PfSense + Proxys Cache



  • Bueno, no se si es permitido mi post, espero que si.

    Mi finalidad es básica y tal vez tonta.

    Tengo la idea, de tener mi pfSense como un super router, y fuera de este tener los proxy, pero que administren todo, osea hasta el las conexiones seguras, no se si se puede tener algo así como conexión <-> pfSense <-> proxy <->clientes; o algo así como: conexión <-> pfSense <-> proxy <-> pfSense <-> clientes; o tal vez: conexión <-> proxy <-> pfSense (esto se me hace menos factible, pero puede ser).

    La idea, es tener un proxy no transparente para que controle el traifico por el puerto seguro, pero teniendo como el pfSense como el único cliente, o el cliente que disfrace a todos los demás.

    Quiero pensar que puedo hacer lo mismo con los proxy dinámicos como el Lusca, solol lo quiero para el youtube y una que otra cosa pesada, que veo que se puede configurar, y evitara problemas con las páginas dinámicas más visitadas, pues para mi red el mayor trafico lo representa facebook y youtube.

    (espero este post no sea ofensivo ni fuera de lugar. P.D. esto lo borrare si veo que no lo es xD)



  • No ofendes… pero el proxy es el top-ten del fórum de pfSense cuando estrictamente no es enrutado ni cortafuegos…

    Transparente quiere decir que los navegadores no lo ven, no tienen noticia de él. Es por eso que no se puede ni controlar comunicaciones encriptadas (https) ni usar validación de usuarios.

    Por tanto, si quieres controlar https no puedes poner un proxy que intercepte el tráfico.

    Tienes que ponerlo en una de las LAN y con pfSense dar sólo permisos para salir hacia 80 y 443 al proxy.

    Y, por supuesto, o bien comunicar a tus usuarios qué proxy deben configurar en su navegador para poder salir o estructurar tus LANs para que lo encuentren automáticament (véase, arriba, en Documentación).



  • Gracias por contestar si he leído la documentación, pero todo es como squid dentro de pfSense, y como forzar a pfSense a usar un proxy externo, pero quería pensar que si obligaba a proxy externo, podría yo hacerlo transparente para los demás usuarios, pero ya veo que no =(, rayos esto es un problemota =(



  • No entiendo al 100% tu propuesta, sin embargo al usar thundercache es practicamente transparente solo rediriges trafico, que necesitas?



  • Pues en teoría ahorrarme trafico saliente en mi WAN porque en horas pico los vídeos de youtube acaban mi red, y llego al limite de mi ancho de banda, así que si lo pudiera cachar, solo eso, sería una bendición, pero por lo que he leído, es que el trafico seguro no se cachea, al menos lo que he leido en este foro, y lo que quería hacer, es como por ejemplo, que una maquina fuera el proxy, y otra atrás de esta, al que se conectaran todos los clientes, y que los demás no se dieran cuenta, osea no quiero modificar nada en los navegadores, pero quiero cachear lo más posible de cosas.



  • mmm, es muy facil de hecho es como funciona mi thundercache, obviamente no configuras nada en el navegador

    Simplemente

    usas 3 interfaces suponiendo que solo usas un Wan las interfaces quedaria:

    1. Wan 192.168.1.122
    2. Lan 10.0.0.1/8
    3. Proxy 192.168.2.1/24

    puedes utilizar cualquier segmento pondre ejemplos con ip para una explicacion mejor

    En la Wan entra obviamente tu internet

    Tu Lan es la que usas para que tus clientes se conecten a tu red

    Proxy es una interface que es identica a lan, con la diferencia que solo conectaras tu proxy

    por lo cual tienes que crear una regla equivalente a la de lan para dejar pasar todo el trafico(suponiendo que usas la regla default)

    nadamas cambiarias la interfaz a proxy y la zona seria proxy subnet

    despues de eso creas una regla Nat para redireccionar. Explicare que haces cuando creas esa regla

    Cuando creas una regla NAT, dicha regla tendra mas importancia que las reglas declaradas en firewall

    ahora como declaras la regla, primero cambias el puerto que usa el pfsense para no tener problema o creas una regla NAT para que te de acceso a tu pfsense

    despues creas tu regla nat en la cual indicaras lo siguiente:

    Todo lo que salga por protocolo Tcp/udp de lan subnet a cualquier destino por el puerto 80, lo redireccionas al puerto 8080 de tu proxy que segun el ejemplo podria tener un ip: como 192.168.2.10

    y ya no es necesario hacer nada mas, automaticamente todos tus clientes pasan por el proxy no lo pueden evitar, aunque obviamente solo el puerto 80, si es otro puerto pasa directo a internet, sin hacer ninguna configuracion en navegador

    Ahora ese proxy puede ser thundercache, squid o cualquier otro proxy, no adjunto imagenes porque tengo flojera

    aun asi cualquier duda estoy para servirte

    Por cierto eso lo podrias hacer con solo 2 maquinas 1 pfsense y un thundercache por ejemplo con los inconvenientes de que no podrias usar squid o squidguard, si podrias usar captive portal y multiwan

    si quisieras tambien podrias usar 2 pfsense ya es adaptarlo a tus necesidades



  • que opinas de sta regla NAt compañero bellera.¿se podria afinar sta regla nat o sta perfecta.Desde ya gracias compañero kalesito. Saludos.



  • La navegación va por TCP 80. No es necesario incluir UDP 80.

    Arriba, en Documentación:
    Tutorial squid y squidGuard en pfSense
    http://forum.pfsense.org/index.php?topic=22273.0
    2.0 -> http://forum.pfsense.org/index.php/topic,44492.msg235654.html#msg235654

    ¿Proxy transparente?
    Muy cómodo, pero… no gestiona ni usuarios ni https...
    http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#Concepts_of_Interception_Caching (en inglés)

    Forzar el uso de squid externo a pfSense
    http://forum.pfsense.org/index.php?topic=15571.0
    http://forum.pfsense.org/index.php?topic=21083.0

    Encontrar el proxy externo, WPAD (Web Proxy Autodiscovery Protocol)
    http://forum.pfsense.org/index.php?topic=29452.0
    http://foro.jotahacker.es/hacker-basico/descubrimiento-automatico-de-proxy-web-wpad-t463.0.html



  • gracias x el consejo compañero bellera..bueno tengo un problemilla con mi tunder. cada ves q solo apago la pc con el tunder el internet se va dentro de mi lan.osea solo funciona el internet cuando la pc con el tunder sta encendida. cual podria ser  la causa de ste problema .Una ves mas gracias compañero bellera.Saludos.



  • Saludos, lo que pasa es que cuando haces nat estabas redireccionando todo el trafico http, obviamente si apagas el thunder no existe a donde redireccionar

    Saludos



  • ok gracias kalesito y aseguir haciendo pruebas con el tunder.Saludos.



  • Buen dia atodos ..bueno tengo una duda compañero bellera este enlace q pusiste  "http://forum.pfsense.org/index.php?topic=15571.0"  de forzar el uso de squid externo funciona bien y sin problemas en sta nueva version de pfsense 2.01..? Desde ya gracias x las respuestas compañero bellera.Saludos.



  • Es el mismo concepto, redireccionamiento. Tiene que ir igual…



  • No se si estoy desvirtuando el foro, pero he leído que usted ballera dice que es mejor usar el Squid afuera, de hecho creo que también he leído a periko que por ahí comentaba que no usaba el pfSense para lo que no fue diseñado, ¿sobre que sistema sería mejor montarlo?, o como, disculpe.



  • En instalaciones sencillas puede ser una buena solución tener el proxy en el propio pfSense.

    Pero si la instalación es compleja, no. Por ejemplo, tengo un equipo que tiene 2 squid. Uno como padre y otro como hijo. El hijo es el que sirve a los usuarios, filtrando con el redirector squidGuard y haciendo cache. El padre deja pasar todo y sólo se ocupa de Youtube, sin hacer caché. Y mediante un redirector escrito en Python consula la API de Google para obtener la ficha del vídeo a visualizar. Según qué contiene la ficha del vídeo deja o no pasar.

    Esto es prácticamente imposible montarlo con pfSense, pues manda el configurador web.

    También ocurre que suelen quererse demasiadas cosas en un único equipo: proxy, multiwan, traffic shaper… Y se entra en incompatibilidades de enrutado. Es decir, la topología es imposible. Entonces se impone la lógica de más de un equipo, sean físicos o virtuales.

    Para terminar decirte que squid+squidGuard funciona en bastantes sistemas operativos. Escoge tu preferido. Para mi sería FreeBSD, que es lo que es pfSense.

    Sin embargo últimamente estoy montando Ubuntu Server, pues con FreeBSD es complicado (en la zona que estoy) encontrar técnicos que lo conozcan. Todos están (estamos) en grandes empresas, bien "instalados".

    1.2.2 ¿Quién usa FreeBSD?
    http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/nutshell.html

    Saludos,

    Josep Pujadas-Jubany



  • Muchas gracias por contestar, ¿usted cachea Youtube?, eso es lo único que quiero hacer, y también, usaría Ubuntu, por aquello de que parece que es donde hay más soporte en español, disculpe que le pregunte, pero, ¿no tendrá una especie de manual de como lograr lo que usted hace en ese servidor ubuntu?, muchas gracias =).


  • Rebel Alliance

    Segun lo entiendo yo, No cachea Youtube

    El padre deja pasar todo y sólo se ocupa de Youtube, sin hacer caché. Y mediante un redirector escrito en Python consula la API de Google para obtener la ficha del vídeo a visualizar. Según qué contiene la ficha del vídeo deja o no pasar.



  • ZAC, no cacheo.

    Probé, en su día, http://cachevideos.com/ (videocache). Mis pruebas están en http://www.bellera.cat/josep/videocache/ (llovió un poco desde entonces).

    Si buscas en el foro videocache o thundercache encontrarás hilos (discusiones) sobre el tema.

    El problema de esto es que los portales de vídeo cambian muy frecuentemente su forma de trabajo.

    Por tanto, hay que tener una solución que garantice una constante puesta al día.

    Saludos,

    Josep Pujadas-Jubany



  • O vaya, bueno, al menos creo que termine por entender, que es mejor tener las cosas fuera del pfSense, al menos para cuando se manejan varias cosas, o se quiere tener mejor control, tendré que leer en otros lados el como hacerlo, parece que vi unas páginas que dice que va bien, y que jala mejor que el thunder, aunque creo que necesito probarlo.

    Muchas gracias por sus respuestas =).

    @ptt:

    Segun lo entiendo yo, No cachea Youtube

    El padre deja pasar todo y sólo se ocupa de Youtube, sin hacer caché. Y mediante un redirector escrito en Python consula la API de Google para obtener la ficha del vídeo a visualizar. Según qué contiene la ficha del vídeo deja o no pasar.

    Creo que a veces no leo bien =(


Locked