Duvida de implantação em ambiente basico

leoescarpellin

Pessoal boa tarde,

Gostaria de uma opinião de vocês. Estou com um cenário simples onde preciso colocar um pfsense para controle de internet, o local não possui qualquer servidor de domínio, apenas estações de trabalho.

Qual vocês acham que seria a melhor forma de eu fazer isso, normalmente com domínio integro com ad fica show de bola, sem domínio eu caio em alguns problemas. Listei abaixo 3 cenários que imaginei e fiz alguns testes, teriam como me dar uma opinião qual a melhor forma de se tratar isso em um ambiente como esse?

1. Squid3 (Não transparente com usuários locais) + SquidGuard + WPAD no pfsense distribuído por DHCP/DNS. Problema deste cenário, usuário pode facilmente desmarcar o proxy ou a detecção automática dos navegadores.

2. Squid3 (Transparente) + Captive Portal + FreeRadius. Problema deste cenário, Ainda não consegui acertar de forma correta o patch para o cp integrar com o squid 0.4.7 que veio com a função desativada, o mesmo não mostra os usuários autenticados no cp e a necessidade de instalar o certificado SSL para interceptar o acesso https.

3. Squid3 (transparente) + SquidGuard. Problemas deste cenário, não lista usuários por nome no log, necessidade de instalar o certificado SSL para interceptar o acesso https.

Att,
Leonardo Escarpellin

andr3.ribeiro

Eu tenho sua opção 1 implementada.
Bloqueia a porta 80, 443 que resolve

leoescarpellin

@andr3.ribeiro:

Eu tenho sua opção 1 implementada.
Bloqueia a porta 80, 443 que resolve

Vc só bloqueia as portas ou cria um NAT delas para a 3128,3129 respectivamente?

Se eu criar um NAT não preciso bloquear as portas?

henriquejensen

1. Squid3 (Não transparente com usuários locais) + SquidGuard + WPAD

(melhor opção ao meu ver, e se vc bloquear as portas e deixar somente a do proxy o usuario vai ficar sem navegar caso desmarque o proxy.)

2. Squid3 (Transparente) + Captive Portal + FreeRadius

(Freeradius é show, mas é uma coisa à mais pra vc ter q se preocupar quando der problema, oque raramente acontece, só vejo tretas com interceptação de SSL, os navegadores vivem encomodando).

3. Squid3 (transparente) + SquidGuard

(muito furo no bloqueio de sites e portas)

Vc vai usar a mesma rede pra acesso wifi em dispositivos móveis?

tomaswaldow

Sempre uso opção 1, mas não precisa bloquear, basta apagar a regra padrão, e adicionar as regras para as portas/serviços que vai usar.

Ex: DNS, VPN, 3128, etc…
As portas que não estiverem liberadas por padrão estão bloqueadas.

leoescarpellin

Sim henrique vai ser a mesma rede para wifi e interna…

Fiquei com a opção 1 mesmo... acertei todas as maquinas e quem tentar fazer gracinha roda rs rs rs.
Vamos ver como será em produção na semana q vem quando o pessoal volta a trabalhar.

henriquejensen

@leoescarpellin:

Sim henrique vai ser a mesma rede para wifi e interna…

Fiquei com a opção 1 mesmo... acertei todas as maquinas e quem tentar fazer gracinha roda rs rs rs.
Vamos ver como será em produção na semana q vem quando o pessoal volta a trabalhar.

Vc vai criar regras com range de ips pros dispositivos móveis liberando as portas de navegação e dns e etc ou vai setar proxy neles? Te pergunto isso pq em um cliente acabei fazendo isso por conta de nao conseguir configurar a Vlan pra uma interface virtual pra usar o captive portal nos roteadores wifi :/