Implantação Pfsense - Proxy transparente



  • Olá pessoal, como vão?

    Gostaria de uma ajuda. Recentemente assumi a TI de um hospital... Neste, não há nenhuma estrutura de rede, e começamos a estrutura, e agora preciso colocar um firewall.
    Aqui não precisa de muitos bloquios, apenas preciso bloquear sites indevidos, e vou colocar uma vpn. Vou usar Proxy transparente. Minha pergunta é: Qual a melhor pratica. Eu pensei e coloca uma regra de fw direcionando tudo para 3128 e uma regra bloqueando as portas 443 e 80 para que tiver fora do Proxy não poder navegar. Desta forma está correta? Seria uma boa prática?

    Desde já agradeço a todos!



  • @thiago-souza Se vc redirecionar tudo para 3128, isso quer dizer que usará Proxy Autenticado e não Transparente!!!!

    Se for utilizar Proxy Autenticado, dessa forma não ha necessidade de redirecionar para porta 3128, o próprio Squid faz isso!!! Bloqueando as porta 80 e 443 isso é legal, pq força o usuário a utilizar o Proxy...(em outras palavras, mesmo a pessoa desativando o proxy no navegador não vai funcionar).

    Particularmente eu faria tudo Autenticado, da mais trabalho para implantar, mas para controle fica muito melhor!! Se necessitar de consultoria estou a disposição.



  • @andrezaomac Olá meu amigo... Na verdade eu quero usar o Proxy transparente... Gostaria de saber uma boa prática pra isso.
    Obrigado por responder.



  • @thiago-souza Com o proxy transparente, não é recomendável vc bloquear as porta 80/443!!! sendo que vc fizer isso, os host não vão conseguir navegar!



  • @andrezaomac tudo bem? Obrigado pela resposta.

    No caso do Proxy transparente, qual seria a melhor pratica, pois se o usuário tirar o Proxy do navegador ele consegue navegar... Pergunto isso, pois fiz assim. Estou usando o squid e o squidguard e também não consegui bloquear os sites https.

    Então criei um regra assim:
    Bloqueando 80 e 443 e Depois coloquei uma regra mandando tudo que vir para lan Net direcionar para 3128.
    Tudo que vir para lan Net liberar 53 e 80.



  • @thiago-souza Mas então, se vc quer utilizar proxy no navegador NÃO PODE USAR PROXY TRANSPARENTE, proxy no navegador é utilizado quando o Squid é PROXY AUTENTICADO (usuário/senha) assim seria o conceito correto!!

    Normalmente o proxy transparente não filtra sites https (isso é normal), mas tem varias formas de resolver isso, usado certificado SSL/ regras no firewall...etc.


Log in to reply