.4.1 (Proxy IP)
Porta: 3128 (Squid Port)


??

Valeu!

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9930
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #9 on: June 29, 2012, 10:11:16 am »
A regra fica na lan e não na wan.

Sempre crie regras na interface onde a comunicação começa.


Offline vithort

  • Full Member
  • ***
  • Posts: 172
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #10 on: June 29, 2012, 05:49:58 pm »
Olá marcelloc,

Fiz o que foi recomendado, mas antes de provar fiz as regras somente para meu computador na rede.

Funcionou, ele estava sem internet. Marquei o proxy no Navegador e funcionou.

O problema é que me aparece sempre a mensagem sem conexao (ver imagem), mesmo podendo navegar e tudo mais.

tem como resolver esse problema?

valeu!

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9930
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #11 on: June 29, 2012, 09:17:24 pm »
tem como resolver esse problema?

Veja via tcpdump o que o windows tenta acessar para dizer se tem internet disponível ou não.

Talvez seja apenas consultas dns ou um icmp qualquer.

att,
Marcello Coutinho

Offline vithort

  • Full Member
  • ***
  • Posts: 172
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #12 on: June 30, 2012, 08:45:56 am »
Depois que eu fiz essas mudancas, meu proxy esta se comportando de maneira estranha...

esta me bloqueando até para acessar o Common ACL, Groups ACL, etc... quando tento acessar isso me sai a mensagem de erro do SquidGuard.

Alguma ideia do que pode ter acontecido?

pensei que poderia ter sido meu IP que estava bloqueado, mas mesmo mudando meu IP ou tentando de outro PC, ele sai o mesmo erro.

PS: mesmo mudando meu IP de 192.168.4.61 para 192.168.4.62 ele ainda sai a mensagem de Client 192.168.4.61 no erro do SquidGuard! Já reiniciei o Proxy e nada

Offline vithort

  • Full Member
  • ***
  • Posts: 172
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #13 on: June 30, 2012, 08:48:02 am »
Também quando tento entrar na interface LAN de meu proxy sai a mensagem "Request denied by pfSense proxy: 403 Forbidden"

Só consigo acessar as minhas WANs.

Eu consigo acessar o proxy em todas opcoes desde a WAN, já verifiquei se é alguma configuracao e nao identifiquei ainda ...


alguma dica? (antes de restaurar o backup?)

Offline vithort

  • Full Member
  • ***
  • Posts: 172
    • View Profile
Re: Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
« Reply #14 on: June 30, 2012, 04:08:38 pm »
provavelmente foi um bug no pfsense.

restaurei o backup e pronto.

valeu