Projeto de migração de proxy para o pfsense



  • Fala pessoal,

    Estou projetando uma melhoria no ambiente que eu trabalho, queria sugestões para migrar ele para dentro do pfsense. Hoje o ambiente funciona da seguinte forma:

    Tenho 2 Firewall com CARP, e 2 load balancer de proxys. Onde tenho um com squid+dansguardian autenticando com kerberos (tipo NTLM) e outro com a mesma plataforma mas autenticando com LDAP.

    Controlo esses ambientes com o WPAD (nele tem liberações para office365, vários sites e os apontamentos para as maquinas que estão no AD ir para o LB com o proxy NTLM e outro apontamento para os computadores que estão na fora do dominio ir para o proxy LDAP)

    A média de usuários autenticados é de 600.

    O maior problema é que não possuo proxy HTTPS nessa configuração, e colocaram na cabeça que precisam apenas de alguns canais do youtube liberados.

    A minha ideia básica hoje é migrar tudo para o firewall ( com proxy transparente e tal). Pensei como alternativa o pfblocker ( mas a versão nova ainda ta em devel, e eu não ia conseguir relacionar por perfis).

    Então pensei em fazer um proxy transparente e autenticar os usuários com Captive Portal. Dessa forma, acredito que consigo utilizar perfis de usuários igual consigo hoje no dansguardian.

    A configuração do firewall é essa:
    Intel(R) Xeon(R) CPU E5620 @ 2.40GHz 16 CPUs
    8GB de RAM
    500GB de HD.

    O firewall é muito subutilizado, então tem processamento e memória de sobra (acredito que suporte a demanda de usuários).

    Ainda fiquei com umas duvidas, se pra esse ambiente seria melhor utilizar o squid guard, ou tentar com o e2guardian. Eu preferia o que for mais rápido, e que consiga fazer a tal liberação de alguns canais do youtube.

    Agradeço que puder ajudar, relatar experiencias e dar dicas.

    Abraço



  • O filtro de ssl vai funcionar tanto no squid quanto no e2guardian. Eu particularmente acho o e2guardian muito mais rápido.



  • @marcelloc

    Valeu marcello pela resposta. Como não consegui testar uma autenticação em proxy transparente de forma eficaz e com a atribuição de grupos. Acabei cancelando essa mudança e liberando o youtube com controle de banda feito pelo squid. Com mais tempo, irei verificar a melhor solução! Abraço!


Log in to reply