Sugestão para o um cenário
-
Bom dia ilustres colegas do Fórum!
Eu gostaria da sugestão de vocês para o melhor formato para o meu cenário. Trabalho em uma empresa com umas 50 máquinas, e gostaria de usar o pfsense como proxy além de firewall.
Eu vejo que a forma mas fácil é o proxy transparente, pois assim não preciso mexer nas máquinas uma por uma, mas gostaria de bloquear sites https também, só que ai vem a questão de instalar o certificado em cada máquina e tal. Até vi sobre o proxy autenticado e gostaria de tentar autenticar os computadores pelo mac, assim os usuários não teriam que mudar a rotina de trabalho deles. Com os celulares poderia fazer até a mesma coisa, aos poucos ia pegando o mac de cada um e registrando. Mas como fazer com o dos visitantes que chegam a qualquer momento?
Desde já agradeço a quem compartilhar experiências.
PS.: Estou usando a versão 2.4.4 até então está instalado o squid, squidguard e lightsquid, mas não problema em zerar e começar tudo de novo.
As configurações da máquina são:
Core(TM)2 Quad CPU Q6600 @ 2.40GH; 8Gb de RAM; SWAP 5899 MiB; Sistema: 87GiB - ufs; /var 174GiB - ufs; /usr 184GiB - ufs; está bom desse jeito?
-
Tenho trabalhado essa parte de filtros usando o Nxfilter, ele é um filtro dns. Bem mais simples de usar e no meu ver mais efetivo até que o Squid. Da uma pesquisada nesse carinha e faz uns testes.
-
Vi uma vídeo aula do Ivanildo, mas ele está usando uma versão mais antiga do pfSense. Nessa versão 2.4.4 não achei a ferramenta que ele mencionou nos pacotes, o utility Filer no caso.
Outra dúvida, vi que ele criou o usuário e teve que fazer o login, realmente vai ser necessário ser feito os logins?
Peço desculpas fazer essas perguntas antes mesmo de tentar, é que já estou vendo os vídeos para antecipar dúvidas. XD
-
O nxfilter não tem nos pacotes do pfsense... é a parte. Não precisa necessariamente usar login e senha... voce pode cadastrar o ip da maquina e dai não vai pedir usuario e senha.. fica transparente
-
Não consegui fazer a instalação por conta do java, na hora de rodar os comandos pkg search ^openjdk e pkg install openjdk8 ele retorna que não foi encontrado o pacote no repositório.
-
Olá!
Utilizo o seguinte cenário: Squid + SquidGuard + Ntopng
Toda a configuração de proxy está transparente, em torno de 150 maquinas utilizando tal configuração.
Nas configurações do Squid, utilize o modo "Splice All" no campo SSL/MITM Mode;
Com essa configuração, vc não precisará instalar certificados cliente por cliente.Já nas configurações do SquidGuard, mesmo utilizando a Shallaslist como Blacklist, dependendo da sua necessidade, precisará alterar alguns links e grupos da mesma, ou até mesmo criar sua própria Target Rules para evitar possíveis dores de cabeça;
Fica minha dica!
-
@raffad11 Obrigado pela sugestão =D
-
E2GUARDIAN + SARG + WPAD ... amanhã dou mais detalhes sobre a minha ideia para o teu cenário. O que estraga são os telemóveis ... não compativeis com WPAD (I guess). Proxy transparente com HTTPS é para esquecer ... passam a vida a chatear-te porque os sites dão aviso de MITM.
-
Olá @jvata eu cheguei a pesquisar também sobre o WPAD e de início achei que fosse ser a solução, mas como falou vi que o problema são os telemóveis. Estou começando a pensar a usar o pfsense apenas como firewall (e router) mesmo. Deve ser bem melhor do que usar um tplink TL-WR1043ND na ponta XD