Налаштування pfsense як корпоративного проксі сервера, комп'ютерна допомога

pfSense можна запустити як LiveCD з можливістю і зберігати конфиг на змінному носії, а можна чесно встановити на хард. В останньому випадку функціонал роутера можна розширювати, доустанавлівая потрібні компоненти: веб-сервер, samba, radius-сервер, ftp-сервер та ін (більше 50 різних доповнень).
Мінімальні системні вимоги виглядають наступним чином:
Процесор - 100 MHz Pentium 1
Оперативна пам'ять - 128 Mb
Тут найголовніше зрозуміти, що чим більше можливостей pfSense ви хочете задіяти, тим потужніше потрібен комп під нього. Цілком логічно.

Огляд про pfSense буде присвячений налаштування проксі-сервера в цьому програмному маршрутизаторі. Додатково ми покажемо вам, як зняти статистику з проксі, тобто як дізнатися хто і в яких кількостях використовує інтернет.

Для повного щастя нам треба встановити два пакети. Робиться це в меню System \ packets. Тут є дві вкладки. Available Packages - доступні для установки пакети. Installed Packges - вже встановлені пакети.

Що де знаходиться, думаю, зрозуміло. У Available Packages в списку знайдіть і встановіть наступні пакети (обов'язково в зазначеному порядку):

1. squid - сам проксі-сервер. Там є ще схожий пакет squid3 - його встановлювати не треба!
2. lightsquid - модуль статистики

Встановили? Всі три пакети повинні з'явитися у списку в Installed packages. Йдемо в меню Services \ Proxy server. Тут, у вкладці General. розташовані основні настройки.

По-перше вибираємо мережевий інтерфейс LAN. щоб тільки на ньому проксі брав запити. Далі ставимо галку Allow users on interface - дозволяємо користуватися проксі всім, хто підключається з боку обраного інтерфейсу.

Знаєте як в інтернеті з'являються анонімні проксі (в більшості випадків)? Це коли адмін забув обмежити доступ до проксі тільки зі своєї локальної мережі. Тобто виходить, що його проксі-сервером може користуватися будь-хто з інтернету в своїх корисливих цілях. Ніколи не наступайте на ці граблі!

1. Enable logging - включити запис логів. Якщо ви збираєтеся користуватися статистикою, то обов'язково включите.
2. Log store directory - каталог зберігання лог-файлів. Значення за замовчуванням змінювати вкрай не бажано.
3. Log rotate - ротація логів. Робиться для автоматичного архівування старих лог-файлів. Статистика проксі-сервера виглядає тільки з актуального лог-файлу, а не з архівної. Тому інтервал ротації потрібно брати стільки днів, коли лог перестає бути актуальним для вас, наприклад, 2 місяці, тобто 60 днів.
4. Proxy port - порт, на якому буде працювати проксі-сервер. Зазвичай ставиться значення 3128.
5. Language - мова, на якому будуть відображатися різні повідомлення для користувачів проксі-сервера. Зазвичай ставиться Russian-1251.

І ще пара цікавих опцій, які працюють тільки в режимі Transparent:

1. Bypass proxy for these source IPs - сюди можна вписати список комп'ютерів локальної мережі через роздільник; яким дозволено ходити в обхід проксі-сервера.
2. Bypass proxy for these destination IPs - сюди можна вписати список зовнішніх ресурсів через роздільник; до яких всі комп'ютери локальної мережі зможуть ходити безпосередньо (не через проксі).

Який би ми режим не вибрали, нам потрібно зробити так, щоб доступ в інтернет здійснювався тільки через проксі-сервер. І перш ніж ми підемо далі, нам необхідно внести деякі корективи в правила фаєрвола. Якщо ви встановлювали pfSense по нашим попереднім оглядам, то набір правил за замовчуванням в закладці LAN меню Firewall \ Rules у вас буде виглядати наступним чином:

На даному етапі потрібно видалити всі правила крім першого, яке потрібно тільки для того, щоб б ми самі собі не заблокували доступ на web-інтерфейс pfSense. Видалити будь-яке правило можна натисканням кнопки з зображенням хрестика праворуч від потрібного правила. Після видалення список правил вийшов ось такий:

Тепер додамо одне досить просте правило, яке дозволятиме доступ з комп'ютерів локальної мережі до машини з pfSense. Це робиться кнопкою, я її вказав стрілкою на скріншоті вище. Таке правило потрібно з двох причин як мінімум:

1. <Чтобы компьютеры локальной сети могли разрешать DNS-имена через наш pfSense-маршрутизатор
2. Щоб на початковому етапі ми могли, наприклад, пінгувати роутер і виконувати будь-які інші необхідні діагностичні дії.

Статистика Lightsquid

Давайте подивимося як її налаштувати. Спочатку пройдемо в меню Status \ Proxy report.

На першій закладці Settings зробимо кілька маніпуляцій:

Натискаємо внизу сторінки кнопку Save. а після цього кнопку Refresh full. Потім перейдіть на саму сторінку статистики - друга закладка Lightsquid report. Спочатку там може з'явитися сторінка з помилкою. Нічого страшного, залиште її в спокої, просто трохи пізніше (хвилин через 10-15) спробуйте оновити сторінку в браузері. Повинно з'явитися приблизно ось це:

Якщо у вас все так, то значить що все налаштовано правильно. Статистика має досить простий і на наш погляд зрозумілий інтерфейс.

Як це працює

Налаштування Антивірусу

Йдемо в меню Services \ Antivirus. потім переходимо на закладку HTTP Proxy і виставляємо наступні опції:
Enable - ставимо галку. Це головний тумблер антивіруса.
Proxy Mode - Parent for Squid. Пов'язуємо його з нашим проксі-сервером.
Proxy Interface - LAN. Вказуємо мережевий інтерфейс, на якому він буде працювати.
Proxy port - залишаємо за замовчуванням, в моєму прикладі 3125
language - Russian. Щоб антивірус всі свої повідомлення для користувачів виводив на зрозумілій мові

Всі параметри продубльовані на скріншоті. Після настройки не забуваємо натиснути кнопку Save внизу сторінки!
Тепер переходимо на закладку Settings. Ці настройки вже не так важливі, як на попередній закладці, але тим не менше виставити їх не завадить.
Перший параметр - частота оновлення антивірусних баз. Я виставив 1 годину, він ви можете взяти будь-який інший зручний значення.
Другий параметр - Регіон дзеркала для оновлення баз. Виставляйте найближчий до себе.
І останнє що я зробив - включив логирование подій - галка Log.

Натискаємо кнопку Save.

Перевірка сполучення з проксі-сервером.

Переходимо в меню Services \ Proxy server і в першій закладці промотувати сторінку в самий низ. В поле Custom Options у нас має з'явитися кілька записів про антивірус havp:

Якщо все так, то натискаємо кнопку Save.
Тепер переходимо в меню Status \ Services:

Нам тут потрібно переконатися, що служби havp і squid працюють: статус повинен бути Running. Якщо це не так, спробуйте натиснути на кнопку Start (вказав стрілкою на скріншоті).
Якщо не допоможе, перезавантажте pfSense через меню Diagnostics \ Reboot. Коли я налаштовував у мене з незрозумілих для мене причин служба havp запустилася сама хвилин через 5 після перезавантаження роутера.

Перевірка антивіруса

Налаштовуємо фільтри SquidGuard

• - - не обробляти фільтром
• whitelist - не блокувати ніколи, навіть якщо перекривається іншими правилами
• deny - забороняти
• allow - вирішувати

Важливе зауваження: після натискання кнопки Apply фільтр перенастраивается кілька хвилин, тому не поспішайте відразу перевіряти зміни.

Типові завдання для фільтра SquidGuard

1. Обмежити доступ по часу

Для цього спочатку потрібно визначити часові інтервали. Це робиться в закладці Times. При додаванні тимчасового інтервалу його назва не повинна містити пробіли. У нашому прикладі ми зробили складний інтервал. По буднях доступ дозволений з 8 до 18, а у вихідні з 9 до 15.

Ви можете створити скільки завгодно тимчасових інтервалів, потім їх застосовувати в призначених для користувача списках доступу.

встановити саму першу галку - Disabled і зберегти правило.

3. Як додати який-небудь сайт в білий список

4. Як заборонити завантаження файлів певних типів

Найголовніше на забувайте натиснути кнопку Apply в закладці General Settings після всіх маніпуляцій.
На цьому поки все. Удачі в освоєнні

Схожі статті

• Проксі-сервер в pfsense, сісадмінство