Redirecionar trafego web - Squid + SquidGuard



  • Olá, estou iniciando no PFSense e configurando um novo servidor, fiz as instalação padrão e como irei utilizar o servidor para Proxy Web com filtros do SquidGuard, percebi que mesmo usando o proxy squid de forma transparente, analisando os logs e regras, todos os equipamentos da rede navegam normalmente sem passar pelo proxy, pelo que pesquisei quando se ativa a opção de proxy transparente o PFSense incluiria uma regra no NAT-RULES redirecionamento todo o trafego WEB das portas 80 ,8080, 443 para 3128 do squid. Porem isto não aconteceu, mesmo reinstalando o PFSense e os pacotes a regra de redirecionamento não funciona.

    Minha duvida é a seguinte como e onde ou posso redirecionar todos o trafego WEB das minhas LANs para obrigatoriamente passar pelo Squid+Squidguard

    PFSense 2.1.4-RELEASE
    Squid 3.1.20 pkg 2.1.0
    SquidGuard 1.4_4 pkg v.1.9.5

    WAN - ppooe com internet
    LAN0 - DHCP Server
    LAN1 - intranet1
    LAN2 - intranet2
    LAN3 - intranet3
    LAN4 - reservado para administração do PFSense
    LAN5 - off



  • Caro Julio,

    Essa versão do squid que você está utilizando não possui uma opção de redirecionar o trafego https para o bind do proxy (https transparente  "ssl_bump"). Dito isso, para você utilizar o https transparente você terá que fazer na mão a configuração em "Services > Proxy Server > General > Custom Settings > Custom Options", ou usar a ultima versão do squid3-dev (atualizada pelo marcelloc) onde tem essa opção nativamente. Tópico a respeito: https://forum.pfsense.org/index.php?topic=62263.0

    No que se refere ao NAT, este é feito em background automaticamente, não fica visível em "Firewall > NAT > Port Forward". Para verificar a entrada na tabela de NAT do pf, utilize o comando abaixo:

    
    pfctl -sn |grep 3128
    

    Para verificar se o trafego está passando pelo proxy, utilize:

    tail -f /var/squid/logs/access.log
    

    att,

    Bruno Pinheiro.



  • Irei verificar esta possibilidade.

    Acabei fazendo uns teste de madrugada e descobri o problema. Estou utilizando um appliance ServerU, sendo que o PFsense esta instalado no cartão flash, e tenho outro hd SATA no appliance para gravar os logs e cache. Quando criei os diretórios do logs e cache do squid+SquidGuard não me atentei as permissões de diretório que tem que estar com o grupo proxy:proxy (squid) para o outro HD. Fiz a alteração e funcionou.

    Fica a dica

    Agora falta eu descobrir para alterar o arquivo squid_monitor.php para mostrar em tempo real no PFSense os logs

    pelo shell sei que ta rodando

    Obrigado