Pfsense com Squidguard e Nxfilter
-
Bom dia galera, precisava de uma ajuda.
Tenho um ambiente em produção e não posso ficar realizando testes contudo fiz uma máquina virtual com o nxfilter e utilizo o pfsense com proxy ativo (squid + squidguard na 3128 e wpad) cenário funcionando perfeitamente, contudo ao utilizar o dns do nxfilter estando o proxy ativado ele não parece funcionar, tirando o proxy pega, há alguma maneira de ter os dois trabalhando juntos? -
@faustovianna No squid, tem uma configuração de DNS, altere para que o DNS seja o nxfilter.
Dependendo da configuração na aba General Setup, o squid pode usar o DNS do sistema, podendo ser este 127.0.0.1 (DNS Resolver ou DNS Forwarder), ou os servidores DNS configurados nessa mesma aba.
Portanto, apenas alterando lá no Squid deve ser suficiente.
Obs: Nunca usei nxfilter, portanto estou apenas dando uma sugestão.
-
@mcury Então, eu coloquei na máquina o DNS primário sendo do NXfilter e no NXfilter adicionei ele pra usar o DNS local que no caso é o do windows server... contudo nos relatórios quando esta com proxy foge dele e sem o proxy ele faz o trabalho corretamente... Meu receio é alterar lá e dar BO na rede em produção pois choveria ligações, mas gostaria de usar o proxy junto com o nxfilter pra bloqueio também via dns
-
@faustovianna Acho que você não entendeu..
O proxy usa DNS também, portanto a sugestão que eu dei foi de alterar o DNS no próprio Squid, tem uma aba de DNS lá na configuração dele.
Você configurando o squid pra usar o nxfilter deve ser suficiente.Embora eu tenha que dizer que não gostei da sua solução..
Eu faria de uma forma bem diferente.. -
@mcury Usar proxy + o filtro dns não seria bom por qual motivo? Aceito sugestões... Bem observado a aba do dns lá nas configurações do squid! havia esquecido disso! obrigado!
-
Bem, não tem como escrever isso em poucas palavras mas vou tentar.
Todas as soluções tem problemas.DNS:
Você perde granularidade.
Caso haja um bloqueio, você precisa liberar para todos, não tem como liberar um acesso específico para um determinado grupo como você pode fazer com o Squid.
É mais rápido pro cliente, utiliza menos recursos do Firewall e você não faz MITM, evitando assim problemas de acesso como acontece usando Proxy.Squid:
Nesse caso, eu não usaria WPAD, eu usaria PAC distribuído por GPO diretamente para os navegadores, sem incluir IE ou Edge pois estes usam o PAC do Windows que não teria proxy.
Dessa forma, todas as aplicações funcionariam, como aplicativo do Itau, receita federal, atualizações do Windows e etc.
Usuarios usariam o Firefox ou Chrome, e estes por sua vez seriam instalados pela GPO já com o PAC incluído, entre outras políticas.É possível configurar o navegador pela GPO, para que não faça cache do arquivo PAC, portanto assim possilibitando que você altere o PAC e peça pro cliente com problema de acesso a fechar e abrir o navegador para testar o acesso novamente.
Vale ressaltar aqui que você teria que criar uma política para o IE e para o Edge lá na GPO, limitando o uso para alguns sites.
Essa forma de trabalhar é bem mais complicada, necessita de manutenção sempre pois os domínios mudam, sites mudam, redirecionamentos acontecem e etc... O custo de manutenção é alto, pois precisa sempre atualizar o PAC, analisar o que foi bloqueado e etc.
Tendo em vista o que foi dito acima, eu sugiro que você use o que for melhor pro seu ambiente.
Você precisa de quantos grupos no proxy? Se for apenas 2, um libera tudo e outro filtrado, você pode usar o DNS que é mais rápido, dá menos problema.
Aponte os clientes que quer liberar tudo para outro servidor DNS.
Aponte os clientes que quer filtrar pro nxfilter.Se você tem diversos grupos, como por exemplo marketing, diretores, recepcao e etc, com diferentes políticas de proxy, aí só com proxy mesmo, e eu faria da maneira acima.
Os 2 juntos, eu não vejo motivo além de aumentar o custo e a demora na manutenção.
Imagina ter 10 clientes, cada cliente com 100 usuários, e você precisar analisar o bloqueio, se foi no proxy, se foi no DNS, qual domínio por na whitelist ou no bypass pelo PAC e etc...