Ir para o conteúdo

Capítulo 38 – Exceções no Proxy

graph LR
    A["Site que precisa ser<br>liberado"]
    B["Liberar via Policy do<br>Squid"]
    C["Funcionou?"]
    D["Finalizado!"]
    E["Liberado na Whitelist<br>Geral do Squid"]
    F["Funcionou?"]
    G["Finalizado!"]
    H["Adicionar no Wpad e<br>criar Regra de Liberação<br>no Firewall"]

    A --> B --> C
    C -->|Sim| D
    C -->|Não| E
    E --> F
    F -->|Sim| G
    F -->|Não| H

Introdução

Em um ambiente corporativo, é comum que determinados sites precisem ser liberados incondicionalmente, seja por razões de negócios, suporte técnico ou requisitos de integração. O Squid Web Proxy, junto com o OPNsense, oferece diferentes níveis e mecanismos de liberação, que podem ser aplicados dentro ou fora do proxy.

Este capítulo apresenta as três abordagens principais para permitir o acesso a sites específicos, explicando em que cenário cada uma delas é mais adequada.

Métodos de Liberação

No OPNsense com Squid, você pode liberar websites de três maneiras distintas:

  1. Criando uma política de liberação aplicada a toda a rede (via Policies);
  2. Adicionando o domínio na Whitelist do próprio Squid Proxy;
  3. Fazendo o tráfego passar totalmente fora do proxy, via WPAD e regras de firewall.

Cada método tem um impacto diferente sobre o comportamento da autenticação, filtragem e auditoria. A seguir, veremos como configurar cada um.

1. Cadastrar o Website em uma Política de Liberação Global

Este método cria uma policy com prioridade máxima, que permite o acesso a determinados domínios para todos os usuários da rede. Ideal para websites corporativos essenciais, intranets, portais de governo, entre outros sites confiáveis.

Passos

  1. Acesse o menu: Services → Squid Web Proxy → Policies

  2. Clique em Add para criar uma nova política e preencha conforme o exemplo:

  3. Priority: 0

  4. Name: Whitelists
  5. Action: Allow
  6. Source Type: Address
  7. Source Address: 192.168.1.0/24 (ou a rede desejada)

  8. Domains: Liste os domínios que deverão ser liberados.

    Exemplo: gov.br, empresa.com.br, intranet.parceiro.com.br

  9. Clique em Save e depois em Apply.

  10. Acesse o menu lateral Administration e reinicie o serviço do Squid Proxy.

Dica

Políticas com prioridade 0 são avaliadas antes de todas as outras. Use-as com cuidado, garantindo que apenas sites realmente necessários sejam incluídos.

2. Cadastrar o Website na Whitelist do Próprio Squid Proxy

Caso os sites liberados ainda apresentem bloqueios ou solicitações de autenticação, é possível incluí-los na Whitelist interna do Squid. Dessa forma, o proxy autoriza o acesso imediatamente, sem aplicar autenticação, filtros ou regras adicionais.

Passos

  1. Acesse o menu: Services → Squid Web Proxy → Administration
  2. Vá até a aba Forward Proxy → Access Control List.
  3. No campo Whitelist, adicione os domínios que devem ser liberados incondicionalmente.
  4. Clique em Apply.
  5. Reinicie o serviço do Squid Proxy.

Comportamento

Websites adicionados na Whitelist são processados antes de qualquer ACL, garantindo liberação imediata — útil em casos de falha na autenticação (Kerberos/LDAP) ou portais que não suportam proxy autenticado.

3. Passar o Website Totalmente Fora do Proxy (WPAD)

Este método remove completamente o site do fluxo do proxy, redirecionando o tráfego diretamente para a Internet. É especialmente útil quando:

  • O site usa protocolos que não suportam proxy;
  • O proxy autenticado quebra o funcionamento do sistema;
  • Há aplicações locais que dependem de conexão direta.

Passos

a) Editar o WPAD (Proxy Auto Config)

  1. Acesse o menu: Services → Squid Web Proxy → Administration
  2. Vá até a guia Proxy Auto Config → Matches.
  3. Localize a entrada chamada Domínios Exceção e edite-a.

  4. Adicione os domínios que devem ser acessados fora do proxy.

    • Use o asterisco * como curinga.
    • Exemplo: 
      *citrait.com.br  
*microsoft.com  
*azureedge.net

  5. Clique em Save.

  6. Clique no botão de seta circular (Reload) para aplicar as alterações.

b) Garantir que o Firewall Permita o Tráfego Direto

  1. Acesse o menu: Firewall → Aliases
  2. Edite o alias com nome SITES_EXCECAO_PROXY (criado no capítulo Bloqueio das Portas de Navegação Direta).
  3. Adicione os mesmos domínios ou IPs configurados no WPAD, mas sem usar o curinga *, ou seja, tanto citrait.com.br quanto www.citrait.com.br.
  4. Salve e aplique as alterações.

Agora, os sites listados poderão ser acessados diretamente, sem passar pelo Squid.

Teste de funcionamento

Abra uma guia anônima no navegador para testar sem cache. Se o acesso funcionar, feche todas as janelas e reabra o navegador do usuário já com as exceções WPAD aplicadas.

Conclusão

Você aprendeu as três abordagens principais para liberar sites específicos dentro do Squid/OPNsense:

  1. Policy de Liberação Global: quando o acesso deve ser liberado para toda a rede;
  2. Whitelist do Squid: quando o site precisa passar pelo proxy, mas sem autenticação;
  3. Exceção via WPAD/Firewall: quando o tráfego deve ir diretamente à Internet.

Cada método tem seu propósito — do mais controlado ao mais permissivo.

A escolha ideal depende da política de segurança da empresa e do nível de compatibilidade do site com o proxy.