PFSense Firewall com Squid e SquidGuard

O presente documento visa instruir e informar o leitor, a forma de configurar um Firewall PFSense para controle de internet. Para configuração do controle de acesso serão utilizados os pacotes Squid e SquidGuard, para configuração automática nos terminais clientes, computadores e dispositivos moveis, serão mostradas como utilizar o protocolo WPAD (Web Proxy Auto Discovery) e o arquivo PAC (Proxy Auto configuration).

[ Hits: 6.257 ]

Por: Willian ricardo mendonca em 06/11/2017 | Blog: http://www.vivaolinux.com.br/


Introdução



Todos os dias são criados novos sites na internet, com isso, cada dia mais, aumenta a necessidade de controlar o acesso aos mesmos. Principalmente em ambiente corporativo, visto que esses sites podem conter arquivos maliciosos que infectam computadores e redes completas ou, simplesmente, podem atrapalhar o rendimento e a produtividade dos funcionários de uma empresa.

Visando ambientes corporativos, esse documento foi desenvolvido, mostrando como configurar um Firewall PFSense com controle de acesso à internet, ou seja, restringindo os sites aos quais sua rede local tem acesso.

O Firewall PFsense serve também como proteção para a rede corporativa, visto que impede acessos não autorizados oriundos da internet conforme corretamente configurado e impede, também, acessos indesejados oriundos da rede interna, impedindo, caso necessário, downloads de arquivos maliciosos, que podem ser feitos de forma proposital ou não.

Os softwares utilizados para controle de internet serão o Squid e o SquidGuard. O primeiro é um servidor de proxy que possibilita a interceptação e análise de todo o tráfego de dados direcionado a internet; o segundo é responsável por categorizar os sites requisitados, e permitir ou não o acesso aos mesmos de acordo com regras previamente configuradas.

Não serão abordados, de forma profunda, configuração de regras de Firewall, somente o necessário para o funcionamento do Squid que, vale ressaltar, não funcionará de forma transparente, ao invés disso, utilizaremos um script de autoconfiguração de proxy (PAC) para que consigamos interceptar também o tráfego SSL, fará com que ele funcione de forma independente do usuário ou de qualquer configuração, porém não se encaixa no conceito de proxy transparente.

O PAC fará com que o navegador de internet do usuário receba as configurações de proxy juntamente as configurações de DHCP e DNS, não se fazendo necessária a configuração manual das máquinas e a instalação de certificados para que seja interceptado o tráfego SSL.

Objetivos

Configurar um ambiente de rede com um Firewall PFSense e uma máquina cliente, instalação e configuração de um servidor de proxy para controle de acesso à internet e configurações básicas para o funcionamento da rede interna para que todas as máquinas sejam obrigadas a direcionar seu tráfego para o servidor de proxy.

Não serão abordados assuntos relacionados à instalação de sistemas operacionais, portanto, é recomendado uma pesquisa sobre esse assunto, pois é necessário esse conhecimento prévio. Não serão abordados também tópicos que não são relevantes ao objetivo desse documento.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Embasamento teórico
   3. Metodologia (passo a passo)
   4. SquidGuard
   5. Resultados e discussões
Outros artigos deste autor

OCS-NG Inventory no Debian 8 (Jessie) - Instalação e Configuração

Leitura recomendada

IPset - Bloqueie milhares de IPs com o iptables

IPTables - Desvendando o mistério

Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1

Firewall/Proxy (solução completa)

Trabalhando com CARP nos BSD's

  
Comentários
[1] Comentário enviado por willian.firmino em 08/11/2017 - 00:08h

Utilizando o DNS Forwarder muda alguma coisa no proxy.pac e nas configuraçoes? tenho esse cenário e nao ta funcionando o wpad de jeito nenhum.

[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h

o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta

[3] Comentário enviado por willian.firmino em 10/11/2017 - 12:43h


[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h

o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta


Sim, esta sim.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor HostGator.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Viva o Android

Tópicos

Top 10 do mês

Scripts