PFSense Firewall com Squid e SquidGuard

O presente documento visa instruir e informar o leitor, a forma de configurar um Firewall PFSense para controle de internet. Para configuração do controle de acesso serão utilizados os pacotes Squid e SquidGuard, para configuração automática nos terminais clientes, computadores e dispositivos moveis, serão mostradas como utilizar o protocolo WPAD (Web Proxy Auto Discovery) e o arquivo PAC (Proxy Auto configuration).

[ Hits: 31.084 ]

Por: Willian ricardo mendonca em 06/11/2017 | Blog: http://www.vivaolinux.com.br/


Introdução



Todos os dias são criados novos sites na internet, com isso, cada dia mais, aumenta a necessidade de controlar o acesso aos mesmos. Principalmente em ambiente corporativo, visto que esses sites podem conter arquivos maliciosos que infectam computadores e redes completas ou, simplesmente, podem atrapalhar o rendimento e a produtividade dos funcionários de uma empresa.

Visando ambientes corporativos, esse documento foi desenvolvido, mostrando como configurar um Firewall PFSense com controle de acesso à internet, ou seja, restringindo os sites aos quais sua rede local tem acesso.

O Firewall PFsense serve também como proteção para a rede corporativa, visto que impede acessos não autorizados oriundos da internet conforme corretamente configurado e impede, também, acessos indesejados oriundos da rede interna, impedindo, caso necessário, downloads de arquivos maliciosos, que podem ser feitos de forma proposital ou não.

Os softwares utilizados para controle de internet serão o Squid e o SquidGuard. O primeiro é um servidor de proxy que possibilita a interceptação e análise de todo o tráfego de dados direcionado a internet; o segundo é responsável por categorizar os sites requisitados, e permitir ou não o acesso aos mesmos de acordo com regras previamente configuradas.

Não serão abordados, de forma profunda, configuração de regras de Firewall, somente o necessário para o funcionamento do Squid que, vale ressaltar, não funcionará de forma transparente, ao invés disso, utilizaremos um script de autoconfiguração de proxy (PAC) para que consigamos interceptar também o tráfego SSL, fará com que ele funcione de forma independente do usuário ou de qualquer configuração, porém não se encaixa no conceito de proxy transparente.

O PAC fará com que o navegador de internet do usuário receba as configurações de proxy juntamente as configurações de DHCP e DNS, não se fazendo necessária a configuração manual das máquinas e a instalação de certificados para que seja interceptado o tráfego SSL.

Objetivos

Configurar um ambiente de rede com um Firewall PFSense e uma máquina cliente, instalação e configuração de um servidor de proxy para controle de acesso à internet e configurações básicas para o funcionamento da rede interna para que todas as máquinas sejam obrigadas a direcionar seu tráfego para o servidor de proxy.

Não serão abordados assuntos relacionados à instalação de sistemas operacionais, portanto, é recomendado uma pesquisa sobre esse assunto, pois é necessário esse conhecimento prévio. Não serão abordados também tópicos que não são relevantes ao objetivo desse documento.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Embasamento teórico
   3. Metodologia (passo a passo)
   4. SquidGuard
   5. Resultados e discussões
Outros artigos deste autor

OCS-NG Inventory no Debian 8 (Jessie) - Instalação e Configuração

Leitura recomendada

Criando um firewall simples e compartilhando a conexão usando o IPtables

Fail2ban - Bloqueio de Peer-to-Peer (Ares, uTorrent) e Proxies (UltraSurf e Tor)

Slackware 11 + kernel-2.6.18 + Layer7 + iptables

Desvendando as regras de Firewall Linux Iptables

Entendendo a teoria do iptables

  
Comentários
[1] Comentário enviado por willian.firmino em 08/11/2017 - 00:08h

Utilizando o DNS Forwarder muda alguma coisa no proxy.pac e nas configuraçoes? tenho esse cenário e nao ta funcionando o wpad de jeito nenhum.

[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h

o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta

[3] Comentário enviado por willian.firmino em 10/11/2017 - 12:43h


[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h

o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta


Sim, esta sim.

[4] Comentário enviado por geovane.barreto em 15/12/2017 - 16:26h

Em pesquisa, encontrei que o PFSense está fora ou saindo de linha e que o sucessor é o OPNsense...
Sabe informar se isto é correto ??

[5] Comentário enviado por mendoncawillian em 15/12/2017 - 23:33h

Amigo desconheço qualquer informação sobre a descontinuação do PFSense! Ainda não utilizei o OPNSense, mais qualquer informação que eu conseguir, posto aqui imediatamente. Mais creio que são projetos paralelos, apesar de que desconheço também o OPNSense pois nunca utilizei esse software.

Sobre o amigo acima e o problema do DNSForwarder, por qual motivo está utilizando o DNSForwarder? Pode me detalhar melhor sua topologia?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta

[6] Comentário enviado por MarcelloMiX em 05/01/2018 - 16:12h

Willian,

Excelente artigo, me ajudou a entender um pouco mais sobre o PFSense.
Aqui na empresa temos o PFSense, mas eu apanho muito dele. (Peguei o bonde andando - Já estava configurado e rodando).
Você poderia me indicar onde encontro bons artigos sobre manutenção, liberação de sites, bloqueio entre outros?

Gostaria de bloquear serviços como o spotify, deezer...
Outro problema que estou tendo é que se você deixar de setar o proxy na máquina da pessoa, ele consegue navegar na internet (com velocidade bem reduzida). Não queria de forma alguma que isso ocorresse.

[7] Comentário enviado por mendoncawillian em 05/01/2018 - 19:43h


[6] Comentário enviado por MarcelloMiX em 05/01/2018 - 16:12h

Willian,

Excelente artigo, me ajudou a entender um pouco mais sobre o PFSense.
Aqui na empresa temos o PFSense, mas eu apanho muito dele. (Peguei o bonde andando - Já estava configurado e rodando).
Você poderia me indicar onde encontro bons artigos sobre manutenção, liberação de sites, bloqueio entre outros?

Gostaria de bloquear serviços como o spotify, deezer...
Outro problema que estou tendo é que se você deixar de setar o proxy na máquina da pessoa, ele consegue navegar na internet (com velocidade bem reduzida). Não queria de forma alguma que isso ocorresse.



Marcello,

Sobre ter pego o bonde andando no PFSense, realmente é uma situação complicada ainda mais quando não tem documentação. Eu recomendaria refazer, porém é mais facil falar do que realmente fazer né. Enfim, sobre navegar na internet sem o proxy o navegador, no artigo eu citei uma regra de firewall que resolve isso. Sobre artigos eu desconheço, o que sei aprendi lendo a documentação e alguns canais no youtube por exemplo um canal chamado Cavalcante Treinamentos, tem bastante conteudo sobre o PFSense, e é excelente.

Sobre os bloqueios, é necessário descobrir uma forma de bloquear os acessos entendendo como o serviço funciona, por exemplo, qual acesso o spotify faz para iniciar o streaming e ai no firewall você faz esse bloqueio. Mais se tratando de bloqueios cada caso é um caso.

Se precisar de alguma coisa pode me mandar e-mail e vamos conversando, eu te ajudo no que puder e souber.

[8] Comentário enviado por kram3r em 12/01/2018 - 10:34h


[4] Comentário enviado por geovane.barreto em 15/12/2017 - 16:26h

Em pesquisa, encontrei que o PFSense está fora ou saindo de linha e que o sucessor é o OPNsense...
Sabe informar se isto é correto ??


O OPNsense é um fork do pfSense! para de andar com a pessoa que te falou que o pfSense está morrendo :) ou tira o site do seu bookmarks
para maiores informações, https://docs.opnsense.org/fork/thefork.html

[9] Comentário enviado por brunoras em 11/04/2018 - 01:08h

Willian,
Muito bom o artigo, sou iniciante na área de redes, estou tentando implementar um firewall aqui na minha rede local mais para estudos. Segui o passo a passo pela maquina virtual, mas o cliente windows não está acessando a internet. Consigo logar normalmente no pfsense pelo navegador do cliente, está pegando o ip do dhcp. Tens como dar um help?

Atenciosamente,
Bruno


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts