Projeto de migração de proxy para o pfsense
-
Fala pessoal,
Estou projetando uma melhoria no ambiente que eu trabalho, queria sugestões para migrar ele para dentro do pfsense. Hoje o ambiente funciona da seguinte forma:
Tenho 2 Firewall com CARP, e 2 load balancer de proxys. Onde tenho um com squid+dansguardian autenticando com kerberos (tipo NTLM) e outro com a mesma plataforma mas autenticando com LDAP.
Controlo esses ambientes com o WPAD (nele tem liberações para office365, vários sites e os apontamentos para as maquinas que estão no AD ir para o LB com o proxy NTLM e outro apontamento para os computadores que estão na fora do dominio ir para o proxy LDAP)
A média de usuários autenticados é de 600.
O maior problema é que não possuo proxy HTTPS nessa configuração, e colocaram na cabeça que precisam apenas de alguns canais do youtube liberados.
A minha ideia básica hoje é migrar tudo para o firewall ( com proxy transparente e tal). Pensei como alternativa o pfblocker ( mas a versão nova ainda ta em devel, e eu não ia conseguir relacionar por perfis).
Então pensei em fazer um proxy transparente e autenticar os usuários com Captive Portal. Dessa forma, acredito que consigo utilizar perfis de usuários igual consigo hoje no dansguardian.
A configuração do firewall é essa:
Intel(R) Xeon(R) CPU E5620 @ 2.40GHz 16 CPUs
8GB de RAM
500GB de HD.O firewall é muito subutilizado, então tem processamento e memória de sobra (acredito que suporte a demanda de usuários).
Ainda fiquei com umas duvidas, se pra esse ambiente seria melhor utilizar o squid guard, ou tentar com o e2guardian. Eu preferia o que for mais rápido, e que consiga fazer a tal liberação de alguns canais do youtube.
Agradeço que puder ajudar, relatar experiencias e dar dicas.
Abraço
-
O filtro de ssl vai funcionar tanto no squid quanto no e2guardian. Eu particularmente acho o e2guardian muito mais rápido.
-
Valeu marcello pela resposta. Como não consegui testar uma autenticação em proxy transparente de forma eficaz e com a atribuição de grupos. Acabei cancelando essa mudança e liberando o youtube com controle de banda feito pelo squid. Com mais tempo, irei verificar a melhor solução! Abraço!