Pf sense + squid
pfSense - Squid + SquidGuard / Tráfico Shapping Tutorial En este tutorial te mostraré cómo configurar pfSense 2.0.1 como
Views 175 Downloads 15 File size 1MB
Recommend stories
- Categories
- Servidor proxy
- Point And Click (Apuntar y hacer clic)
- Servidor web
- Memoria de la computadora
- Internet
Citation preview
pfSense - Squid + SquidGuard / Tráfico Shapping Tutorial En este tutorial te mostraré cómo configurar pfSense 2.0.1 como un portal de internet con Squid Proxy / SquidGuard filtrado.También voy a mostrar que usted tiene que configurar algunas características adicionales de pfSense como shapping tráfico con calamares. Este tipo de configuración podría ser útil para las personas que quieren establecer puntos de conexión inalámbrica o etc cafés Internet
Requisitos Este tutorial asume que usted ya tiene un pfSense (versión 2.0.1 como mínimo) la instalación se ejecuta con las interfaces de red configurados y las reglas básicas de cortafuegos configurados.
Instalación de paquetes de pfSense En primer lugar vamos a empezar con la instalación de los paquetes adicionales que vamos a REQUIERE Inicia sesión para la administración de Web de su pfSense, y haga clic en "Servidor -> Paquetes", desplácese hacia abajo la lista y encontrar el calamar y haga clic en el botón "+" para instalar, esperar a que el proceso finalice y luego volver a la sección de paquetes y buscar squidguard e instalar ese paquete también.
Para confirmar que los paquetes se han instalado, actualice la interfaz web y Goto menú "Servicios" y busque Proxy Server y Proxy Filter, si ambos aparecen en el menú que se han instalado correctamente, reinicie el apartado de pfSense.
NOTA: Ha habido un par de casos en los que he tenido que volver a instalar el paquete squid derecho después de haber instalado el paquete squidguard, la razón detrás de esto es después de instalar el paquete squidguard no puedo acceder a la configuración del servidor proxy, si este ocurre volver al menú paquetes, haga clic en la pestaña de paquetes instalados, a continuación, seleccione a instalar en la entrada del servidor squid (esto sólo ha ocurrido en versiones anteriores a la 2.0.1).
Configuración de Proxy Paquete de servidores Una vez se haya reiniciado pfSense queremos configurar los ajustes del servidor proxy, (ahora en este tutorial Estoy configurando el servidor proxy como un proxy transparente, si desea establecer esta parte de manera diferente por favor haga que la investigación en la configuración del calamar, el pfSense El sitio web cuenta con guías de configuración para aswell calamar), haga clic en Servicios -> Proxy Server. En la ficha General, desea establecer los siguientes ajustes, la opción de interfaz de proxy se debe establecer en "LAN", y porque me estoy poniendo esto como un servidor proxy transparente, marque la casilla de verificación "proxy transparente".
Recomiendo encarecidamente el registro esté disponible en el servidor proxy, ya que será muy útil en caso de que tenga que preocupar el lanzamiento de un tema o simplemente ver lo que están haciendo en Internet, etc Marque la casilla "Logging Enabled", establecer el registro tienda para la ubicación predeterminada "/ var / squid / logs" girar sus registros cada 7 días, configurar el puerto proxy para el número de puerto 3128 (recuerde este número de puerto ya que lo necesitaremos cuando establecimos las reglas del firewall hacia arriba), añadir un visible nombre de host y una dirección de correo electrónico del administrador, y establecer el idioma requerido, a continuación, haga clic en el botón Guardar.
Luego haga clic en la pestaña "Caché Gestión", por defecto el tamaño de disco caché está establecido en 100 MB, lo que lo recomendaría encarecidamente que aumenta este, ahora dependerá de cuán grande es su disco duro es que va a determinar lo grande que usted lo hace, sino también tener en cuenta las más gente usando este proxy más espacio que necesita para asignar, después de que se haya creado dejar el resto de la página con la configuración predeterminada y haga clic en Guardar.
Haga clic en la ficha de control de acceso al lado, en el tipo de campo subredes permitido en sus subredes requeridas, (por ejemplo: 192.168.255.0/24); tenga en cuenta que si usted tiene más de una subred acceso este proxy es necesario especificar cada subred en su propia línea.
Desplácese hacia abajo hasta que vea "ACL y ACL Safeports SSLPorts" en estos campos tendrá que escribir en los puertos que desea abrir lanzó su servidor proxy, tendrá que hacer una investigación sobre esto, descubrir qué aplicaciones se están utilizando en este de red, y su effectlive especificado el Porst necesario. Para este documento sólo voy a utilizar el puerto 80 y 443 ya que estos son los únicos también los puertos que necesito para ver si tiene páginas web y para algunas aplicaciones básicas de Internet para trabajar, si quieres otras aplicaciones para tener acceso a la Internet , leer un poco sobre lo que se requieren los puertos y luego actualizar el cuadro de pfSense, una vez establecido, haga clic en Guardar.
Ahora, para la gente que desea estrangular la velocidad de la que los usuarios obtienen acceso a Internet, haga clic en la ficha Gestión de Trafic, y SET (en kilobytes) lo rápido que desea restringir a los usuarios demasiado, haga clic en Guardar una vez hecho.
Configuración SquidGuard Filtrado Ahora eso es el servidor proxy configurado, el próximo vamos a configurar SquidGuard, haga clic en el menú Servicios y seleccione el botón Filter Proxy, marque las siguientes casillas de verificación 3 "Activar", "Habilitar interfaz gráfica de usuario de registro" y "Enable Log" luego haga clic en en el botón Guardar, una vez que la página ha cargado nuevamente clic en Aplicar y luego confirmar que el servicio se está ejecutando SquidGuard asegurándose el estado SquidGuard está establecido en Iniciado.
Manténgase en la pestaña de configuración general y desplácese hacia abajo a la zona de lista negra y marque la casilla que dice Habilitar lista negra, y en la lista negra de URL escriba lo siguiente http://www.shallalist.de/Downloads/shallalist.tar.gz, y haga clic en Guarde; esto es por lo que podemos descargar los datos de la lista negra. Haga clic en la pestaña Lista Negro y añadir el salve el mismo URL que antes de la actualización de direcciones y haga clic en Descargar. Espere a que el proceso se complete.
Luego haga clic en la pestaña ACL común, y el clic en Lista de reglas de Target y seleccione cada regla que desea bloquear o permitir, a continuación, añadir un mensaje al Proxy Error denegado Campo, actualmente estoy simplemente usando la opción por defecto que sugieren (ven en sceenshot por ejemplo), dejar el modo de redirigir a la página de error Int por lo que utilizará el mensaje se escribe en, marque la Casilla de verificación Log luego haga clic en Guardar.
Una vez que se haya creado a prueba su poder y asegurarse de que todo está funcionando. Espero que esto haya sido de gran ayuda para usted, y mantener un ojo hacia fuera para el siguiente tutorial que será implenting Portal Cautivo para esta configuración.
pfsense: Instalación y Configuración de Proxy Squid3 Proxy Squid3 con pfsense Nuestra máquina de pfsense con 2 adaptadores, uno en adaptador puente y otra en solo anfitrión:
Me conecto desde el interfaz anfitrión al pfsense desde el navegador:
Nos movemos a: System / Package/Available Packages/instalamos squid3
Service / Proxy server
Configuramos en la pestaña de General las siguientes opciones: LAN Proxy Port: 3128 Allow users on interface Transparent Proxy Enabled logging Log Store Directory: /var/squid/logs Administrator email: email administrador Language: es
Nos aseguramos del estado de squid:
Ahora debemos tener Internet en nuestro cliente Windows.
Podemos configurar las restricciones en la pestaña Service / Proxy server / ACLs Por ejemplo, restringimos el acceso a marca.com:
En Service / Proxy server / Local Cache opciones de espacio de guardado de cache, y Service / Proxy server / Realtime, podemos ver donde ha accedido los usuarios.
SQUID LENTO EN PFSENSE
Cuando usamos pfSense como cache de paginas web (web proxy - Squid), me he dado cuenta que Squid no esta usando el ancho de banda eficientemente, se siente mas lento inclusive que sin el proxy activo. He usado pfSense 1.2.3 y la versión 2 RC y es el problema que he experimentado. Despues de buscar por internet encontre que a muchos usuario les pasa lo mismo y es por unos parametros propios de Freebsd que esto sucede. En los forums de pfSense dicen que la configuración por default de el sistema es como un ruteador no como servidor, por lo que no preparan al sistema base para soportar las necesidades de squid tales como una gran cantidad de archivos abiertos, etc. Se propone editar el archivo /boot/loader.conf y borrar y agregarciertos parametros como se indica a continuación 1. Usando Web Admin, escoger Edit File del menu Diagnostics. 2. Teclear "/boot/loader.conf" and el botcon de load. 3. Borrar la linea "kern.ipc.nmbclusters="0" 4. Agregar el texto siguiente kern.ipc.nmbclusters=32768 kern.maxfiles=65536 kern.maxfilesperproc=32768 net.inet.ip.portrange.last=65535 O se puede borrar lo que esta y escribir lo siguiente: autoboot_delay="1" #kern.ipc.nmbclusters="0" hint.apic.0.disabled=1 kern.hz=100 #for squid kern.ipc.nmbclusters="32768" kern.maxfiles="65536" kern.maxfilesperproc="32768" net.inet.ip.portrange.last="65535"
Después de agregar estos datos reiniciar pfsense y squid debe funcionar como debe de ser, en mi caso vi mejoras al respect
Pfsense 2: Configurar squid personalizado.
Modo No Transparente Pfsense tiene squid que es un excelente o el mejor web-proxy que tenemos de lado de Unix/Linux, pero la configuracion que nos proporciona pfsense no es la mejor, por ello si deseamos sacarle provecho debemos nosotros mismos hacerlo. Pero la desventaja es que cada que arranca pfsense arranca squid con la configuracion normal, asi que nosotros con la experiencia en Unix sabemos que podemos ejecutar scripts cuando unix arranca(pfsense). En modo transparente, que es lo mas comun y comodo pfsense se encarga de habilitar las reglas en el firewall, pero si leen el foro tiene sus limitantes ya que el puerto 443 no cruza por squid, por ello yo prefiero hacer esto para controlar squid. NOTA: Por nada del mundo, ni aunque les paguen 5 millones de dolares, graven algo en /var/squid/, cuando arranca pfsense borra todo lo que ahi se encuentre, yo hago un folder el /usr/local/etc/squid llamado acl y ahi meto todas mis acl. Una vez configurado atraves del GUI squid en modo no transparente, creamos las siguientes reglas en el firewall para nuestra LAN, recordar que nadie va a salir sin no es atraves del proxy.
Reglas Default para Squid
Como podran observar, yo necesito minimo las primeras 3 reglas, el resto uso protocolos que no son afectados por squid. Mi LAN solo puede hacer querys a mi dns(pfsense) Mi LAN solo puede accesar a mi proxy(squid) que corre en mi propio pfsense. Mi LAN puede accesar a cualquier servidor FTP.
Todo lo demas esta bloqueado, si algun chistoso quiere brincarse el proxy y eliminar la configuracion de su navegador se va a topar con pared, ya que no existe regla que permita a mis clientes pegarle a el puerto 80/443. Squid en modo transparente de pfsense tiene este defecto, por ello hago yo todo este rollo. Ya que hicimos lo anterior y nuestros clientes pueden navegar sin problemas, es hora de ensuciarnos las manos para cerrar todas las puertas y asegurar nuestra red. 1) Squid esta en /usr/local/etc/squid/ cd /usr/local/etc/squid/ 2) Creamos el folder de nombre acl mkdir acl 3) Copeamos el archivo de configguracion y le ponemos squid-custom, estamos tomando el archivo original que nos da pfsense como plantilla. cp squid.conf squid-custom 4) Editamos squid-custom y lo dejamos asi: ###################################################################### # Do not edit manually ! http_port 192.168.50.1:3128 icp_port 0 pid_filename /var/run/squid.pid cache_effective_user proxy cache_effective_group proxy error_directory /usr/local/etc/squid/errors/English icon_directory /usr/local/etc/squid/icons visible_hostname localhost cache_mgr postmaster@localhost access_log /var/squid/logs/access.log cache_log /var/squid/logs/cache.log cache_store_log none logfile_rotate 0 shutdown_lifetime 3 seconds # Allow local network(s) on interface(s) acl localnet src 192.168.50.0/255.255.255.0 httpd_suppress_version_string on uri_whitespace strip #########custom options check_hostnames off log_fqdn off cache_mem 8 MB maximum_object_size_in_memory 32 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA cache_dir null /tmp minimum_object_size 0 KB maximum_object_size 10 KB offline_mode off
# No redirector configured # Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 249 3128 1025-65535 acl sslports port 443 563 249 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin \? acl unrestricted_hosts src "/usr/local/etc/squid/acl/unrestricted_hosts.acl" acl blacklist dstdom_regex -i "/usr/local/etc/squid/acl/blacklist.acl" cache deny dynamic http_access allow manager localhost ###################################################################### ### Opciones Personalzadas ### ###################################################################### ###Servidores Ubuntu de la Red. acl UBUNTU_LAN src "/usr/local/etc/squid/acl/UBUNTU_LAN.acl" ###Servidores de actualizacion para Ubuntu acl UBUNTU_UP_SERVERS dstdomain "/usr/local/etc/squid/acl/UBUNTU_UP_SERVERS.acl" ### Fin de acl's personalizadas ### http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 deny all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all ###################################################################### ### Opciones Personalzadas ### ###################################################################### ### Nuestras ACL's en operacion. ### ### ACL sin restricciones http_access allow unrestricted_hosts http_access deny unrestricted_hosts ### ACL para que mis ubuntu's puedan actualizarse. http_access allow UBUNTU_LAN UBUNTU_UP_SERVERS http_access deny UBUNTU_LAN ### Fin de mis ACL's ### ###################################################################### # Setup allowed acls # Allow local network(s) on interface(s)
#http_access allow localnet # Default block all to be sure ### Siempre debemos acabar con esta restriccion ### bloquea todo lo no declarado http_access deny all ###################################################################### Como podran ver, marque los puntos donde debemos poner atencion:
access_log /var/squid/logs/access.log ==> Donde almacena squid sus logs para obtener los reportes y saber cuando algo nos esta bloqueado aqui debemos revisar primero. cache_log /var/squid/logs/cache.log ==> Donde almacen squid el cache.
logfile_rotate 0 ==> Cada cuanto squid rota sus logs, por que 0? Yo me encargo de ello para mayor control, no uso el lightsquid, uso sarg, en otro post de mi blog viene.
cache_dir null /tmp ==> Recordar que este servidor corre la version nano, asi que yo quiero bloquear no cachear, asi que pfsense sabe y por ello el mismo lo configura, recordar que podemos cachear o solo bloquear. acl unrestricted_hosts src "/usr/local/etc/squid/acl/unrestricted_hosts.acl" ==> Aqui colocamos las IP's o usuarios que no tiene restricciones, como nuestros equipos y los de los jefes. acl blacklist dstdom_regex -i "/usr/local/etc/squid/acl/blacklist.acl" ==> Por default aqui van todos los sitios que nadie puede usar, como faceboook, youtube, etc, etc, si vamos a controlar todo, aqui ponemos '.' y bloquea todo, ya con las ACL abrimos las paginas de cada grupo, es poderoso squid. acl UBUNTU_LAN src "/usr/local/etc/squid/acl/UBUNTU_LAN.acl" ==> Aqui estoy declarando que este acl tiene los IP's de mis servidores ubuntu que desean actualizarse. acl UBUNTU_UP_SERVERS dstdomain "/usr/local/etc/squid/acl/UBUNTU_UP_SERVERS.acl" ==> Este acl le indico a squid que deseo manejar aqui los sitios externos para que mis servidores ubuntu puedan instalar, actualizarse, etc.
http_access allow unrestricted_hosts ==> acl's en operacion, iniciamos por permitir a mis jefes el acceso sin restricciones, siempre como regla de oro, una vez que permitimos algo debemos enseguida bloquearlo, asi trabaja squid. http_access deny unrestricted_hosts ==> regla de oro. http_access allow UBUNTU_LAN UBUNTU_UP_SERVERS ==> Uniendo acl's, aqui le indico que lo que esta dado de alta en UBUNTU_LAN puede accesar UBUNTU_UP_SERVERS asi de simple. http_access deny UBUNTU_LAN ==> Regla de Oro. http_access deny all ==> Regla de Oro general, una vez que terminamos de configurar los accesos a nuestras acl's debemos bloquear todo. 5) Llenar de datos nuestras acl: Contenido de unrestricted_hosts.acl: 192.168.50.100/32 Contenido de blacklist.acl: . Contenido de UBUNTU_LAN.acl: 192.168.50.101/32 Contenido de UBUNTU_UP_SERVERS.acl: .ubuntu.com .canonical.com 6) Copeamos el contenido de squid-custom a squid.conf cp squid-custom squid.conf 7) Validamos la configuracion de squid, no deben dar ningun error de lo contrario debemos reparar antes de continuar, por lo regular son errores de escritura. squid -k parse Si no hay problemas no sale nada en pantalla. 8) Le pedimos a squid que levante nuestra nueva configuración:
squid -k reconfigure Si revisamos nuestra cache.log vamos ver esto: 2012/03/11 22:41:35| Reconfiguring Squid Cache (version 2.7.STABLE9)... 2012/03/11 22:41:35| FD 15 Closing HTTP connection 2012/03/11 22:41:35| FD 16 Closing HTCP socket 2012/03/11 22:41:35| FD 18 Closing SNMP socket 2012/03/11 22:41:35| logfileClose: closing log /var/squid/logs/access.log 2012/03/11 22:41:35| Including Configuration File: /usr/local/etc/squid/squid.conf (depth 0) 2012/03/11 22:41:35| Initialising SSL. 2012/03/11 22:41:35| logfileOpen: opening log /var/squid/logs/access.log 2012/03/11 22:41:35| Store logging disabled 2012/03/11 22:41:35| Referer logging is disabled. 2012/03/11 22:41:35| DNS Socket created at 0.0.0.0, port 15972, FD 13 2012/03/11 22:41:35| Adding domain misitio dyndns org from /etc/resolv.conf 2012/03/11 22:41:35| Adding nameserver 127.0.0.1 from /etc/resolv.conf 2012/03/11 22:41:35| Adding nameserver dns1 from /etc/resolv.conf 2012/03/11 22:41:35| Adding nameserver dns2 from /etc/resolv.conf 2012/03/11 22:41:35| Accepting proxy HTTP connections at 192.168.50.1, port 3128, FD 15. 2012/03/11 22:41:35| Accepting HTCP messages on port 4827, FD 16. 2012/03/11 22:41:35| Accepting SNMP messages on port 3401, FD 18. 2012/03/11 22:41:35| WCCP Disabled. 2012/03/11 22:41:35| Loaded Icons. 2012/03/11 22:41:35| Ready to serve requests.
No se observa ningun problema. 9) Prueban con su clientes, no deben tener problemas. 10) Crear batch para que cada que arranque pfsense cargue nuestra configuracion. Para esto necesitamos crear nuestra batch en /usr/local/etc/rc.d/ Con nuestra editor ingresamos estos datos a el nuevo archivo de nombre zsquid.sh: #!/bin/sh #2012-03-11 #Batch para re-cargar la version personalizada de squid cp /usr/local/etc/squid/squid-custom /usr/local/etc/squid/squid.conf #Le pedimos a squid que se reconfigure usando nuestra configuracion /usr/local/sbin/squid -k reconfigure Modificamos nuestro batch para que tenga el bit de ejecutable: chmod +x zsquid.sh
Por que z? Recordar que Unix arranca los batches por orden alfabetico, ahi mismo se localiza el batch que arranca squid, y la "S" es antes que la "Z", por ello nos conviene que primero arranque squid con la configuracion normal y despues nuestra configuracion. 11) Por ultimo ya solo para comprobar que todo va a funcionar, debemos reiniciar a pfsense, no debe de haber problemas. shutdown -r now. En la consola cuando reinicie aparece algo asi: Starting /usr/local/etc/rc.d/zsquid.sh...done. En mi caso es el ultimo servicio en arrancar lo que indica que mis cambios estan operando. 12) Cron para rotar los logs todos los dias. 59 23 * * * /usr/local/sbin/squid -k rotate Con esto ya no necesitamos que squid rote sus logs, nosotros lo vamos hacer. 13) Listo, ya tenemos una configuracion de squid personalizada y poderosa, ya solo es cuestion que cada quien la configure a sus necesidades. 14) Para la version nano cuando arranca posiblementes les muestre este error en la consola:
Error de arranque squid version nano.
Si observan la figura anterior squid nos manda un error que nos falta un archivo de nombre:unrestricted_host.acl, y apunta a el directorio: /var/squid/acl. Por que? Bien recordar que pfsense version nano se carga en memoria, entoces muchas particiones como /var su contenido se crea al momento del arranque, por
ello cuando squid arranca se crea su folder de 0 y automaticamente todo lo que ahi se localice es sobreescrito. Aparte como es mas rapido el arranque que la creacion de archivos entonces le esta ganando squid a el arranque de pfsense. Como podemos atacarlo? Bien por ahi encontrado que la manera de hacerlo es editando el archivo principal de squid que ahi nos dice: squid.inc localizado en /usr/local/pkg/squid.inc.
Aparte nos dice que la linea 844 o 848 pero por ahi anda, lo abrimos con el editor y nos vamos a esa linea, vamos a ver algo asi: $options = array(
'unrestricted_hosts' => 'src', 'banned_hosts' => 'src', 'whitelist' => 'dstdom_regex -i', 'blacklist' => 'dstdom_regex -i',
); Como estamos editando nuestra propia configuracion y nuestros acl se localizan en/usr/local/etc/squid/acl, pues vamos hackeando pfsense y ver como nos va, comentamos esa linea y la volvemos a crear sin el parametro que nos esta afectando, quedaria asi: $options = array( #'unrestricted_hosts' => 'src', 'banned_hosts' => 'src', 'whitelist' => 'dstdom_regex -i', 'blacklist' => 'dstdom_regex -i', );
Salvamos, reiniciamos y vemos si ya no se nos presenta ese mensaje. 15) Fin. NOTA: Recordar que si van a hacer cambios en la configuracion deben modificar squid-custom y ademas deben respaldar tanto squid-custom y todos los acl's que estan usand
Cómo configurar un servidor Squid Proxy Transparente Uso pfSense
Fuente: http://www.squid-cache.org/
Los servidores proxy actúan como un intermediario para los clientes en una red que solicita recursos de otro servidor. El tipo más común de proxy es un proxy web. Los servidores proxy pueden ser muy útiles para mejorar la velocidad de una conexión a Internet mediante el almacenamiento en caché, registrar el uso de Internet, o filtrar el tráfico. El servidor proxy almacena copias locales de páginas HTML, imágenes y otros archivos en su caché. Servidores proxy de almacenamiento en caché puede mejorar considerablemente el rendimiento de Internet de las redes corporativas o páginas similares donde muchos usuarios pueden estar solicitando internet del café. Cuando un cliente solicita una página web el proxy comprueba si tiene cualquiera de los archivos almacenados en la memoria caché, si lo hace, les sirve para el cliente sin tener que descargarlos desde el servidor web. Esto reduce la latencia y ahorra ancho de banda de Internet. Transparente ruta proxys el tráfico clientes a través del servidor proxy automáticamente, a diferencia de proxys tradicionales que requieren cambios de configuración en los sistemas cliente. Si no está familiarizado con pfSense echa un vistazo a una Introducción a pfSense .
Gigabit CT Intel PCI-E Network Adapter EXPI9301CTBLK Comprar ahora
La instalación de paquetes
Acceder al menú de servidor proxy
Configuración de proxy Squid
Empezando Lo primero que tendrás que hacer es instalar el paquete squid en pfSense.Esto se puede hacer desde el gestor de paquetes se encuentra bajo el menú del sistema. Busque el paquete de Squid y haga clic en el símbolo + al lado de él para comenzar la instalación. El proceso de instalación tarda normalmente unos minutos en completarse. Configuración
Una vez completada la instalación tendrá una nueva opción de menú "Services" llamado "Servidor Proxy".Haga clic en la nueva opción de menú para abrir la página de configuración. Aquí usted tendrá que configurar la interfaz de proxy que es típicamente LAN. A continuación, compruebe que la caja 'Permitir a los usuarios en la interfaz'. Luego marque la casilla 'Habilitar proxy transparente'. Ahora desplácese hacia abajo hasta la parte inferior y pulse guardar. Esto iniciará el servicio de calamar con los ajustes definidos por usted. En este punto usted tiene un servidor proxy transparente funcionamiento completamente funcional en pfSense.Usted no tiene que realizar ningún cambio en los equipos de la red para que utilicen el proxy. Cualquier cliente que solicitan páginas web sobre el puerto 80, será redirigido a través del proxy. Los usuarios de la red ni siquiera saben su tráfico está pasando por un proxy!
Ajustes de gestión del tráfico
Gestión del tránsito aéreo La ficha de gestión del tráfico tiene algunos parámetros que son útiles si desea colocar restricciones de uso de ancho de banda en el proxy. El uso de estas opciones que puede configurar una descarga máxima o cargar tamaño que restringir las transferencias en un tamaño determinado. También puede configurar el proxy de estrangular archivos binarios, imágenes de CD o cualquier otro tipo de archivo que especifique. Per anfitrión estrangulamiento establece la cantidad máxima de ancho de banda de un host individual puede utilizar.
Ajustes de rendimiento Hay varias opciones en la ficha caché de la página de configuración de calamar que se puede modificar para mejorar el rendimiento en su entorno. A continuación se presentan algunas de las configuraciones que recomiendo modificación. Si el equipo que ejecuta el proxy tiene una cantidad limitada de disco y memoria RAM que usted debe tener cuidado de no utilizar
temperaturas excesivamente agresivos. Por otro lado, si usted tiene un montón de recursos para gastarlos puede aumentar la configuración para mejorar el desempeño.
Tamaño de la caché de disco duro - Ajusta la cantidad total de espacio en disco duro calamar utilizará a los objetos de caché. Si usted tiene un disco duro grande puede aumentar este valor para almacenar en caché más objetos. Sólo recuerde que los objetos almacenados en caché en la memoria se recuperan más rápido que los objetos en el disco duro.
Tamaño de la caché de memoria - Si su sistema pfSense tiene un montón de memoria RAM que recomiendo aumentar el tamaño de la memoria caché. Los objetos que los calamares no pueden almacenar en la memoria terminan siendo intercambiados en el disco, que es mucho más lento que la RAM.
El tamaño máximo de objeto predeterminado -El de 4K es bastante pequeño, recomiendo aumentar este número a 50. También podemos establecer que es más grande, pero la mayoría de los aciertos de caché tienden a llevarse a cabo en pequeños archivos de todos modos.
Editar /boot/loader.conf.local - Este cambio se debe hacer a través de SSH.Utilizando un editor de textos como vi agregar kern.ipc.nmbclusters = "32768" en el fichero a continuación, guarde el archivo y reinicie el router pfSense.Esto aumenta la cantidad total de memoria utilizada para buffers de los conectores de los 32M.
Visite el sitio de documentación de pfSense para más ajustes de optimización del rendimiento de Squid.
Los valores de administración de caché
Borrar manualmente el caché de Squid Squid tiene su propio sistema para purgar viejos objetos de la memoria caché, pero en ocasiones es posible que desee borrar toda la caché de Squid. Recomiendo sesión en pfSense usando SSH para ejecutar estos comandos. Es posible ejecutar usando la función de símbolo del sistema en el menú de diagnóstico pero no te aconsejo hacerlo. En primer lugar usted necesita para detener el servicio de proxy. apagado -k calamar El comando a continuación eliminará todos los archivos en el directorio de caché.Este comando puede tardar mucho tiempo en ejecutarse, especialmente si se ha definido un tamaño grande de caché así que sea paciente. -fr rm / var / squid / cache / * Antes de reiniciar Squid deberá volver a crear el canje de estructurar directamente.
Si recibe un mensaje que Squid ya se está ejecutando seguir adelante y apagar el servicio y otra vez y vuelva a ejecutar el comando. PfSense parece reiniciar Squid por sí mismo cuando se da cuenta de que no se está ejecutando. calamar -z Por último, puede reiniciar Squid para comenzar a usar el proxy de nuevo. / Usr / local / sbin / squid-D Para asegurarse de que empezó usted puede comprobar el estado en el menú de servicios que se encuentra bajo el menú de estado de la interfaz web.
Lightsquid Informe
Informes Proxy Si usted está interesado en el seguimiento de la utilización de su proxy puede instalar un paquete adicional llamado Lightsquid. Lightsquid generará informes interactivos que hacen un seguimiento de todos los sitios web visitados por los usuarios, así como una lista de los mejores sitios. Usted puede incluso determinar qué IP visitó un sitio determinado, y qué hora fue visitado. Lightsquid se puede instalar a través del gestor de paquetes pfSense de la misma manera que ha instalado el calamar. Después de la instalación de un nuevo elemento de menú se creará bajo Estado llamado Informe Proxy. En la página de configuración puede establecer la programación de actualización de informe a un intervalo de entre 10 minutos y 24 horas. Esto determina la frecuencia con Lightsquid genera un nuevo informe. Puede actualizar manualmente el informe mediante el botón de actualización ahora. Para ver el informe, haga clic en la pestaña Lightsquid Informe.
Mini ITX pfSense Router / Firewall con 5x Gbe LAN, SATA SSD de 32 GB precargado con 64 bits pfSense 2.1 Comprar ahora
Otros Guías de pfSense
Cómo configurar una lista negra DNS usando pfSense Si estás buscando una manera fácil de bloquear dominios de la red sobre la base de muchas listas negras DNS categorías común puede hacer el trabajo con facilidad. Lista negra de DNS es un paquete para la plataforma pfSense popular.
Dual Wan Router - Cómo cargar balanza con pfSense La compra de un doble wan del router se puede configurar fácilmente copias de varios cientos de dólares. Además de los altos precios de muchos de los modelos en el mercado carecen de muchas características. Así que en lugar de desembolsar dinero en efectivo para un router con ...
Configuración de un router pfSense Si lo que buscas para reemplazar el router a casa con algo que ofrece un mayor control, las características y el rendimiento pfSense es una excelente opción. pfSense puede actuar como un router y firewall ofrece un montón de características para libre que a menudo sólo se encuentran
Conclusión Espero que este centro ha demostrado lo fácil que es configurar un proxy transparente usando el poder de pfSense. Proxys transparentes pueden añadir valor a las redes domésticas pequeñas o grandes redes corporativas con cientos de usuarios. Siéntase libre de comentar si usted tiene cualquier pregunta y por favor hágamelo saber lo más que le gustaría aprender sobre pfSense.
Mantenimiento de Servidores pfSense Tutorial de cómo eliminar la caché de Squid en pfSense Chicos estoy fuera unos días configurando pfSense Es difícil despues de que se haya echado a perder el servidor (alguien se metio a configurar cosas que no eran y terminó por dañar los servicios de Squid, SquidGuard y Servicios como Varnish entre otros) ahora se lo que se siente amigo +Román Tito Avalos ... me acaba de pasar a mi también .. nadie podía navegar ni acceder a Internet... hasta que vine yo a resolver todo... viendo logs... vaciando cache de Squid por contenido corrupto... reiniciando el servicio de squid... Pasos a seguir: 1; Prefiero que nadie este conectado a el squid (y que nadie me vea). 2; Entramos a la consola. ya sea empleando Putty desde WInBug 3; Nos vamos a la ruta donde se localiza el folder del cache, que en mi caso es: /var/squid cd /var/squid 4; Apagamos squid: /usr/local/etc/rc.d/squid.sh stop 5; Validamos que ya no este abierto el puerto, de lo contrario si aun sigue algun proceso activo, importante que no haya nada de squid ejecutándose: sockstat -4 | grep 3128 NOTA:No debe devolvernos nada, de lo contrario buscar los procesos y matarlos. 6; Borramos el folder del cache rm -rf cache/ NOTA: Si tienen miedo y tienen espacio en su disco: mv cache cacheold si algo sale mal, retornamos el cache: mv cacheold cache 7; Creamos el folder de nuevo. mkdir cache 8; Cambiamos permisos: chown proxy:proxy cache/ 9; Creamos directorios de nuevo. squid -zX NOTA: la X es para ver todo lo que hace, si no desean verlo la quitan del comando. Este comando puede tardar según el tamaño del cache en su configuración y la velocidad de su maquina. 10; Iniciamos de nuevo squid: /usr/local/etc/rc.d/squid.sh start
11; Listo. Recordar que esto lo tienen que hacer lo mas rápido posible de lo contrario squid puede iniciar sin la intervención de uno ya que recordar que existe un monitor de squid que lo arranca si no esta en ejecución el servicio, si esto pasa deben iniciar desde el paso 1, así que practiquen y hagan su batch. Por que a veces tenemos hacer esto? Ahí veces que nuestro cache necesita una purga general, esta es una buena opción para iniciar con un cache limpio sin nada de datos e iniciar de nuevo.
Gracias, ya logre hacer que esto funcione, lo que hice fue lo que mencionas: 1ro una regla en el NAT "Port Forward" Interface: LAN External Address: Any Protocol: TCP External Port Range: HTTP NAT IP: IP_Proxy Port: 3128 Listo. De ahi ya agregue otra para el HTTPS. Y me fui por las reglas (Rules). En las reglas para la LAN bloquie todo lo que pasa por la lan hacie el puerto 80 y otra para bloquear el 443. Listo. Ahora si algun chistoso quita el proxy de su navegador ya se jodio por que no va a salir a ningun lado. Ahora si el proxy se encargara de controlar que sale y entra. Que bonito es lo bonito cuando es bonito, saludos y gracias maaraujo
Lo que necesitamos hacer es decirle a pfsense que toda comunicacion a los protocolos http->80 y https-->443 en la red local las mande a el puerto 3128 que es donde corre squid. Yo en lo personal, voy abriendo puertos segun los vaya necesitando, en mi caso los 2 primeros que doy de alta en las reglas de la LAN es el puert 80 y 443. Pero ahora como acabo de instalar squid, necesito hacer un cambio. Las reglas RDR o "Port-Forward" se ejecutan primero que las reglas de la LAN, entonces checa la figura como quedaria la regla para el puerto 80 "Todo paquete que atraviese por gateway(LAN) puerto 80, mandalo a el gateway pero puerto 3128 de squid y con esto squid recibe toda esa comunicacion. Cuando hagas el "Port-Forward" desmarca la opcion que agrega la regla automaticamente a la LAN. Los mismo pasa con el puerto 443. Ya con esto, las 2 reglas de mi LAN donde permito el paso del protocolo 80 y 443 las bloqueo. Checa la imagen para que veas como queda. Cuando apliques todo esto, tu pfsense va a dejar de funcionar, que es lo buscamos de un principio, para recuperarlo tienes que agregar tu proxy a tu navegador y listo. Cuando algun chistosito en tu red quiera brincarse el cerco y elimine los datos de tu proxy de su navegador le va a salir la pantalla de acceso denegado. Listo problema resuelto.