PFSense Firewall com Squid e SquidGuard

O presente documento visa instruir e informar o leitor, a forma de configurar um Firewall PFSense para controle de internet. Para configuração do controle de acesso serão utilizados os pacotes Squid e SquidGuard, para configuração automática nos terminais clientes, computadores e dispositivos moveis, serão mostradas como utilizar o protocolo WPAD (Web Proxy Auto Discovery) e o arquivo PAC (Proxy Auto configuration).

[ Hits: 83.579 ]

Por: Willian Mendonça em 06/11/2017


Introdução



Todos os dias são criados novos sites na internet, com isso, cada dia mais, aumenta a necessidade de controlar o acesso aos mesmos. Principalmente em ambiente corporativo, visto que esses sites podem conter arquivos maliciosos que infectam computadores e redes completas ou, simplesmente, podem atrapalhar o rendimento e a produtividade dos funcionários de uma empresa.

Visando ambientes corporativos, esse documento foi desenvolvido, mostrando como configurar um Firewall PFSense com controle de acesso à internet, ou seja, restringindo os sites aos quais sua rede local tem acesso.

O Firewall PFsense serve também como proteção para a rede corporativa, visto que impede acessos não autorizados oriundos da internet conforme corretamente configurado e impede, também, acessos indesejados oriundos da rede interna, impedindo, caso necessário, downloads de arquivos maliciosos, que podem ser feitos de forma proposital ou não.

Os softwares utilizados para controle de internet serão o Squid e o SquidGuard. O primeiro é um servidor de proxy que possibilita a interceptação e análise de todo o tráfego de dados direcionado a internet; o segundo é responsável por categorizar os sites requisitados, e permitir ou não o acesso aos mesmos de acordo com regras previamente configuradas.

Não serão abordados, de forma profunda, configuração de regras de Firewall, somente o necessário para o funcionamento do Squid que, vale ressaltar, não funcionará de forma transparente, ao invés disso, utilizaremos um script de autoconfiguração de proxy (PAC) para que consigamos interceptar também o tráfego SSL, fará com que ele funcione de forma independente do usuário ou de qualquer configuração, porém não se encaixa no conceito de proxy transparente.

O PAC fará com que o navegador de internet do usuário receba as configurações de proxy juntamente as configurações de DHCP e DNS, não se fazendo necessária a configuração manual das máquinas e a instalação de certificados para que seja interceptado o tráfego SSL.

Objetivos

Configurar um ambiente de rede com um Firewall PFSense e uma máquina cliente, instalação e configuração de um servidor de proxy para controle de acesso à internet e configurações básicas para o funcionamento da rede interna para que todas as máquinas sejam obrigadas a direcionar seu tráfego para o servidor de proxy.

Não serão abordados assuntos relacionados à instalação de sistemas operacionais, portanto, é recomendado uma pesquisa sobre esse assunto, pois é necessário esse conhecimento prévio. Não serão abordados também tópicos que não são relevantes ao objetivo desse documento.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Embasamento teórico
   3. Metodologia (passo a passo)
   4. SquidGuard
   5. Resultados e discussões
Outros artigos deste autor

O Modelo de Referência OSI

OCS-NG Inventory no Debian 8 (Jessie) - Instalação e Configuração

Leitura recomendada

A teoria por trás do firewall

Bloqueando o UltraSurf e o WebMessenger do Hotmail com Proxy Transparente

Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).

Slackware 11 + kernel-2.6.18 + Layer7 + iptables

Script de Firewall com redirecionamento de portas em Linux Debian

  
Comentários
[1] Comentário enviado por willian.firmino em 08/11/2017 - 00:08h

Utilizando o DNS Forwarder muda alguma coisa no proxy.pac e nas configuraçoes? tenho esse cenário e nao ta funcionando o wpad de jeito nenhum.

[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h

o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta

[3] Comentário enviado por willian.firmino em 10/11/2017 - 12:43h


[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h

o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta


Sim, esta sim.

[4] Comentário enviado por geovane.barreto em 15/12/2017 - 16:26h

Em pesquisa, encontrei que o PFSense está fora ou saindo de linha e que o sucessor é o OPNsense...
Sabe informar se isto é correto ??

[5] Comentário enviado por mendoncawillian em 15/12/2017 - 23:33h

Amigo desconheço qualquer informação sobre a descontinuação do PFSense! Ainda não utilizei o OPNSense, mais qualquer informação que eu conseguir, posto aqui imediatamente. Mais creio que são projetos paralelos, apesar de que desconheço também o OPNSense pois nunca utilizei esse software.

Sobre o amigo acima e o problema do DNSForwarder, por qual motivo está utilizando o DNSForwarder? Pode me detalhar melhor sua topologia?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta

[6] Comentário enviado por MarcelloMiX em 05/01/2018 - 16:12h

Willian,

Excelente artigo, me ajudou a entender um pouco mais sobre o PFSense.
Aqui na empresa temos o PFSense, mas eu apanho muito dele. (Peguei o bonde andando - Já estava configurado e rodando).
Você poderia me indicar onde encontro bons artigos sobre manutenção, liberação de sites, bloqueio entre outros?

Gostaria de bloquear serviços como o spotify, deezer...
Outro problema que estou tendo é que se você deixar de setar o proxy na máquina da pessoa, ele consegue navegar na internet (com velocidade bem reduzida). Não queria de forma alguma que isso ocorresse.

[7] Comentário enviado por mendoncawillian em 05/01/2018 - 19:43h


[6] Comentário enviado por MarcelloMiX em 05/01/2018 - 16:12h

Willian,

Excelente artigo, me ajudou a entender um pouco mais sobre o PFSense.
Aqui na empresa temos o PFSense, mas eu apanho muito dele. (Peguei o bonde andando - Já estava configurado e rodando).
Você poderia me indicar onde encontro bons artigos sobre manutenção, liberação de sites, bloqueio entre outros?

Gostaria de bloquear serviços como o spotify, deezer...
Outro problema que estou tendo é que se você deixar de setar o proxy na máquina da pessoa, ele consegue navegar na internet (com velocidade bem reduzida). Não queria de forma alguma que isso ocorresse.



Marcello,

Sobre ter pego o bonde andando no PFSense, realmente é uma situação complicada ainda mais quando não tem documentação. Eu recomendaria refazer, porém é mais facil falar do que realmente fazer né. Enfim, sobre navegar na internet sem o proxy o navegador, no artigo eu citei uma regra de firewall que resolve isso. Sobre artigos eu desconheço, o que sei aprendi lendo a documentação e alguns canais no youtube por exemplo um canal chamado Cavalcante Treinamentos, tem bastante conteudo sobre o PFSense, e é excelente.

Sobre os bloqueios, é necessário descobrir uma forma de bloquear os acessos entendendo como o serviço funciona, por exemplo, qual acesso o spotify faz para iniciar o streaming e ai no firewall você faz esse bloqueio. Mais se tratando de bloqueios cada caso é um caso.

Se precisar de alguma coisa pode me mandar e-mail e vamos conversando, eu te ajudo no que puder e souber.

[8] Comentário enviado por kram3r em 12/01/2018 - 10:34h


[4] Comentário enviado por geovane.barreto em 15/12/2017 - 16:26h

Em pesquisa, encontrei que o PFSense está fora ou saindo de linha e que o sucessor é o OPNsense...
Sabe informar se isto é correto ??


O OPNsense é um fork do pfSense! para de andar com a pessoa que te falou que o pfSense está morrendo :) ou tira o site do seu bookmarks
para maiores informações, https://docs.opnsense.org/fork/thefork.html

[9] Comentário enviado por brunoras em 11/04/2018 - 01:08h

Willian,
Muito bom o artigo, sou iniciante na área de redes, estou tentando implementar um firewall aqui na minha rede local mais para estudos. Segui o passo a passo pela maquina virtual, mas o cliente windows não está acessando a internet. Consigo logar normalmente no pfsense pelo navegador do cliente, está pegando o ip do dhcp. Tens como dar um help?

Atenciosamente,
Bruno

[10] Comentário enviado por small em 15/07/2019 - 17:44h

Boa tarde.
Sei que o post é antigo, mas foi muito bom.

Configurei o pfsense, squid e squid guard.
Estou usando proxy transparente.
No squid guard eu configurei minha blacklist

Se tento acessar http://dominio-blockeado.com.br ele bloqueia, porém no https ele acessa.

A solução que encontrei era ativar na configuração do SQUID para filtrar https, porém teria que importar o certificado configurado em cada cliente (e isso não é viável pra mim), tem alguma outra solução?

Obrigado antecipadamente.

[11] Comentário enviado por FernandoHS99 em 27/07/2019 - 18:55h

Boa noite, após realizar a configuração e reiniciar o pfsense eu perdi o acesso pela Web, tem alguma dica do que pode ser ?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts