Pfsense Proxy No transparente
-
Estimados, necesito que me aclaren un poco esta idea, hay mucha info, soy nuevo y estoy perdido.
Escenario:
Controlador de Dominio propio Windows server 2008 r2.
Pfsense: Como Proxy, Firewall y VPN.
Red Empresa: Dos Vlan, una con navegación libre (100 PC) y otra vlan con navegación restringida en puerto 80 y puerto 443, aproximadamente 600 pc.Requiero instalar Pfsense modo Proxy no Transparente en una red donde existen 2 vlan distintas. Una no tiene que tener restricciones y otra donde se debe restringir todo (80/443) e ir abriendo una lista de páginas de trabajo.
Mi experiencia
En este momento lo tengo instalado un pfsense 2.1.4-RELEASE (i386) configurado como modo Transparente con Squid +SquirGuard+Lightsquid
Esto me funciona bien para bloquedo puerto 80 pero falla para todo lo que es puerto 443 (ssl).
Con la ultima versión de pfsense existe la posibilidad de habilitar Man In the Middle, esto me funciona bien: los que tienen el certificado navegan en https y los que no lo tienen no pueden. Pero mi problema en este punto es que no logro bloquear algunos https.
Entocne se decidio pasar a la última versión pfsense (2.3.5-RELEASE (i386) ) e instalar modo Proxy No transparente y por política de grupo configurar el proxy en cada navegador. Sobre esta última modalidad, necesito saber si modo No transparente se puede usar squid y squidguard, con este último para controlar las listas blancas y negras.En mis pruebas instale pfsense (2.3.5-RELEASE (i386)) con squid en modo no transparente, el tema es que la sección ACLs para controlar es muy básico y diferente al squidguard.
Se puede usar squid+squidguard juntos para modo No transparente?, como hago para restringir todo (http y https) e ir habilitando lo necesario.
-
Tal como lo comentas…
La configuración del modo TRASPARENTE y NO TRASPARENTE, es casi la misma
Diferencia...
Vas a ir a cada computadora a poner manualmente el PROXY...
El juego es en tu Firewall de tu vlan de las 600 Pc vas a bloquear toda salida, excepto el puerto del PROXY, así el proxy le va a contestar a donde ir.
y Desde SquidGuard, puedes crear tus propios BlackList, y WhiteList y decirle a que VLAN afecta.
Te sugiero ver la configuración de WPAD, así aún teniendo el proxy en modo No transparente, se pasará automáticamente, para que no tengas que ir a cada computadora.
Revisa este link, de perikouno de nuestros compañeros del foro
-
Ante todo muchas gracias por responder, pero a que te refieres con la configurarion WPAD, donde estaria mirando esto? gracias.
-
No es un problema configurar el Proxy, lo despliego por politica de grupo.
-
Bueno comento que ya en una instalación limpia pfsense (2.3.5-RELEASE-p1 (i386) ) + Squid Version .0.4.43 + Squidguard Version 1.16.4 en Modo No transparente, logre bloquear todo el tráfico http y https, logrando habilitar listas blancas y negras para las diferentes vlan, lncuido habilitación de ciertas paginas como redes sociales en un cierto rango de horarios para la vlan más abierta en cuanto a navegación. Doy por cerrado el problema.
-
Bueno comento que ya en una instalación limpia pfsense (2.3.5-RELEASE-p1 (i386) ) + Squid Version .0.4.43 + Squidguard Version 1.16.4 en Modo No transparente, logre bloquear todo el tráfico http y https, logrando habilitar listas blancas y negras para las diferentes vlan, lncuido habilitación de ciertas paginas como redes sociales en un cierto rango de horarios para la vlan más abierta en cuanto a navegación. Doy por cerrado el problema.
Si puedes hacer un manual se te agradecería.