Sostituzione Firewall Commerciale. problemi content filter



  • Buongiorno a tutti, sono nuovo nel mondo Pfsense e stavo cercando di sostituire fortigate per una serie di motivi. Facendo alcune prove sono riuscito a configurare quasi tutto tranne il filtraggio dei siti.

    Senza scendere nel tecnico per il quale magari aprirò una richiesta a parte volevo più che altro capire se quello di cui ho bisogno lo posso fare con Pfsense perchè non ci sono riuscito:

    ho installato squid 3 + squidguard, ma ho due problemi, il primo che squid utilizza il gateway di default e non un gruppo o le regole definite quindi se va giù una linea internet perdo la navigazione anche se mi funziona il failover (risolto forse mettendo il cambio automatico di gateway predefinito nei tunables), e il secondo problema è che non filtra L'HTTPS, quindi banalmente google, youtube e facebook continuano ad essere accessibili.

    Ho la possibilità di sistemare questa cosa o devo rinunciare e continuare a vendere fortigate? La gestione delle linee di backup e il pacchetto NTOPNG li ho trovati davvero fenomenali, in fortigate (almeno nei modelli per piccole e medie imprese) anche solo capire chi sta generando del traffico è praticamente impossibile)

    Grazie



  • Ciao,
    non so se sia fattibile ma ti consiglierei di sostituire il fitro basato su proxy con il filtro basato su dns. Per farlo puoi usare software come Nxfilter, se hai problemi di hardware questo gira pure su raspberry quindi con una cifra modesta risolvi tutti i tuoi problemi.

    Ti dico questo perchè detesto le miriadi di limiti e problemi del filtro basato sy squid + squidguard e mi sono trovato delle alternative a basso costo.

    Ciao Fabio



  • @tuonoazzurro:

    il secondo problema è che non filtra L'HTTPS, quindi banalmente google, youtube e facebook continuano ad essere accessibili

    Questo succede perchè ovviamente il transparent proxy non funziona su https, e dubito funzionaerà entro breve.
    E' pure vero che c'è l'opzione in squid, ma al momento non funziona bene.
    Io ho risolto bloccando la porta 443 in uscita e configurando il proxy direttamente su ogni client.
    In questo mondo il traffico https viene "proxato", ma dato che comunque gli url arrivano allo squidguard in chiardo (non il traffico), le regole per youtube, etc.etc funzionano.