Duvida de implantação em ambiente basico
-
Pessoal boa tarde,
Gostaria de uma opinião de vocês. Estou com um cenário simples onde preciso colocar um pfsense para controle de internet, o local não possui qualquer servidor de domínio, apenas estações de trabalho.
Qual vocês acham que seria a melhor forma de eu fazer isso, normalmente com domínio integro com ad fica show de bola, sem domínio eu caio em alguns problemas. Listei abaixo 3 cenários que imaginei e fiz alguns testes, teriam como me dar uma opinião qual a melhor forma de se tratar isso em um ambiente como esse?
1. Squid3 (Não transparente com usuários locais) + SquidGuard + WPAD no pfsense distribuído por DHCP/DNS. Problema deste cenário, usuário pode facilmente desmarcar o proxy ou a detecção automática dos navegadores.
2. Squid3 (Transparente) + Captive Portal + FreeRadius. Problema deste cenário, Ainda não consegui acertar de forma correta o patch para o cp integrar com o squid 0.4.7 que veio com a função desativada, o mesmo não mostra os usuários autenticados no cp e a necessidade de instalar o certificado SSL para interceptar o acesso https.
3. Squid3 (transparente) + SquidGuard. Problemas deste cenário, não lista usuários por nome no log, necessidade de instalar o certificado SSL para interceptar o acesso https.
Att,
Leonardo Escarpellin -
Eu tenho sua opção 1 implementada.
Bloqueia a porta 80, 443 que resolve -
Eu tenho sua opção 1 implementada.
Bloqueia a porta 80, 443 que resolveVc só bloqueia as portas ou cria um NAT delas para a 3128,3129 respectivamente?
Se eu criar um NAT não preciso bloquear as portas?
-
1. Squid3 (Não transparente com usuários locais) + SquidGuard + WPAD
(melhor opção ao meu ver, e se vc bloquear as portas e deixar somente a do proxy o usuario vai ficar sem navegar caso desmarque o proxy.)
2. Squid3 (Transparente) + Captive Portal + FreeRadius
(Freeradius é show, mas é uma coisa à mais pra vc ter q se preocupar quando der problema, oque raramente acontece, só vejo tretas com interceptação de SSL, os navegadores vivem encomodando).
3. Squid3 (transparente) + SquidGuard
(muito furo no bloqueio de sites e portas)
Vc vai usar a mesma rede pra acesso wifi em dispositivos móveis?
-
Sempre uso opção 1, mas não precisa bloquear, basta apagar a regra padrão, e adicionar as regras para as portas/serviços que vai usar.
Ex: DNS, VPN, 3128, etc…
As portas que não estiverem liberadas por padrão estão bloqueadas. -
Sim henrique vai ser a mesma rede para wifi e interna…
Fiquei com a opção 1 mesmo... acertei todas as maquinas e quem tentar fazer gracinha roda rs rs rs.
Vamos ver como será em produção na semana q vem quando o pessoal volta a trabalhar. -
Sim henrique vai ser a mesma rede para wifi e interna…
Fiquei com a opção 1 mesmo... acertei todas as maquinas e quem tentar fazer gracinha roda rs rs rs.
Vamos ver como será em produção na semana q vem quando o pessoal volta a trabalhar.Vc vai criar regras com range de ips pros dispositivos móveis liberando as portas de navegação e dns e etc ou vai setar proxy neles? Te pergunto isso pq em um cliente acabei fazendo isso por conta de nao conseguir configurar a Vlan pra uma interface virtual pra usar o captive portal nos roteadores wifi :/