Implantação Pfsense - Proxy transparente
-
Olá pessoal, como vão?
Gostaria de uma ajuda. Recentemente assumi a TI de um hospital... Neste, não há nenhuma estrutura de rede, e começamos a estrutura, e agora preciso colocar um firewall.
Aqui não precisa de muitos bloquios, apenas preciso bloquear sites indevidos, e vou colocar uma vpn. Vou usar Proxy transparente. Minha pergunta é: Qual a melhor pratica. Eu pensei e coloca uma regra de fw direcionando tudo para 3128 e uma regra bloqueando as portas 443 e 80 para que tiver fora do Proxy não poder navegar. Desta forma está correta? Seria uma boa prática?Desde já agradeço a todos!
-
@thiago-souza Se vc redirecionar tudo para 3128, isso quer dizer que usará Proxy Autenticado e não Transparente!!!!
Se for utilizar Proxy Autenticado, dessa forma não ha necessidade de redirecionar para porta 3128, o próprio Squid faz isso!!! Bloqueando as porta 80 e 443 isso é legal, pq força o usuário a utilizar o Proxy...(em outras palavras, mesmo a pessoa desativando o proxy no navegador não vai funcionar).
Particularmente eu faria tudo Autenticado, da mais trabalho para implantar, mas para controle fica muito melhor!! Se necessitar de consultoria estou a disposição.
-
@andrezaomac Olá meu amigo... Na verdade eu quero usar o Proxy transparente... Gostaria de saber uma boa prática pra isso.
Obrigado por responder. -
@thiago-souza Com o proxy transparente, não é recomendável vc bloquear as porta 80/443!!! sendo que vc fizer isso, os host não vão conseguir navegar!
-
@andrezaomac tudo bem? Obrigado pela resposta.
No caso do Proxy transparente, qual seria a melhor pratica, pois se o usuário tirar o Proxy do navegador ele consegue navegar... Pergunto isso, pois fiz assim. Estou usando o squid e o squidguard e também não consegui bloquear os sites https.
Então criei um regra assim:
Bloqueando 80 e 443 e Depois coloquei uma regra mandando tudo que vir para lan Net direcionar para 3128.
Tudo que vir para lan Net liberar 53 e 80. -
@thiago-souza Mas então, se vc quer utilizar proxy no navegador NÃO PODE USAR PROXY TRANSPARENTE, proxy no navegador é utilizado quando o Squid é PROXY AUTENTICADO (usuário/senha) assim seria o conceito correto!!
Normalmente o proxy transparente não filtra sites https (isso é normal), mas tem varias formas de resolver isso, usado certificado SSL/ regras no firewall...etc.