Local Network > Squid > pfSense

Guest

Olá pessoal, devido aos problema enfrentados com os pacotes do Squid no pfSense por causa do particionamento indevido do disco decidi instalar o squid em um host dedicado a parte do pfsense.

Ainda não sei muito. Mas falando com um amigo analista ele disse que o proxy em uma máquina dedicada seria o mais correto. Vou implanta-lo no modo transparente e gostaria de saber como ficaria a regra no pfsense. Quais as configurações devo fazer no firewall para isso.

FabianVitali

Olá Antonio,

Eu estou usando em um servidor de teste dessa forma:

Crie um aliase com o endereço de seu servidor proxy dedicado.

Crie outro aliase com as redes privadas.

Crie um gateway e vinculado a interface lan, coloque como endereço o seu servidor proxy dedicado e marque a opção Disable Gateway Monitoring.

Crie uma regra para o encaminhamento de todo o tráfego da porta 80 para seu servidor proxy dedicado.

Crie outra regra para que seu proxy e os demais serviços possam sair para a internet, minha regra é totalmente liberativa pois está em um firewal de teste você deve fazer a regra liberando somente os serviços que utiliza na sua rede, no meu caso o gateway é um loade balance.

No seu servidor proxy o gateway deve ser seu firewall e nas configurações do squid habilite propxy transparente.

Proxy.jpg_thumb

rfc_1918.jpg_thumb

Gateway.jpg_thumb
![Rule 1.jpg](/public/imported_attachments/1/Rule 1.jpg)
![Rule 1.jpg_thumb](/public/imported_attachments/1/Rule 1.jpg_thumb)
![Rule 2.jpg_thumb](/public/imported_attachments/1/Rule 2.jpg_thumb)
![Rule 2.jpg](/public/imported_attachments/1/Rule 2.jpg)

kelsen

@FabianVitali não acho que seja necessário tudo isso, um NAT pro IP do proxy na minha opinião seria suficiente, já tentou isso?

Interface: LAN
Protocol: TCP
Source: Lan subnet
Destination: Any
Destination port: 80
Redirect Target IP: IP_proxy
Redirect Target port: Porta-proxy(3128)

FabianVitali

Oi kelsen,

mas dessa forma o squid não entraria em looping?

kelsen

Tem razão, mas vc poderia alterar a regra para:
Source: ! IP_proxy (menos o IP do proxy)
Destination: ! Lan Address (dessa forma o acesso ao Firewall não entraria em loop também caso esteja na porta 80).

LFCavalcanti

@Antonio:

Olá pessoal, devido aos problema enfrentados com os pacotes do Squid no pfSense por causa do particionamento indevido do disco decidi instalar o squid em um host dedicado a parte do pfsense.

Ainda não sei muito. Mas falando com um amigo analista ele disse que o proxy em uma máquina dedicada seria o mais correto. Vou implanta-lo no modo transparente e gostaria de saber como ficaria a regra no pfsense. Quais as configurações devo fazer no firewall para isso.

Essa questão é muito dependente da sua necessidade. Primeiro ponto á analisar se Cache realmente é uma necessidade para você, pois a maioria dos sites hoje possui conteudo dinamico e se você olhar no cache do Squid pouca coisa é salva. Dependendo da banda disponivel, vale mais um controle de uso de banda e QoS do que o cache.
Então se o objetivo principal do Squid será a filtragem de conteudo, rodando junto com SquidGuard, por exemplo, não há necessidade de separar os serviços.

marcelloc

Infelizmente este é mais um tópico que foi aberto sem um mínimo de pesquisa.

Nos tutoriais de pacote tem um link específico para este assunto

Servidor Proxy(transparente) fora do pfsense

Mas de qualquer forma, vou fixar o trabalho do FabianVitali nos tutoriais também.