PfSense1 como Firewall + pfSense2 como Proxy
-
Olá boa tarde a todos,
Bem, eu criei um ambiente de teste conforme abaixo e funciona perfeitamente de acordo com os meus teste.Meu Ambiente Teste:
pfSense-2.1.3-RELEASE i386 32Bit
.Certificado do pfSense
.squid3-dev 3.3.10 pkg 2.2.2
.Modo transparente
.squidGuard-squid3 1.4_4 pkg v.1.9.5–----------------------------------------------------------------------------------------------------------------------------------------------
OPINIÕES1 - Primeiro
Para logs, qual é a melhor opção na opinião de vocês?
Lightsquid, Sarg e Etc.2 - Segundo
Posso criar um pfSense paralelo a outro com Firewall usando somente o Squid-Ded e SquidGuard-squid3? O que recomenda?
Nesse servidor pfsense com Squid-dev eu preciso de ter lan e wan? É obrigatório?pfSense01 - Firewall
pfSense02 - squid3-dev, SquidGuard-squid3 (01 interface)Hoje uso squid transparente com wpad e isso está me dando muita dor de cabeça com a equipe de TI na área de desenvolvimento.
At.
-
Márcio, todos estes pontos já foram discutidos aqui no fórum.
Você pode sim ter dois pfsense, um para firewall outro para proxy mas não recomendo em paralelo.
O pfsense squid só precisa de uma interface.
Sobre os relatórios, minha preferencia é o sarg.
-
Sobre os relatórios, minha preferencia é o sarg.
Marcello, por favor, me diga na sua opinião as vantagens de usar Sarg em vez do Lightsquid.
Obrigado. -
Essa é fácil. Prefiro o sarg porque fiz a interface web do pacote para ele :)
Brincadeiras a parte, vejo mais opções de relatório nele.
O lightsquid tem agregado ao pacote o monitor de cache do squid se não me engano.
-
Olá Marcelo,
Eu encontrei sim comentários em alguns posts, o complicado é aglutinar todas perguntas, resposta e muitos delas sem sentido e complicado de entender.Eu entendi.
Meu cenário ficara assim:
1 pfSense1 como Firewall ativo, 1 Wan e 1 Lan
1 pfSense2 com Squid e agregados, 1 Wan. Onde configuro manualmente o GW.Depois crio regra de todo trafego porta 80/443 no pfsense1 Firewall para porta 3128 do pfSense2(Proxy)
Certo?Desculpe e obrigado.
-
Olá Marcelo,
Nesse post abaixo diz que tem que instalar as bibliotecas faltantes e isso foi em maio do ano passado. Hoje ainda é preciso baixar as bibliotecas faltantes na ultima versão do pfSense 2.1.3-RELEASE (i386)?
Ou essas bibliotecas são exclusivas do squid-dev 3.3.5?https://forum.pfsense.org/index.php?topic=62263.0
Mais uma vez obrigado.
-
Essa é fácil. Prefiro o sarg porque fiz a interface web do pacote para ele :)
Brincadeiras a parte, vejo mais opções de relatório nele.Obrigado
-
@Márcio:
Depois crio regra de todo trafego porta 80/443 no pfsense1 Firewall para porta 3128 do pfSense2(Proxy)
Certo?sim. Não esqueça de colocar uma regra antes liberando o trafego 80 e 443 a partir do proxy para não gerar um loop entre o proxy e o firewall.
-
Desculpe Marcelo, eu não entendi.
-
Não esqueça de colocar uma regra antes liberando o trafego com origem proxy, destino porta 80 e 443.
-
Bom dia, Marcio e Marcelo.
Se eu entendi direito, vc precisa de uma wan e uma lan no proxy. Não vejo funcionando apenas com uma Wan. Pois o proxy vai trabalhar entre o Firewall e sua Rede.
Firewall <-> Proxy <-> Rede internaEstou certo ?
-
Oi k1k0borba
Vou trabalhar com apenas uma interface (wan) interface padrão do pfSense, Pois o proxy vai trabalhar entre o Firewall e minha Rede. Dessa forma ele se torna um servidor comum.
Por padrão o pfSense cria um interface que é a Wan mesmo só com uma placa de rede, ele coloca o nome de WAN.Só estou quebrando a cabeça para criar a regra no firewall para mandar todo trafego das portas 80/443 para o pfsense-Squid 3128.
Tentei NAT, RULE e nada ate agora.
Abraços.
At.
-
Marcio,
Nesse caso, vc colocou seu proxy como gateway nas estações ?
Assim o tráfego passa todo pelo proxy primeiro. E então acredito que vc nao tenha esse tipo de problemaAte logo!
-
Não tem mistério. Como já expliquei aqui e em vários outros tópicos, você só precisa cadastrar o ip do proxy como gateway no pfsense.
Nas regras de firewall da lan,permita o acesso do proxy para a Internet e em seguida crie outra regra liberando o acesso http e https usando o gateway criado no primeiro passo.
