allora squid e' il proxy. praticamente un proxy riceve delle chiamate http, guarda se dei dati li ha in locale, se possiede la copia chache delle pagine gira al richiedente quella che lui possiede sul disco, senno inoltra al gateway la richiesta e quello che poi il gateway gli invia lo salva in cache e lo rigira al richiedente.
praticamente si fa un copia locale delle cose piu richieste in modo da non consumare la banda per esempio per tirare giu loghi o filmatini che hanno frequenza elevata di richiesta.
il traffico web in chiaro ( non criptato .. quindi https escuso..) viene fatto sulla porta 80
server http( esempio youtube ) <–---> gateway(pfsense)<-->proxy(pfsense)<---> User
solitamente il proxy ha una sua porta specifica (3... qualcosa) che deve essere configurata in tutti i browser dei richiedenti.
o piu comodamente puo essere impostato in modalita trasparente ( redirect di tutte le chiamate :80 alla porta del proxy...)
per vedere cosa fanno gli utenti ti occorre un pacchetto di reporting tipo Lightsquid perche squid e' solo il motore di caching web .
allo stato attuale ci sono grossi problemi con il load balancing e squid: le versioni prima di squid 3 cachavano solo un interfaccia ( la wan) con squid 3.0 si possono usare piu wan ma come vedrai dai post non sempre funziona! quindi quello che consiglio ora come ora e:
se necessiti del load balancer o non usi il proxy o usi 2 macchine una per il bilancimaneto e una per fare da firewall/proxy ( oppure usi vyatta a monte di pfsense). ricordati che una doppia logica (2 strati di macchie) incasina in maniera esponenziale la difficolta per rotte statiche , vpn, nat ecc ! valuta bene .
per quello che riguarda invece il proxy filtering devi usare un altro pacchetto: squidguard che filtra e blocca le chiamate a determinati siti ( sempio bloccare facebook.)
per quello che riguarda il radius :
se non utilizzi una macchina esterna come radius server puoi benissimo usare lLocal user manager specificando te a mano gli utenti e le relative password nella linguetta user dentro al captive invece di usare freeradius ( IO l'ho usato … e se non hai grosse richiesta in termini di utenza puoi benissimo fare con il local...).
il radius e' un servizio di accounting-autentication.
l'username e la password vengono sparati ad un servizio che ve verifica l'abilitazione .(radius server)
a intervalli regolari la macchina autenticatrice manda un pacchetto definito di accountg per comunicare lo stato di attivita dell'utente.
il radius server puo essere un servizio sulla stessa macchina pfsense ( e quindio stesso ip) oppure un altra macchina su cui per esempio gira anche mysql ( un server radius ''professionale'' esegue delle query su un database in base a migliaia di impostazioni e restituisce l'abilitazione alla navigazione per questo ti dico che puoi usare il local user manager se il radius gira su pfsense!!! )
spero di esserti stato di aiuto.