PfSense junto al Proxy o Separado?



  • Buenas Tardes.

    Probablemente esta consulta haya sido hecha en este subforo o en otro, pero por algun motivo (no de fiaca, sino probablemente por no buscar bien) no la he encontrado y por eso recurro a su conocimiento.

    La consulta (o mas bien sugerencia) sería:

    Cuál es la recomendación, tener el SQUID en la misma máquina donde está el pfsense o en otra separada?

    Si fuera en otra máquina, cuál sería el inconveniente o motivo de no tenerlo en la misma? Es decir, para evaluar al menos cuales son los riesgos y ver qué alternativa elegir.

    Desde ya les estoy agradecido por su tiempo.

    salu2



  • :) hola…

    yo intente montar squid en la misma maquina y se me presentaron muchos inconvenientes, fallaba mucho, se guindaba el servicio, no era nada estable fallaba como minimo 1 vez cada 8 horas, puedo pensar que eran limitaciones del equipo (PIII, 512 Mb ram, 80 Gb disco duro, bus tarjeta madre PC-100 Mhz)

    hoy en dia migre el equipo a uno mas robusto (PIV, 2 GB ram, bus tarjeta madre 400 Mhz, 80 Gb Disco Duro) y habilite el squid transparente en este equipo y anda super bien... bueno en los dos meses que tiene operando tiende a fallar el squid 1 vez a la semana, pero dado que todos los dias se esta pendiente del sistema entonces si se observa fallas en el servicio se ataca y se resuelve.

    A su vez estoy trabajando en colocar varios squid corriendo en equipos diferentes para optimizar aun mas la navegacion por internet...

    ahora aca en el foro se ha comentado en varias ocasiones que el principal problema de correr el squid en el pfsense como firewall es la seguridad, dado que a la hora de un ataque existe una alta posibilidad que el firewall falle dado que esta ejecutando varios servicios...



  • Creo que la decisión debe tomarse más basada en tu experiencia y conocimientos que en la posibilidad de falla.

    Solución sencilla: monta el paquete Squid en tu pfSense. Estarás limitado a los parámetros que puedes configurar en la interfaz Web.

    Solución compleja pero potente: monta Squid en otro servidor. No tendrás limitación pero deberás configurarlo "a mano".

    Tengo una red con 300 PCs protegida con pfSense en un servidor Xeon RAM 1GB con Squid y LightSquid, ningún otro paquete instalado. Dos VPNs con IPSec y múltiples VPNs con PPTP. Rara vez se bloquea y cuando esto llega a suceder no es imputable al firewall. Seguridad, ninguna penetración por culpa del firewall, algunas por culpa de los usuarios. Este hardware está más que sobrado, un Celeron sería suficiente.

    Saludos.

    Miguel Ángel Araujo
    México



  • Muchisimas gracias por sus respuestas.

    Entiendo yo, en función a temas que han mencionado, que son varias las variables a tener en cuenta.

    Hace unos días implemente un pfsense con squid para 10 máquinas y aún no he tenido problemas.

    Puntualmente mi consulta surge, dado que ahora tendría que hacer algo similar, solo que tendría que atender a aproximadamente 40 máquinas el pfsense+proxy, y atender a una vpn pero que no suma equipos, sino sería para cuando no están en la oficina, puedan trabajar desde su hogar.

    Desde su experiencia y atendiendo que mi equipo es un:

    AMD Sempron LE-1150 Sparta 2.0GHz 256KB L2 Cache Socket AM2 45W Single-Core Processor
    512 RAM
    80Gb SATA

    Estaría en condiciones de atender ese número de equipos?

    Desde ya y nuevamente, muchisimas gracias por su respuesta.

    salu2



  • Sí, sin embargo no mencionas las tarjetas de red, no todas son iguales. Las tarjetas más eficientes y también las más caras, requieren poco apoyo del CPU; las más baratas impondrán una carga mayor. Entre las mejores están las Intel Pro 1000, HP también tiene tarjetas similares.

    Saludos.


Log in to reply