Sugestão para o um cenário



  • Bom dia ilustres colegas do Fórum!

    Eu gostaria da sugestão de vocês para o melhor formato para o meu cenário. Trabalho em uma empresa com umas 50 máquinas, e gostaria de usar o pfsense como proxy além de firewall.

    Eu vejo que a forma mas fácil é o proxy transparente, pois assim não preciso mexer nas máquinas uma por uma, mas gostaria de bloquear sites https também, só que ai vem a questão de instalar o certificado em cada máquina e tal. Até vi sobre o proxy autenticado e gostaria de tentar autenticar os computadores pelo mac, assim os usuários não teriam que mudar a rotina de trabalho deles. Com os celulares poderia fazer até a mesma coisa, aos poucos ia pegando o mac de cada um e registrando. Mas como fazer com o dos visitantes que chegam a qualquer momento?

    Desde já agradeço a quem compartilhar experiências.

    PS.: Estou usando a versão 2.4.4 até então está instalado o squid, squidguard e lightsquid, mas não problema em zerar e começar tudo de novo.

    As configurações da máquina são:

    Core(TM)2 Quad CPU Q6600 @ 2.40GH; 8Gb de RAM; SWAP 5899 MiB; Sistema: 87GiB - ufs; /var 174GiB - ufs; /usr 184GiB - ufs; está bom desse jeito?



  • Tenho trabalhado essa parte de filtros usando o Nxfilter, ele é um filtro dns. Bem mais simples de usar e no meu ver mais efetivo até que o Squid. Da uma pesquisada nesse carinha e faz uns testes.



  • Vi uma vídeo aula do Ivanildo, mas ele está usando uma versão mais antiga do pfSense. Nessa versão 2.4.4 não achei a ferramenta que ele mencionou nos pacotes, o utility Filer no caso.

    Outra dúvida, vi que ele criou o usuário e teve que fazer o login, realmente vai ser necessário ser feito os logins?

    Peço desculpas fazer essas perguntas antes mesmo de tentar, é que já estou vendo os vídeos para antecipar dúvidas. XD



  • O nxfilter não tem nos pacotes do pfsense... é a parte. Não precisa necessariamente usar login e senha... voce pode cadastrar o ip da maquina e dai não vai pedir usuario e senha.. fica transparente



  • Não consegui fazer a instalação por conta do java, na hora de rodar os comandos pkg search ^openjdk e pkg install openjdk8 ele retorna que não foi encontrado o pacote no repositório.



  • Olá!

    Utilizo o seguinte cenário: Squid + SquidGuard + Ntopng

    Toda a configuração de proxy está transparente, em torno de 150 maquinas utilizando tal configuração.

    Nas configurações do Squid, utilize o modo "Splice All" no campo SSL/MITM Mode;
    Com essa configuração, vc não precisará instalar certificados cliente por cliente.

    Já nas configurações do SquidGuard, mesmo utilizando a Shallaslist como Blacklist, dependendo da sua necessidade, precisará alterar alguns links e grupos da mesma, ou até mesmo criar sua própria Target Rules para evitar possíveis dores de cabeça;

    Fica minha dica!



  • @raffad11 Obrigado pela sugestão =D



  • E2GUARDIAN + SARG + WPAD ... amanhã dou mais detalhes sobre a minha ideia para o teu cenário. O que estraga são os telemóveis ... não compativeis com WPAD (I guess). Proxy transparente com HTTPS é para esquecer ... passam a vida a chatear-te porque os sites dão aviso de MITM.



  • Olá @jvata eu cheguei a pesquisar também sobre o WPAD e de início achei que fosse ser a solução, mas como falou vi que o problema são os telemóveis. Estou começando a pensar a usar o pfsense apenas como firewall (e router) mesmo. Deve ser bem melhor do que usar um tplink TL-WR1043ND na ponta XD