PFSense e SQUID em máquinas diferentes
-
Bom dia senhores …
Tenho o PFSense implantado e funcionando perfeitamente.
Quero agora implantar um Proxy autenticando os usuários num AD que possuo.
Sei que se fizer isso no próprio PFSense, a cada vez que o usuário abrir o browser, o mesmo terá que digitar a senha (pra mim inviável essa solução).
Vi que o Luiz Gustavo (muitíssimo parabéns Luiz por essa iniciativa) está desenvolvendo um pacote de integração do PFsense + Squid + Samba com o AD. Já cheguei até a fazer essa implantação em um ambiente de teste fazendo a compilação dos pacotes na mão ... Funcionou, mas não gostaria de instalar mais serviços no PFSense ...Meu PFSense tem uma interface de rede sobrando e tenho também um computador sobrando com 2 placas de rede.
Nesse computador já tenho o SQUID autenticando no AD.O que já fiz como teste foi:
Configurei uma rede a parte pra essa placa do PFSense e liguei nesse computador com o SQUID. Essa placa é meu gateway de saída da máquina SQUID.
Na outra placa do computador, conectei ele na minha LAN e configurarei o navegador dos usuários pra acessarem o servidor proxy.
Até esse passo, sem problema. O navegador autentica e respeita as regras que montei no SQUID (embora o https esteja dando problema. Sites https bloqueados, ex: facebook, não mostram a página de acesso negado mas sim de que site não existe, mas ainda estou fazendo testes pra entender o porque disso).A maior questão é que se o usuário desabilitar o proxy do navegador, ele consegue navegar na internet sem passar pelo SQUID e assim não respeitar as regras que montei.
Imagino que, preciso montar regras de que todo o tráfego HTTP ou HTTPS que esteja vindo da minha LAN e indo pra a INTERNET, tenha que ser redirecionado para a máquina SQUID.
E tem que ser indo pra internet, porque tenho a minha DMZ e também o adm do PFSENSE que está na minha LAN.Alguém já montou alguma coisa desse tipo ?
Pode me dar alguma dica ?
Obrigado
Ronaldo Araujo
Ronaldo Araujo
-
É só alterar o gateway das máquinas para o servidor que roda o Squid. Crie as regras de bloqueio HTTP e HTTPS nele.
-
É uma opção, mas não sei se é a mais correta, já que a máquina dos usuários acessam outros serviços (envio / recebimento de e-mail, ftp , DMZ).
Fazendo essa alteração, eu teria mais um passo para todos esses serviços já que teria que passar pelo server SQUID (que viraria o gateway) pra depois ir pro PFSENSE (que realmente é o gateway de saída).
-
Não vejo problema nisso.