PFSense e SQUID em máquinas diferentes



  • Bom dia senhores …

    Tenho o PFSense implantado e funcionando perfeitamente.

    Quero agora implantar um Proxy autenticando os usuários num AD que possuo.
    Sei que se fizer isso no próprio PFSense, a cada vez que o usuário abrir o browser, o mesmo terá que digitar a senha (pra mim inviável essa solução).
    Vi que o Luiz Gustavo (muitíssimo parabéns Luiz por essa iniciativa) está desenvolvendo um pacote de integração do PFsense + Squid + Samba com o AD. Já cheguei até a fazer essa implantação em um ambiente de teste fazendo a compilação dos pacotes na mão ... Funcionou, mas não gostaria de instalar mais serviços no PFSense ...

    Meu PFSense tem uma interface de rede sobrando e tenho também um computador sobrando com 2 placas de rede.
    Nesse computador já tenho o SQUID autenticando no AD.

    O que já fiz como teste foi:

    Configurei uma rede a parte pra essa placa do PFSense e liguei nesse computador com o SQUID. Essa placa é meu gateway de saída da máquina SQUID.
    Na outra placa do computador, conectei ele na minha LAN e configurarei o navegador dos usuários pra acessarem o servidor proxy.
    Até esse passo, sem problema. O navegador autentica e respeita as regras que montei no SQUID (embora o https esteja dando problema. Sites https bloqueados, ex: facebook, não mostram a página de acesso negado mas sim de que site não existe, mas ainda estou fazendo testes pra entender o porque disso).

    A maior questão é que se o usuário desabilitar o proxy do navegador, ele consegue navegar na internet sem passar pelo SQUID e assim não respeitar as regras que montei.

    Imagino que, preciso montar regras de que todo o tráfego HTTP ou HTTPS que esteja vindo da minha LAN e indo pra a INTERNET, tenha que ser redirecionado para a máquina SQUID.
    E tem que ser indo pra internet, porque tenho a minha DMZ e também o adm do PFSENSE que está na minha LAN.

    Alguém já montou alguma coisa desse tipo ?

    Pode me dar alguma dica ?

    Obrigado

    Ronaldo Araujo

    Ronaldo Araujo



  • É só alterar o gateway das máquinas para o servidor que roda o Squid. Crie as regras de bloqueio HTTP e HTTPS nele.



  • É uma opção, mas não sei se é a mais correta, já que a máquina dos usuários acessam outros serviços (envio / recebimento de e-mail, ftp , DMZ).

    Fazendo essa alteração, eu teria mais um passo para todos esses serviços já que teria que passar pelo server SQUID (que viraria o gateway) pra depois ir pro PFSENSE (que realmente é o gateway de saída).



  • Não vejo problema nisso.


Log in to reply