PROXY e SQUID?!?!?!?!?



  • CIAO EVERYBOBY…
    aiuto raga,,non ho prorpio capito come far funzionare proxy e squid....cioè non ho capito sei i pc della lan li devo configurare con l'indirizzo del pfsense e metter la porta che ho settato nei setting del proxy, e poi se squid funge sul proxy o no???
    in pratica vorrei poter analizzare gli accessi di ogni singolo utente della lan e gli eventuali siti ke naviga...
    il tutto lo voglio fare solo con la macchina dove ho il pfsense.
    per ora sono solo riuscito a far loggare gli utenti con ( penso ) captive portal e con metodo di auth local....ho provato a settare radius(dopo aver scaricato il relativo pakage,freeradius) ma pure qui non va, non soì se devo mettere come serve del radius l'indirizzo del pfsense ( dove è free radius).
    please!!! ho solo bisogno di capire bene il concetto di proxy e di radius..cioè se sono sulla stessa macchina ho devo organizzarmi diversamente. ( non voglio la spiegazione passo passo, altrimenti non ci capisco nulla...datemi il concetto, il resto lo devo fare io! )
    ciao e spero ke qualkuno abbia capito kosa cerco.



  • allora squid e' il proxy. praticamente un proxy riceve delle chiamate http, guarda se dei dati li ha in locale, se possiede la copia chache delle pagine gira al richiedente quella che lui possiede sul disco, senno inoltra al gateway la richiesta e quello che poi il gateway gli invia lo salva in cache e lo rigira al richiedente.
    praticamente si fa un copia locale delle cose piu richieste in modo da non consumare la banda per esempio per tirare giu loghi o filmatini che hanno frequenza elevata di richiesta.
    il traffico web in chiaro ( non criptato .. quindi https escuso..) viene fatto sulla porta 80

    server http( esempio youtube ) <–---> gateway(pfsense)<-->proxy(pfsense)<---> User

    solitamente il proxy ha una sua porta specifica (3... qualcosa) che deve essere configurata in tutti i browser dei richiedenti.
    o piu comodamente puo essere impostato in modalita trasparente  ( redirect di tutte le chiamate :80 alla porta del proxy...)

    per vedere cosa fanno gli utenti ti occorre un pacchetto di reporting tipo  Lightsquid  perche squid e' solo il motore di caching web .

    allo stato attuale ci sono grossi problemi con il load balancing e squid:  le versioni prima di squid 3 cachavano solo un interfaccia ( la wan) con squid 3.0 si possono usare piu wan ma come vedrai dai post non sempre funziona! quindi quello che consiglio ora come ora e:
    se necessiti del load balancer o non usi il proxy o usi 2 macchine una per il bilancimaneto e una per fare da firewall/proxy ( oppure usi vyatta a monte di pfsense). ricordati che una doppia logica (2 strati di macchie) incasina in maniera esponenziale la difficolta per rotte statiche , vpn, nat ecc ! valuta bene .

    per quello che riguarda invece il proxy filtering devi usare un altro pacchetto: squidguard che filtra e blocca le chiamate a determinati siti ( sempio bloccare facebook.)

    per  quello che riguarda il radius :
    se non utilizzi una macchina esterna come radius server puoi benissimo usare lLocal user manager  specificando te a mano gli utenti e le relative password  nella linguetta user dentro al captive invece di usare freeradius ( IO l'ho usato … e se non hai grosse richiesta in termini di utenza puoi benissimo fare con il local...).

    il radius e' un  servizio di accounting-autentication.
    l'username e la password vengono sparati ad un servizio che ve verifica l'abilitazione .(radius server)
    a intervalli regolari la macchina autenticatrice manda un pacchetto definito di accountg per comunicare lo stato di attivita dell'utente.
    il radius server puo essere un servizio sulla stessa macchina pfsense ( e quindio stesso ip) oppure un altra macchina su cui per esempio gira anche  mysql ( un server radius ''professionale'' esegue delle query su un database in base a migliaia di impostazioni e restituisce l'abilitazione alla navigazione per questo ti dico che puoi usare il local user manager se il radius gira su pfsense!!! )

    spero di esserti stato di aiuto.


Log in to reply