PfSense1 como Firewall + pfSense2 como Proxy



  • Olá boa tarde a todos,
    Bem, eu criei um ambiente de teste conforme abaixo e funciona perfeitamente de acordo com os meus teste.

    Meu Ambiente Teste:

    pfSense-2.1.3-RELEASE i386 32Bit
    .Certificado do pfSense
    .squid3-dev  3.3.10 pkg 2.2.2
    .Modo transparente
    .squidGuard-squid3  1.4_4 pkg v.1.9.5

    –----------------------------------------------------------------------------------------------------------------------------------------------
    OPINIÕES

    1 - Primeiro
    Para logs, qual é a melhor opção na opinião de vocês?
    Lightsquid, Sarg e Etc.

    2 - Segundo
    Posso criar um pfSense paralelo a outro com Firewall usando somente o Squid-Ded e SquidGuard-squid3? O que recomenda?
    Nesse servidor pfsense com Squid-dev eu preciso de ter lan e wan? É obrigatório?

    pfSense01 - Firewall
    pfSense02 - squid3-dev, SquidGuard-squid3 (01 interface)

    Hoje uso squid transparente com wpad e isso está me dando muita dor de cabeça com a equipe de TI na área de desenvolvimento.

    At.



  • Márcio, todos estes pontos já foram discutidos aqui no fórum.

    Você pode sim ter dois pfsense, um para firewall outro para proxy mas não recomendo em paralelo.

    O pfsense squid só precisa de uma interface.

    Sobre os relatórios, minha preferencia é o sarg.



  • @marcelloc:

    Sobre os relatórios, minha preferencia é o sarg.

    Marcello, por favor, me diga na sua opinião as vantagens de usar Sarg em vez do Lightsquid.
    Obrigado.



  • Essa é fácil. Prefiro o sarg porque fiz a interface web do pacote para ele :)

    Brincadeiras a parte, vejo mais opções de relatório nele.

    O lightsquid tem agregado ao pacote o monitor de cache do squid se não me engano.



  • Olá Marcelo,
    Eu encontrei sim comentários em alguns posts, o complicado é aglutinar todas perguntas, resposta e muitos delas sem sentido e complicado de entender.

    Eu entendi.

    Meu cenário ficara assim:
    1 pfSense1 como Firewall ativo, 1 Wan e 1 Lan
    1 pfSense2 com Squid e agregados, 1 Wan. Onde configuro manualmente o GW.

    Depois crio regra de todo trafego porta 80/443 no pfsense1 Firewall para porta 3128 do pfSense2(Proxy)
    Certo?

    Desculpe e obrigado.



  • Olá Marcelo,
    Nesse post abaixo diz que tem que instalar as bibliotecas faltantes e isso foi em maio do ano passado. Hoje ainda é preciso baixar as bibliotecas faltantes na ultima versão do pfSense 2.1.3-RELEASE (i386)?
    Ou essas bibliotecas são exclusivas do squid-dev 3.3.5?

    https://forum.pfsense.org/index.php?topic=62263.0

    Mais uma vez obrigado.



  • @marcelloc:

    Essa é fácil. Prefiro o sarg porque fiz a interface web do pacote para ele :)
    Brincadeiras a parte, vejo mais opções de relatório nele.

    Obrigado



  • @Márcio:

    Depois crio regra de todo trafego porta 80/443 no pfsense1 Firewall para porta 3128 do pfSense2(Proxy)
    Certo?

    sim. Não esqueça de colocar uma regra antes liberando o trafego 80 e 443 a partir do proxy para não gerar um loop entre o proxy e o firewall.



  • Desculpe Marcelo, eu não entendi.



  • Não esqueça de colocar uma regra antes liberando o trafego com origem proxy, destino porta 80 e 443.



  • Bom dia, Marcio e Marcelo.

    Se eu entendi direito, vc precisa de uma wan e uma lan no proxy. Não vejo funcionando apenas com uma Wan. Pois o proxy vai trabalhar entre o Firewall e sua Rede.
    Firewall <-> Proxy <-> Rede interna

    Estou certo ?



  • Oi k1k0borba

    Vou trabalhar com apenas uma interface (wan) interface padrão do pfSense, Pois o proxy vai trabalhar entre o Firewall e minha Rede. Dessa forma ele se torna um servidor comum.
    Por padrão o pfSense cria um interface que é a Wan mesmo só com uma placa de rede, ele coloca o nome de WAN.

    Só estou quebrando a cabeça para criar a regra no firewall para mandar todo trafego das portas 80/443 para o pfsense-Squid 3128.

    Tentei NAT, RULE e nada ate agora.

    Abraços.

    At.



  • Marcio,
    Nesse caso, vc colocou seu proxy como gateway nas estações ?
    Assim o tráfego passa todo pelo proxy primeiro. E então acredito que vc nao tenha esse tipo de problema

    Ate logo!



  • Não tem mistério. Como já expliquei aqui e em vários outros tópicos, você só precisa cadastrar o ip do proxy como gateway no pfsense.
    Nas regras de firewall da lan,permita o acesso do proxy para a Internet e em seguida crie outra regra liberando o acesso http e https usando o gateway criado no primeiro passo.


Log in to reply