4. Sostituzione Firewall Commerciale. problemi content filter

Sostituzione Firewall Commerciale. problemi content filter

  • T

    Buongiorno a tutti, sono nuovo nel mondo Pfsense e stavo cercando di sostituire fortigate per una serie di motivi. Facendo alcune prove sono riuscito a configurare quasi tutto tranne il filtraggio dei siti.

    Senza scendere nel tecnico per il quale magari aprirò una richiesta a parte volevo più che altro capire se quello di cui ho bisogno lo posso fare con Pfsense perchè non ci sono riuscito:

    ho installato squid 3 + squidguard, ma ho due problemi, il primo che squid utilizza il gateway di default e non un gruppo o le regole definite quindi se va giù una linea internet perdo la navigazione anche se mi funziona il failover (risolto forse mettendo il cambio automatico di gateway predefinito nei tunables), e il secondo problema è che non filtra L'HTTPS, quindi banalmente google, youtube e facebook continuano ad essere accessibili.

    Ho la possibilità di sistemare questa cosa o devo rinunciare e continuare a vendere fortigate? La gestione delle linee di backup e il pacchetto NTOPNG li ho trovati davvero fenomenali, in fortigate (almeno nei modelli per piccole e medie imprese) anche solo capire chi sta generando del traffico è praticamente impossibile)

    Grazie

    0

  • Ciao,
    non so se sia fattibile ma ti consiglierei di sostituire il fitro basato su proxy con il filtro basato su dns. Per farlo puoi usare software come Nxfilter, se hai problemi di hardware questo gira pure su raspberry quindi con una cifra modesta risolvi tutti i tuoi problemi.

    Ti dico questo perchè detesto le miriadi di limiti e problemi del filtro basato sy squid + squidguard e mi sono trovato delle alternative a basso costo.

    Ciao Fabio

    0
  • S

    @tuonoazzurro:

    il secondo problema è che non filtra L'HTTPS, quindi banalmente google, youtube e facebook continuano ad essere accessibili

    Questo succede perchè ovviamente il transparent proxy non funziona su https, e dubito funzionaerà entro breve.
    E' pure vero che c'è l'opzione in squid, ma al momento non funziona bene.
    Io ho risolto bloccando la porta 443 in uscita e configurando il proxy direttamente su ogni client.
    In questo mondo il traffico https viene "proxato", ma dato che comunque gli url arrivano allo squidguard in chiardo (non il traffico), le regole per youtube, etc.etc funzionano.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy