lunes, 5 de septiembre de 2011

Implementacion de PFSENSE como proxy

Para poder utilizar nuestro pfsense como proxy, es necesario instalar dos paquetes adicionales.
Dede la opcion System, seleccionamos Packages.


vamos a buscar los paquetes relacionados con squid, en este caso instalaremos dos paquetes (squid y squidGuard),


Confirmamos la instalación



Ahora vamos a iniciar la configuracion del proxy.
Vamos a la pestaña Services, y seleccionamos la opción Proxy Server.


Para esta configuración inicial, nos basamos en las siguientes imágenes:



 NOTA: Recordemos guardar la configuración, después de cada cambio realizado en el pfsense.

Ahora voy a iniciar con la configuración del proxy, desde la mism pestañ anterior buscamos la opcion Proxy filter


La primera opción es para habilitar las reglas a configurar de proxy.


En las pestañas que podemos observar, vamos a ir hacia la pestaña subrayada a continuación.
Debido a que la política por defecto de nuestro proxy es denegar, vamos a crear una regla para permitir determinadas paginas.



 Guardamos la regla creada.

Ahora desde la pestaña Grupos ACL, creamos un grupo en el que aplicaremos cada regla.

A este grupo que hemos creado podemos asignarle, ciertas direcciones ir, redes o respectivos rangos de direcciones.

Es posible también configurar el tiempo de acceso para este grupo, esta opción la trabajaremos mas adelante.



En la siguiente imagen vemos como agregamos a este grupo la regla de paginas permitidas q creamos anteriormente.


 Guardamos

En la opción Commond ACL, podemos observar que están agregadas las dos reglas:

1. la de denegación por defecto
2. la creada para permitir ciertas paginas


Guardamos los cambios, en esta opción y en General Settings

Para probar esta configuracion vamos hacia una maquina de nuestra red, en mi caso probare desde una Windows XP.
Ingresamos al explorador y desde la pestaña opciones de internet >  conexiones > Configuracion LAN, agregamos al direccion IP y el puerto del proxy en nuestro pfsense.



Tratamos de ingresar a un pagina que no esta dentro de la regla de acceso de paginas permitidas.
NO debemos tener acceso.


Ahora intentamos ingresar a una de la que agregamos a la regla de paginas permitidas.
Podemos observar que ingresamos sin ningún problema


Ahora vamos a realizar filtro por tiempo. Cuando realizamos este paso, verifiquemos la hora del pfsense, en ocasiones tiene una configuración de zona horaria diferente a la nuestra y por ende no veremos que funciones nuestro filtro por tiempo.

Desde la pestaña TIMES, agregamos un nuevo filtro.

 Vamos hacia la opción TARGET CATEGORIES y allí creamos una nueva regla que permita ciertas paginas.


 En Groups ACL vamos a seleccionar el tiempo que acabamos de crear, y agragamos al regla en al que permitimos otras paginas.



De igual forma que en al regla anterior vamos hacia la opcion Commond ACL y agregamos la nueva regla creada.

NOTA: para aplicar y guardar cada cambio realizado correctamente, debemos dirigirnos hacia la pestaña General Settings, y desde allí aplicamos y guardamos los cambios realizados.



Ahora desde la maquina para probar el proxy, verificamos la hora de la maquina con la de la configuración en el filtro por tiempo, y nuevamente intentamos ingresar a la pagina que permitimos anteriormente.
Debemos ingresar correctamente.


 Ahora voy a realizar un filtro por palabras.
Unicamente podre acceder a paginas si contienen las palabras casa y/o mail.



 Asi como lo hemos venisdo haciando con la sreglas anteriores, aplicamos esta regla al grupo prueba y al commond ACL.




Vamos hacia la maquina y voy a probar de la siguiente manera.
Desde un buscador x, busco al palabra hola.



Al inetntar ingresar a una pagina que tiene este palabra, se bloquea el paso hacia esta.

 Aora nievamente desde el buscador, busco la palabra casa


Ingreso a una pagina que tenga esta palabra y .... Bingo...
Tenemos acceso.

Desde acá también podemos crear un filtro por dominios.
Vamos a permitir el ingreso al dominio bing.com


Probamos y ... tenemos acceso.


Podemos también hacer que este proxy sea transparente. desde la opcion services, Proxy Server


En General, habilitamos la opción Transparent Proxy.


Vamos a probar que funciones,  desde el explorador de la maquina cliente, así mismo como opusimos el proxy, debemos quitarlo y probar


Probamos conexiones a una de las paginas que no esta permitida, y debe funcionar correctamente el proxy.


Tenemos también al opción de configurar autenticacion de usuarios, esta opción no funciona con proxy transparente.
Desde Services > proxy Server


Encontramos al opción local users, podemos agregar un usuarios para realizar la prueba

En la otra opcion Auth Settings, seleccionamos al opcion LOCAL.


 y habilitamos la opción pedir autenticacion


 NOTA: Recordemos configurar nuevamente el proxy en el navegador.
Ingresamos al navegador y antes de permitirnos el acceso a una pagina debe arrojarnos una ventana para poder autenticarnos.

Bueno espero sea de su ayuda....
Hasta pronto!!! }:)


7 comentarios:

  1. Muy bueno, muchas gracias

    ResponderEliminar
  2. que mas un saludo cordial desde cartagena y dejame felicitarte por este buen trabajo y esta buena iniciativa.

    ResponderEliminar
  3. Una demostración de la potencia de pfsense. Linux es genial!!. Gracias.

    ResponderEliminar
  4. Muchas gracias.. excelente aporte!!

    ResponderEliminar
  5. Excelente, gracias por compartir esta configuración...

    ResponderEliminar
  6. Gracias por el tutorial, pero no se puede ver NADA en las imagenes...

    ResponderEliminar
  7. Aclaro, pfSense no es linux, es FreeBSD...

    ResponderEliminar