Squid3 e SQUIDGUARD separado do FWPFSENSE

wesleycorrea · May 14, 2014, 12:47 PM

Pessoal atualmente estou usando PFSENSE como FW e Proxy, estou querendo separar isso. Tenho um Park de servidores DELL com uma boa performance. Todos servidores VIRTUALIZADO com VMware ESXi. Qual versão eu poderia usar o SQUID3+SQUIDGUARD apenas para ser PROXY? Onde encontro Tutorial para fazer isso em maquina virtual.

E possível instalar PFSENSE com apenas uma placa de rede?

Vejo alguns comentários para não usar SQUID3 Beta etc. em ambiente de produção e ao mesmo tempo também tem uma galera usando tranquilamente qual a opinião de vocês sobre o assunto.

Obrigado!

lucaspolli · May 14, 2014, 1:01 PM

@nblx96:

Qual versão eu poderia usar o SQUID3+SQUIDGUARD apenas para ser PROXY?

Não utilizo VMware, mais creio que nao terá problemas, tenho ambiente de testes em VirtualBox e Hyper-V, no Hyper-V ja tive problemas com placas de rede, tutoriais vc acha facil aqui no forum..

@nblx96:

E possível instalar PFSENSE com apenas uma placa de rede?

Possivel é, vc teria que trabalhar com VLans, pra isso precisaria de switch layer 3 no minimo, porém não recomendo pra essa situação, ideal é uma interface para cada link

@nblx96:

Vejo alguns comentários para não usar SQUID3 Beta etc.

Isso é sobre o Squid3-DEV mais ja tem muita gente usando em produção, teste e veja se atende…

wesleycorrea · May 14, 2014, 1:06 PM

Mesmo sendo PFSENSE como Proxy apenas, e Necessario trabalhar com Vlans?

Entao devo testar com SQUID-DEV correto? e SQUIDGUARD qual recomenda para testes?

lucaspolli · May 14, 2014, 1:37 PM

@nblx96:

Mesmo sendo PFSENSE como Proxy apenas, e Necessario trabalhar com Vlans?

Entao devo testar com SQUID-DEV correto? e SQUIDGUARD qual recomenda para testes?

mesmo vc tendo somente proxy, vai precisar ter uma lan e uma wan…

eu uso squid3 e squidguar3, o DEV tem algumas melhorias, que até o momento nao me fizeram falta...

wesleycorrea · May 14, 2014, 1:48 PM

Estas versões do SQUID e SQUIDGUARD que você comentou, você usa autenticação no AD? Tem compatibilidade ADDS no Windows Server 2012 R2?

lucaspolli · May 14, 2014, 2:01 PM

@nblx96:

Estas versões do SQUID e SQUIDGUARD que você comentou, você usa autenticação no AD? Tem compatibilidade ADDS no Windows Server 2012 R2?

sim, uso exatamente nessa versao..

marcelloc · May 14, 2014, 4:17 PM

@nblx96:

Mesmo sendo PFSENSE como Proxy apenas, e Necessario trabalhar com Vlans?

Não precisa. Você pode usa-lo como um server. Para isso configure apenas a wan durante a instalação. E na primeira vez que logar na interface web, pule o wizard e configure ips e gateways na mão

@nblx96:

Entao devo testar com SQUID-DEV correto? e SQUIDGUARD qual recomenda para testes?

-dev do squid vale só para as opções da interface web. O squid que roda nele é a versão 3.3.10. Só não está na 3.4 ainda porque ainda não fizeram o port dele para o freebsd.
Use o squidguard-squid3 e aplique o patch disponível na área de tutorias.

lucaspolli · May 14, 2014, 4:42 PM

@marcelloc:

@nblx96:

Mesmo sendo PFSENSE como Proxy apenas, e Necessario trabalhar com Vlans?

Não precisa. Você pode usa-lo como um server. Para isso configure apenas a wan durante a instalação. E na primeira vez que logar na interface web, pule o wizard e configure ips e gateways na mão

agora quem nao entendeu foi eu, o trafego nao teria que "entrar" pela lan e "sair" pela wan?
nesse caso eu poderia entao usar o ip da wan como ip do proxy?

wesleycorrea · May 14, 2014, 7:10 PM

Marcelo Primeiramente Obrigado pelo esclerecimento!

No caso usar estas versões citadas, tem total compatibilidade com ADDS 2012 R2? No meu caso usar o PFSENSE para ser PROXY eu teria que fazer um FORWAD no FWPFSENSE de alguma porta?

outra questao eu mantenho essa versao do PFSENSE ou atualizo!

2.1-RELEASE (amd64)
built on Wed Sep 11 18:17:48 EDT 2013
FreeBSD 8.3-RELEASE-p11

marcelloc · May 14, 2014, 7:24 PM

@lucaspolli:

agora quem nao entendeu foi eu, o trafego nao teria que "entrar" pela lan e "sair" pela wan?

Se você configurar o pfsense como um server, você não precisa do in e do out de um roteador ou firewall. Fica igual a qualquer server de rede.

@lucaspolli:

nesse caso eu poderia entao usar o ip da wan como ip do proxy?

Wan no sentido única interface de rede configurada. O ip pode ser privado ou público.

marcelloc · May 14, 2014, 7:29 PM

@nblx96:

No caso usar estas versões citadas, tem total compatibilidade com ADDS 2012 R2?

Você diz windows 2012 R2?

@nblx96:

No meu caso usar o PFSENSE para ser PROXY eu teria que fazer um FORWAD no FWPFSENSE de alguma porta?

Sim, configura o ip do proxy com um gateway no FWPFsense e faz uma regra na lan direcionando o trafego http pra lá(exceto o trafego do proprio proxy).

@nblx96:

Outra questão, eu mantenho essa versao do PFSENSE ou atualizo!

Atualiza sempre testando e fazendo backup antes.

wesleycorrea · May 14, 2014, 7:33 PM

Sim Windows Server 2012 R2!

Eu tenho em producao 2.1-RELEASE (amd64)
built on Wed Sep 11 18:17:48 EDT 2013
FreeBSD 8.3-RELEASE-p11

Rodando apenas como FW, vou criar um ambiente de teste e fazer proxy em uma maquina Virtual.

wesleycorrea · May 18, 2014, 8:16 PM

@nblx96:

No meu caso usar o PFSENSE para ser PROXY eu teria que fazer um FORWAD no FWPFSENSE de alguma porta?

Sim, configura o ip do proxy com um gateway no FWPFsense e faz uma regra na lan direcionando o trafego http pra lá(exceto o trafego do proprio proxy).

Marcelo

como seria esta regra, nao estou conseguindo o meu GW e 192.168.0.2 e mey Proxy separado 192.168.0.5

marcelloc · May 20, 2014, 6:47 PM

@nblx96:

como seria esta regra, nao estou conseguindo o meu GW e 192.168.0.2 e mey Proxy separado 192.168.0.5

Não estou falando de default gateway. Crie um novo gateway em (system -> routing) com o ip do seu servidor proxy.

Na regra da lan que libera o acesso http/https, procure as opções avançadas e defina o gateway com o ip do seu servidor proxy.

Simples assim.

obs: Não esqueça de criar uma regra antes liberando acesso do ip do seu servidor proxy para a internet.

wesleycorrea · May 24, 2014, 1:11 AM

Marcelo,

Meu GW e 192.168.02

e Proxy em outra maquina, 192.168.0.5 veja si esta certo o que fiz.

![Libera rede do proxy.PNG](/public/imported_attachments/1/Libera rede do proxy.PNG)
![Libera rede do proxy.PNG_thumb](/public/imported_attachments/1/Libera rede do proxy.PNG_thumb)

marcelloc · May 26, 2014, 5:35 PM

Está errado. A mascara de um unico host é 32.

e está fantando a regra que empurra o trafego web para o servidor proxy logo após esta regra que libera o acesso do proxy via gateway default.

andrefp · Jun 4, 2014, 5:44 PM

Eu uso dessa forma, em linha… uma VM apenas para FW com 4 interfaces, 3 para links de internet e uma para lan (vlan) que interliga na outra VM que é proxy, nessa tem 2 interfaces a wan está na (vlan) e a lan vai para rede corporativa...

Dessa forma no FW de borda fica mais facil de fazer loadbalance e failover dos links, ideal no proxy fazer a formatação das partições customizada por causa do I/O de disco que o proxy gera.

wesleycorrea · Jun 4, 2014, 7:22 PM

@andrefp:

Eu uso dessa forma, em linha… uma VM apenas para FW com 4 interfaces, 3 para links de internet e uma para lan (vlan) que interliga na outra VM que é proxy, nessa tem 2 interfaces a wan está na (vlan) e a lan vai para rede corporativa...

Dessa forma no FW de borda fica mais facil de fazer loadbalance e failover dos links, ideal no proxy fazer a formatação das partições customizada por causa do I/O de disco que o proxy gera.

Andrefp

Tem como mandar PRINT destas regras como foram criadas, não obtive exito!