Recurso esse muito utilizado por muitas empresas, devido o recurso poder tratar de vários aspectos, como:
- Utilização de cache de sites;
- Restrição de sites de forma transparente;
- Restrição de sites por usuário / grupo;
- Limitação a tamanho total de arquivo para download / upload;
- e muito mais.
Para fazermos a configuração do Proxy, utilizaremos do Squid, na sua versão estável 2.7. Para efetuarmos a instalação do pacote, basta acessar o menu --> System - Packages - Available Packages, e procuramos por " Squid ".
Para instalarmos basta clicar no botão [ + ] do pacote.
Após a instalação do serviço, o mesmo já estará disponível para configuração em --> Services - Proxy Server
Na Aba " General Settings ", será onde faremos as principais configurações do Proxy, abordando os principais campos.
Proxy Interface: Interface onde será aplicado as regras de Proxy, podendo ser selecionado mais de uma interface conforme a necessidade e aplicação;
Allow users on interface: Com esta regra habilitada, será aplicada a todos os usuários da rede selecionada;
Bypass Proxy for Private Address: Ao habilitar essas opção, será liberado o campo " Bypass proxy for these source IPs ", onde poderá ser inserido os IPs que não passarão pelo Proxy ( Exceções ), para a inclusão de mais de um IP, basta fazer a separação, utilizando de ( ; ) ponto e vírgula., utilizado somente para " Proxy Transparente ";
Bypass proxy for these destination IPs: Campo este destinado a exceções de destino, deve-se utilizar o IP valido;
Enable logging: Habilitação para a geração do arquivo de log, muito útil para a visualização dos acessos do usuários em tempo real, utilizando de SSH;
Log store directory: Local onde será salvo os Logs, por padrão em " /var/squid/logs ", podendo ser alterado conforme a necessidade;
Proxy port: Porta utilizada pelo Proxy, por padrão do Squid a " 3128 ";
Visible hostname: Nome do host visível aos usuários, ao efetuar um bloqueio;
Language: Linguagem do Proxy;
Use alternate DNS-servers for the proxy-server: DNS utilizado pelo Proxy, se deixado em branco, irá utilizar do padrão configurado em --> System - General Setup - DNS Servers;
Custom Options: Parâmetros passados de forma manual, que serão inseridos no arquivo de configuração do Squid, em /usr/local/etc/squid/squid.conf;
Já na Aba " Cache Mgmt ", podemos deixar com as configurações " Padrão ", ou serem alteradas conforme a necessidade, onde os principais campos:
Hard disk cache size: Limite total do arquivo de cache que será armazenado em disco, neste caso 100 Mbs;
Hard disk cache location: Localização dos arquivos de cache, onde por padrão " /var/squid/cache ";
Memory cache size: Uso do cache de memória, muito utilizado para arquivos pequenos, que ficarão salvos na RAM, para entrega rápida, neste caso, utilizarei de 16 MB de um total de 128 MB do sistema, não podendo exceder a 50 % do total de RAM, afim de não comprometer o sistema;
Minimum object size: Tamanho mínimo do arquivo, para ser salvo em disco;
Maximum object size: Tamanho máximo do arquivo que serão salvos em cache, onde arquivos maiores que o estabelecido não serão salvos, neste caso o utilizado ( 4 Kbs );
Maximum object size in RAM: Tamanho máximo dos arquivos em KB, que permanecerão em cache da RAM, o padrão é ( 32 Kbs );
Já na Aba " Access Control", onde serão informados as redes que passarão pelo Proxy, Whitelist, ACL Ports e mais.
Allowed subnets: Deve-se preencher quais redes passarão pelo Proxy, juntamente de sua CIDR, no meu caso a INTRA ( 172.16.0.0/24 );
Unrestricted IPs: Campo destinado, quando utilizar de " Proxy Autenticado ", para Bypass de IPs de rede local e de destino;
Banned host addresses: Ips que serão banidos de utilizar o Proxy;
Whitelist: Lista branca de sites permitidos pelo Proxy;
Blacklist: Lista negra de sites banidos pelo Proxy;
acl safeports e acl sslports: Portas que poderão ser usada através do Proxy.
Já na Aba " Traffic mgmt", é onde poderemos fazer a limitação do tamanho total de arquivo que pode ser efetuado o download. Neste caso, alterarei somente o campo:
Maximum download size: Tamanho máximo de arquivo para download, neste caso limitarei em 100 Mb ( 102400 Kb ), onde por padrão, para não fazer limitação basta desixar como " 0 ";
Os demais campos deixarei como padrão, a não ser que a pessoa queira limitar também o Upload, bastando editar o campo " Maximum upload size ".
Já na Aba " Auth Settings", são os métodos de autenticação do Proxy, que será tratado em Tópico Futuro, como utilizar de Proxy Autenticado, podendo utilizar dos seguintes métodos de autenticação:
- Base Local;
- LDAP ( Base AD ou de outro controlador de domínio, que possua usuários, como: Resara, Zentyal, ... );
- Radius;
- NT Domain.
Já na Aba " Local Users", é onde poderão ser cadastrados os usuários / senha para autenticação local no pfSense.
É isso pessoal, estarei abordando em tópicos futuros a utilização do SquidGuard, para controle de Filtro de conteúdo, utilizando de proxy Transparente e Autenticado.
Ate mais, Jonathan
Para quem quer conhecer mais sobre Firewall: http://debsolutionsti.com/firewall/