Ayuda NAT



  • Hola a todos,
    tengo la siguiente distribucion en mi red

    ((Squid))–-------((PfSense/NAT))--------((LAN))

    la situacion es que el acceso a Internet la hago a traves de un proxy que no es de mi propiedad,se han dado situaciones en que se ha hecho necesario mapear la navegacion de un usuario con determinada direccion IP pero al tener un NAT pues todas las trazas aparecen con una unica IP,  me pueden recomendar alguna solucion para tener control de la navegacion de mis usuarios?
    desde ya gracias



  • ¿El squid que dibujas está en Internet o en otro departamento de tu organización?

    Si está en Internet no puedes evitar NAT. Si está en otro departamento sí podrías trabajar sin NAT.

    Caso de no poder obviar NAT puedes optar por un portal cautivo con control de usuarios o bien un squid NO transparente con control de usuarios.

    Saludos,

    Josep Pujadas



  • Hola bellera,
    El squid está en internet, tengo que realizar NAT obligatoriamente, ya estuve revisando la variante del portal cautivo, pero no me quedó claro si podía tener en mi poder una especie de logs de los accesos a internet es decir necesito saber que el usuario X trató de acceder a la página Y desde el ip Z, o algo similar. Puedo lograr algo parecido con el portal cautivo?

    la otra variante no la puedo implementar, por políticas de la organización debo usar el proxy de internet para la navegación de los usuarios

    Saludos,



  • No. El portal cautivo es para permitir o no el acceso. Nada más. Puedes tener registro de cuando se han conectado pero no a qué páginas han ido. Bueno, podrías loguear con pfSense las IPs de destino, pero esto no es lo que quieres…

    Si quieres un análisis de accesos a páginas por usuario sólo veo una solución: un squid con identificación de usuarios y la correspondiente herramienta de análisis de los logs de squid.

    Para tener autentificación de usuarios squid no puede estar en modo transparente. squid permite varios métodos de autentificación (PAM, AD, LDAP...)

    Tendrás que impedir con una regla que las máquinas vayan directamente a Internet y declarar en los navegadores el uso de proxy. Así, si un usuario trata de navegar sin proxy no podrá.

    El proxy lo puedes tener en el propio pfSense o fuera. Mira las opciones que tiene el configurador web de squid en pfSense, a ver si te son suficientes.

    En el post Documentación (arriba) tienes enlaces a documentación sobre squid.

    Saludos,

    Josep Pujadas



  • Muchas gracias, revisare la documentacion u probare montando un Squid,
    Saludos



  • Tambien puedes permitir el nat unicamente a la ip de tu servidor proxy de internet bloqueando todo lo demas!
    Yo me inclinaria por instalar squid en mi LAN

    Saludos


Log in to reply