PfSense como proxy externo con Mikrotik



  • Hola gente, les cuento que estoy buscando de implementar algún proxy externo para el filtrado https.
    Mi estructura es simple
    ISP
    |
    |
    |
    |
    Mikrotik Central –-- Proxy (PfSense si es posible)
    |
    |
    |
    |
    Switch Core -----Switch piso----Clientes internos
    (vlans varias)

    Tengo múltiples usuarios a los que se le da acceso por ejemplo solo a paginas bancarias, de algún proveedor y se les bloquea el resto.
    Aceptar por Firewall se me hace imposible, ya que las paginas del banco abren muchas conexiones https variadas y que cambian de IP.

    De ahi que la idea de usar Artica, PFSense. Squid, ALGO para filtrar https de forma transparente si es posible.
    Estuve viendo y tengo instalado el PfSense con la boca Wan y LAN en dos bocas independientes de mi Router. Certificado con Acme y squid configurado en modo transparente pero no logro resultado.
    Saludos.



  • Viendo tu esquema, tu Mikrotic es el firewall perimetral por lo que veo.

    Yo te recomiendo que instales un proxy dedicado con Squid+SquidGuard  (puede ser con Pfsense o con un Linux de preferencia).

    Como veo que quieres que sea transparente, tiene la opcion del filtro SSL tecnica: Hombre en el medio, para filtrar SSL.  Y en el mismo squid, crea una ACL para bypass proxy a las IP de los Bancos.

    Nota:  Al ser proxy transparente, tu proxy dedicado debe ser el default gateway de tus pc usuarios.