Netgate SG-1000 microFirewall

Author Topic: Pfsense Proxy No transparente  (Read 154 times)

0 Members and 1 Guest are viewing this topic.

Offline Esquirla

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Pfsense Proxy No transparente
« on: January 30, 2018, 08:30:53 am »
Estimados, necesito que me aclaren un poco esta idea, hay mucha info, soy nuevo y estoy perdido.
Escenario:
Controlador de Dominio propio Windows server 2008 r2.
Pfsense: Como Proxy, Firewall y VPN.
Red Empresa: Dos Vlan, una con navegación libre (100 PC) y otra vlan con navegación restringida en puerto 80 y puerto 443, aproximadamente 600 pc.

Requiero instalar Pfsense modo Proxy no Transparente en una red donde existen 2 vlan distintas. Una no tiene que tener restricciones y otra donde se debe restringir todo (80/443) e ir abriendo una lista de  páginas de trabajo.

Mi experiencia
En este momento lo tengo instalado un pfsense 2.1.4-RELEASE (i386)   configurado como modo Transparente con Squid +SquirGuard+Lightsquid
Esto me funciona bien para bloquedo puerto 80 pero falla para todo lo que es puerto 443 (ssl).
Con la ultima versión de pfsense existe la posibilidad de habilitar Man In the Middle, esto me funciona bien: los que tienen el certificado navegan en https y los que no lo tienen no pueden. Pero mi problema en este punto es que no logro bloquear algunos https.
Entocne se decidio pasar a la última versión pfsense (2.3.5-RELEASE (i386) ) e instalar modo Proxy No transparente y por política de grupo configurar el proxy en cada navegador. Sobre esta última modalidad, necesito saber si modo No transparente se puede usar squid y squidguard, con este último para controlar las listas blancas y negras.

En mis pruebas instale pfsense (2.3.5-RELEASE (i386)) con squid en modo no transparente, el tema es que la sección ACLs para controlar es muy básico y diferente al squidguard.

Se puede usar squid+squidguard juntos para modo No transparente?, como hago para restringir todo  (http y https) e ir habilitando lo necesario.

Offline fabshdz

  • Full Member
  • ***
  • Posts: 107
  • Karma: +2/-0
    • View Profile
Re: Pfsense Proxy No transparente
« Reply #1 on: January 31, 2018, 03:25:12 pm »
Tal como lo comentas...

La configuración del modo TRASPARENTE y NO TRASPARENTE, es casi la misma

Diferencia...

Vas a ir a cada computadora a poner manualmente el PROXY...

El juego es en tu Firewall de tu vlan de las 600 Pc vas a bloquear toda salida, excepto el puerto del PROXY, así el proxy le va a contestar a donde ir.

y Desde SquidGuard, puedes crear tus propios BlackList, y WhiteList y decirle a que VLAN afecta.

Te sugiero ver la configuración de WPAD, así aún teniendo el proxy en modo No transparente, se pasará automáticamente, para que no tengas que ir a cada computadora.

Revisa este link, de perikouno de nuestros compañeros del foro

https://www.youtube.com/watch?v=PqxOSR2ko_A

Offline Esquirla

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Pfsense Proxy No transparente
« Reply #2 on: February 01, 2018, 10:00:13 am »
Ante todo muchas gracias por responder, pero a que te refieres con la configurarion WPAD, donde estaria mirando esto? gracias.

Offline Esquirla

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Pfsense Proxy No transparente
« Reply #3 on: February 01, 2018, 10:04:52 am »
No es un problema configurar el Proxy, lo despliego por politica de grupo.

Offline Esquirla

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Pfsense Proxy No transparente
« Reply #4 on: February 05, 2018, 11:49:16 am »
Bueno comento que ya en una instalación limpia  pfsense  (2.3.5-RELEASE-p1 (i386) ) + Squid Version .0.4.43 + Squidguard Version 1.16.4 en Modo No transparente, logre bloquear todo el tráfico http y https, logrando habilitar listas blancas y negras para las diferentes vlan, lncuido habilitación de ciertas paginas como redes sociales en un cierto rango de horarios para la vlan más abierta en cuanto a navegación. Doy por cerrado el problema.