Duvida de implantação em ambiente basico



  • Pessoal boa tarde,

    Gostaria de uma opinião de vocês. Estou com um cenário simples onde preciso colocar um pfsense para controle de internet, o local não possui qualquer servidor de domínio, apenas estações de trabalho.

    Qual vocês acham que seria a melhor forma de eu fazer isso, normalmente com domínio integro com ad fica show de bola, sem domínio eu caio em alguns problemas. Listei abaixo 3 cenários que imaginei e fiz alguns testes, teriam como me dar uma opinião qual a melhor forma de se tratar isso em um ambiente como esse?

    1. Squid3 (Não transparente com usuários locais) + SquidGuard + WPAD no pfsense distribuído por DHCP/DNS. Problema deste cenário, usuário pode facilmente desmarcar o proxy ou a detecção automática dos navegadores.

    2. Squid3 (Transparente) + Captive Portal + FreeRadius. Problema deste cenário, Ainda não consegui acertar de forma correta o patch para o cp integrar com o squid 0.4.7 que veio com a função desativada, o mesmo não mostra os usuários autenticados no cp e a necessidade de instalar o certificado SSL para interceptar o acesso https.

    3. Squid3 (transparente) + SquidGuard. Problemas deste cenário, não lista usuários por nome no log, necessidade de instalar o certificado SSL para interceptar o acesso https.

    Att,
    Leonardo Escarpellin



  • Eu tenho sua opção 1 implementada.
    Bloqueia a porta 80, 443 que resolve



  • @andr3.ribeiro:

    Eu tenho sua opção 1 implementada.
    Bloqueia a porta 80, 443 que resolve

    Vc só bloqueia as portas ou cria um NAT delas para a 3128,3129 respectivamente?

    Se eu criar um NAT não preciso bloquear as portas?



  • 1. Squid3 (Não transparente com usuários locais) + SquidGuard + WPAD

    (melhor opção ao meu ver, e se vc bloquear as portas e deixar somente a do proxy o usuario vai ficar sem navegar caso desmarque o proxy.)

    2. Squid3 (Transparente) + Captive Portal + FreeRadius

    (Freeradius é show, mas é uma coisa à mais pra vc ter q se preocupar quando der problema, oque raramente acontece, só vejo tretas com interceptação de SSL, os navegadores vivem encomodando).

    3. Squid3 (transparente) + SquidGuard

    (muito furo no bloqueio de sites e portas)

    Vc vai usar a mesma rede pra acesso wifi em dispositivos móveis?



  • Sempre uso opção 1, mas não precisa bloquear, basta apagar a regra padrão, e adicionar as regras para as portas/serviços que vai usar.

    Ex: DNS, VPN, 3128, etc…
    As portas que não estiverem liberadas por padrão estão bloqueadas.



  • Sim henrique vai ser a mesma rede para wifi e interna…

    Fiquei com a opção 1 mesmo... acertei todas as maquinas e quem tentar fazer gracinha roda rs rs rs.
    Vamos ver como será em produção na semana q vem quando o pessoal volta a trabalhar.



  • @leoescarpellin:

    Sim henrique vai ser a mesma rede para wifi e interna…

    Fiquei com a opção 1 mesmo... acertei todas as maquinas e quem tentar fazer gracinha roda rs rs rs.
    Vamos ver como será em produção na semana q vem quando o pessoal volta a trabalhar.

    Vc vai criar regras com range de ips pros dispositivos móveis liberando as portas de navegação e dns e etc ou vai setar proxy neles? Te pergunto isso pq em um cliente acabei fazendo isso por conta de nao conseguir configurar a Vlan pra uma interface virtual pra usar o captive portal nos roteadores wifi :/


Log in to reply