PFSense Firewall com Squid e SquidGuard
O presente documento visa instruir e informar o leitor, a forma de configurar um Firewall PFSense para controle de internet. Para configuração do controle de acesso serão utilizados os pacotes Squid e SquidGuard, para configuração automática nos terminais clientes, computadores e dispositivos moveis, serão mostradas como utilizar o protocolo WPAD (Web Proxy Auto Discovery) e o arquivo PAC (Proxy Auto configuration).
[ Hits: 83.582 ]
Por: Willian Mendonça em 06/11/2017
Introdução
Todos os dias são criados novos sites na internet, com isso, cada dia mais, aumenta a necessidade de controlar o acesso aos mesmos. Principalmente em ambiente corporativo, visto que esses sites podem conter arquivos maliciosos que infectam computadores e redes completas ou, simplesmente, podem atrapalhar o rendimento e a produtividade dos funcionários de uma empresa.
Visando ambientes corporativos, esse documento foi desenvolvido, mostrando como configurar um Firewall PFSense com controle de acesso à internet, ou seja, restringindo os sites aos quais sua rede local tem acesso.
O Firewall PFsense serve também como proteção para a rede corporativa, visto que impede acessos não autorizados oriundos da internet conforme corretamente configurado e impede, também, acessos indesejados oriundos da rede interna, impedindo, caso necessário, downloads de arquivos maliciosos, que podem ser feitos de forma proposital ou não.
Os softwares utilizados para controle de internet serão o Squid e o SquidGuard. O primeiro é um servidor de proxy que possibilita a interceptação e análise de todo o tráfego de dados direcionado a internet; o segundo é responsável por categorizar os sites requisitados, e permitir ou não o acesso aos mesmos de acordo com regras previamente configuradas.
Não serão abordados, de forma profunda, configuração de regras de Firewall, somente o necessário para o funcionamento do Squid que, vale ressaltar, não funcionará de forma transparente, ao invés disso, utilizaremos um script de autoconfiguração de proxy (PAC) para que consigamos interceptar também o tráfego SSL, fará com que ele funcione de forma independente do usuário ou de qualquer configuração, porém não se encaixa no conceito de proxy transparente.
O PAC fará com que o navegador de internet do usuário receba as configurações de proxy juntamente as configurações de DHCP e DNS, não se fazendo necessária a configuração manual das máquinas e a instalação de certificados para que seja interceptado o tráfego SSL.
Não serão abordados assuntos relacionados à instalação de sistemas operacionais, portanto, é recomendado uma pesquisa sobre esse assunto, pois é necessário esse conhecimento prévio. Não serão abordados também tópicos que não são relevantes ao objetivo desse documento.
Visando ambientes corporativos, esse documento foi desenvolvido, mostrando como configurar um Firewall PFSense com controle de acesso à internet, ou seja, restringindo os sites aos quais sua rede local tem acesso.
O Firewall PFsense serve também como proteção para a rede corporativa, visto que impede acessos não autorizados oriundos da internet conforme corretamente configurado e impede, também, acessos indesejados oriundos da rede interna, impedindo, caso necessário, downloads de arquivos maliciosos, que podem ser feitos de forma proposital ou não.
Os softwares utilizados para controle de internet serão o Squid e o SquidGuard. O primeiro é um servidor de proxy que possibilita a interceptação e análise de todo o tráfego de dados direcionado a internet; o segundo é responsável por categorizar os sites requisitados, e permitir ou não o acesso aos mesmos de acordo com regras previamente configuradas.
Não serão abordados, de forma profunda, configuração de regras de Firewall, somente o necessário para o funcionamento do Squid que, vale ressaltar, não funcionará de forma transparente, ao invés disso, utilizaremos um script de autoconfiguração de proxy (PAC) para que consigamos interceptar também o tráfego SSL, fará com que ele funcione de forma independente do usuário ou de qualquer configuração, porém não se encaixa no conceito de proxy transparente.
O PAC fará com que o navegador de internet do usuário receba as configurações de proxy juntamente as configurações de DHCP e DNS, não se fazendo necessária a configuração manual das máquinas e a instalação de certificados para que seja interceptado o tráfego SSL.
Objetivos
Configurar um ambiente de rede com um Firewall PFSense e uma máquina cliente, instalação e configuração de um servidor de proxy para controle de acesso à internet e configurações básicas para o funcionamento da rede interna para que todas as máquinas sejam obrigadas a direcionar seu tráfego para o servidor de proxy.Não serão abordados assuntos relacionados à instalação de sistemas operacionais, portanto, é recomendado uma pesquisa sobre esse assunto, pois é necessário esse conhecimento prévio. Não serão abordados também tópicos que não são relevantes ao objetivo desse documento.
Páginas do artigo
1. Introdução2. Embasamento teórico
3. Metodologia (passo a passo)
4. SquidGuard
5. Resultados e discussões
Outros artigos deste autor
OCS-NG Inventory no Debian 8 (Jessie) - Instalação e Configuração
Leitura recomendada
Mandrake Firewall - Firewall com interface amigável
Addon URL Filter - Filtrando URLs no seu firewall
Análise da distribuição Mandrake Security
Firewall iptables em cinco minutos e compartilhamento de conexão
Comentários
[1] Comentário enviado por willian.firmino em 08/11/2017 - 00:08h
Utilizando o DNS Forwarder muda alguma coisa no proxy.pac e nas configuraçoes? tenho esse cenário e nao ta funcionando o wpad de jeito nenhum.
Utilizando o DNS Forwarder muda alguma coisa no proxy.pac e nas configuraçoes? tenho esse cenário e nao ta funcionando o wpad de jeito nenhum.
[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h
o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta
o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta
[3] Comentário enviado por willian.firmino em 10/11/2017 - 12:43h
[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h
o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta
Sim, esta sim.
[2] Comentário enviado por mendoncawillian em 08/11/2017 - 13:53h
o registro do wpad.seudominio está feito no DNS Forwarder?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta
Sim, esta sim.
[4] Comentário enviado por geovane.barreto em 15/12/2017 - 16:26h
Em pesquisa, encontrei que o PFSense está fora ou saindo de linha e que o sucessor é o OPNsense...
Sabe informar se isto é correto ??
Em pesquisa, encontrei que o PFSense está fora ou saindo de linha e que o sucessor é o OPNsense...
Sabe informar se isto é correto ??
[5] Comentário enviado por mendoncawillian em 15/12/2017 - 23:33h
Amigo desconheço qualquer informação sobre a descontinuação do PFSense! Ainda não utilizei o OPNSense, mais qualquer informação que eu conseguir, posto aqui imediatamente. Mais creio que são projetos paralelos, apesar de que desconheço também o OPNSense pois nunca utilizei esse software.
Sobre o amigo acima e o problema do DNSForwarder, por qual motivo está utilizando o DNSForwarder? Pode me detalhar melhor sua topologia?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta
Amigo desconheço qualquer informação sobre a descontinuação do PFSense! Ainda não utilizei o OPNSense, mais qualquer informação que eu conseguir, posto aqui imediatamente. Mais creio que são projetos paralelos, apesar de que desconheço também o OPNSense pois nunca utilizei esse software.
Sobre o amigo acima e o problema do DNSForwarder, por qual motivo está utilizando o DNSForwarder? Pode me detalhar melhor sua topologia?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta
[6] Comentário enviado por MarcelloMiX em 05/01/2018 - 16:12h
Willian,
Excelente artigo, me ajudou a entender um pouco mais sobre o PFSense.
Aqui na empresa temos o PFSense, mas eu apanho muito dele. (Peguei o bonde andando - Já estava configurado e rodando).
Você poderia me indicar onde encontro bons artigos sobre manutenção, liberação de sites, bloqueio entre outros?
Gostaria de bloquear serviços como o spotify, deezer...
Outro problema que estou tendo é que se você deixar de setar o proxy na máquina da pessoa, ele consegue navegar na internet (com velocidade bem reduzida). Não queria de forma alguma que isso ocorresse.
Willian,
Excelente artigo, me ajudou a entender um pouco mais sobre o PFSense.
Aqui na empresa temos o PFSense, mas eu apanho muito dele. (Peguei o bonde andando - Já estava configurado e rodando).
Você poderia me indicar onde encontro bons artigos sobre manutenção, liberação de sites, bloqueio entre outros?
Gostaria de bloquear serviços como o spotify, deezer...
Outro problema que estou tendo é que se você deixar de setar o proxy na máquina da pessoa, ele consegue navegar na internet (com velocidade bem reduzida). Não queria de forma alguma que isso ocorresse.
[7] Comentário enviado por mendoncawillian em 05/01/2018 - 19:43h
[6] Comentário enviado por MarcelloMiX em 05/01/2018 - 16:12h
Willian,
Excelente artigo, me ajudou a entender um pouco mais sobre o PFSense.
Aqui na empresa temos o PFSense, mas eu apanho muito dele. (Peguei o bonde andando - Já estava configurado e rodando).
Você poderia me indicar onde encontro bons artigos sobre manutenção, liberação de sites, bloqueio entre outros?
Gostaria de bloquear serviços como o spotify, deezer...
Outro problema que estou tendo é que se você deixar de setar o proxy na máquina da pessoa, ele consegue navegar na internet (com velocidade bem reduzida). Não queria de forma alguma que isso ocorresse.
Marcello,
Sobre ter pego o bonde andando no PFSense, realmente é uma situação complicada ainda mais quando não tem documentação. Eu recomendaria refazer, porém é mais facil falar do que realmente fazer né. Enfim, sobre navegar na internet sem o proxy o navegador, no artigo eu citei uma regra de firewall que resolve isso. Sobre artigos eu desconheço, o que sei aprendi lendo a documentação e alguns canais no youtube por exemplo um canal chamado Cavalcante Treinamentos, tem bastante conteudo sobre o PFSense, e é excelente.
Sobre os bloqueios, é necessário descobrir uma forma de bloquear os acessos entendendo como o serviço funciona, por exemplo, qual acesso o spotify faz para iniciar o streaming e ai no firewall você faz esse bloqueio. Mais se tratando de bloqueios cada caso é um caso.
Se precisar de alguma coisa pode me mandar e-mail e vamos conversando, eu te ajudo no que puder e souber.
[6] Comentário enviado por MarcelloMiX em 05/01/2018 - 16:12h
Willian,
Excelente artigo, me ajudou a entender um pouco mais sobre o PFSense.
Aqui na empresa temos o PFSense, mas eu apanho muito dele. (Peguei o bonde andando - Já estava configurado e rodando).
Você poderia me indicar onde encontro bons artigos sobre manutenção, liberação de sites, bloqueio entre outros?
Gostaria de bloquear serviços como o spotify, deezer...
Outro problema que estou tendo é que se você deixar de setar o proxy na máquina da pessoa, ele consegue navegar na internet (com velocidade bem reduzida). Não queria de forma alguma que isso ocorresse.
Marcello,
Sobre ter pego o bonde andando no PFSense, realmente é uma situação complicada ainda mais quando não tem documentação. Eu recomendaria refazer, porém é mais facil falar do que realmente fazer né. Enfim, sobre navegar na internet sem o proxy o navegador, no artigo eu citei uma regra de firewall que resolve isso. Sobre artigos eu desconheço, o que sei aprendi lendo a documentação e alguns canais no youtube por exemplo um canal chamado Cavalcante Treinamentos, tem bastante conteudo sobre o PFSense, e é excelente.
Sobre os bloqueios, é necessário descobrir uma forma de bloquear os acessos entendendo como o serviço funciona, por exemplo, qual acesso o spotify faz para iniciar o streaming e ai no firewall você faz esse bloqueio. Mais se tratando de bloqueios cada caso é um caso.
Se precisar de alguma coisa pode me mandar e-mail e vamos conversando, eu te ajudo no que puder e souber.
[8] Comentário enviado por kram3r em 12/01/2018 - 10:34h
[4] Comentário enviado por geovane.barreto em 15/12/2017 - 16:26h
Em pesquisa, encontrei que o PFSense está fora ou saindo de linha e que o sucessor é o OPNsense...
Sabe informar se isto é correto ??
O OPNsense é um fork do pfSense! para de andar com a pessoa que te falou que o pfSense está morrendo :) ou tira o site do seu bookmarks
para maiores informações, https://docs.opnsense.org/fork/thefork.html
[4] Comentário enviado por geovane.barreto em 15/12/2017 - 16:26h
Em pesquisa, encontrei que o PFSense está fora ou saindo de linha e que o sucessor é o OPNsense...
Sabe informar se isto é correto ??
O OPNsense é um fork do pfSense! para de andar com a pessoa que te falou que o pfSense está morrendo :) ou tira o site do seu bookmarks
para maiores informações, https://docs.opnsense.org/fork/thefork.html
[9] Comentário enviado por brunoras em 11/04/2018 - 01:08h
Willian,
Muito bom o artigo, sou iniciante na área de redes, estou tentando implementar um firewall aqui na minha rede local mais para estudos. Segui o passo a passo pela maquina virtual, mas o cliente windows não está acessando a internet. Consigo logar normalmente no pfsense pelo navegador do cliente, está pegando o ip do dhcp. Tens como dar um help?
Atenciosamente,
Bruno
Willian,
Muito bom o artigo, sou iniciante na área de redes, estou tentando implementar um firewall aqui na minha rede local mais para estudos. Segui o passo a passo pela maquina virtual, mas o cliente windows não está acessando a internet. Consigo logar normalmente no pfsense pelo navegador do cliente, está pegando o ip do dhcp. Tens como dar um help?
Atenciosamente,
Bruno
[10] Comentário enviado por small em 15/07/2019 - 17:44h
Boa tarde.
Sei que o post é antigo, mas foi muito bom.
Configurei o pfsense, squid e squid guard.
Estou usando proxy transparente.
No squid guard eu configurei minha blacklist
Se tento acessar http://dominio-blockeado.com.br ele bloqueia, porém no https ele acessa.
A solução que encontrei era ativar na configuração do SQUID para filtrar https, porém teria que importar o certificado configurado em cada cliente (e isso não é viável pra mim), tem alguma outra solução?
Obrigado antecipadamente.
Boa tarde.
Sei que o post é antigo, mas foi muito bom.
Configurei o pfsense, squid e squid guard.
Estou usando proxy transparente.
No squid guard eu configurei minha blacklist
Se tento acessar http://dominio-blockeado.com.br ele bloqueia, porém no https ele acessa.
A solução que encontrei era ativar na configuração do SQUID para filtrar https, porém teria que importar o certificado configurado em cada cliente (e isso não é viável pra mim), tem alguma outra solução?
Obrigado antecipadamente.
[11] Comentário enviado por FernandoHS99 em 27/07/2019 - 18:55h
Boa noite, após realizar a configuração e reiniciar o pfsense eu perdi o acesso pela Web, tem alguma dica do que pode ser ?
Boa noite, após realizar a configuração e reiniciar o pfsense eu perdi o acesso pela Web, tem alguma dica do que pode ser ?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Excluir banco de dados no xampp (1)
phpmyadmin não abre no xampp (2)
Top 10 do mês
-
Xerxes
1° lugar - 63.890 pts -
Fábio Berbert de Paula
2° lugar - 49.723 pts -
Buckminster
3° lugar - 17.231 pts -
Mauricio Ferrari
4° lugar - 14.937 pts -
Alberto Federman Neto.
5° lugar - 13.501 pts -
Diego Mendes Rodrigues
6° lugar - 13.313 pts -
Daniel Lara Souza
7° lugar - 12.721 pts -
Andre (pinduvoz)
8° lugar - 10.101 pts -
edps
9° lugar - 10.057 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.941 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
