El ancho de banda nunca es suficiente y mas en las oficinas. Por mas ancho que sea el canal mas estrecho pareciera que es y esto es debido al incremento de aplicaciones web, las videoconferencias, la telefonía ip y así un sin fin de cosas que se transmiten por internet. Ahora, la solución no siempre es contratar un canal mas "ancho" (incrementando gastos) sino poner políticas y optimizar su uso con herramientas como la que veremos hoy en este articulo, un pfSense Squid transparent proxy. Dentro de los proxy el mas popular es Squid; este lo veremos en servidores y firewalls optimizando el uso del canal WAN (Internet) y hoy lo instalaremos y configuraremos en pfSense 2.3.x.
Debo aclarar que esta solución para que funcione bien hay que ir la ajustando en el pasar de los días y así dependiendo de nuestras necesidades, llevarla a optimizar nuestra salida a internet. Después de esta breve introduccion comencemos con este pfsense tutorial paso a paso.
Requerimientos
- pfSense instalado y actualizado
- Conectividad a internet
Instalamos pfSense Squid Proxy
-Abrimos un browser y navegamos al dashboard de nuesto firewall pfSense logeandonos con la cuenta admin. Ya allí nos vamos al menu System - Package Manager y le damos click
Artículos recomendados: Como actualizar pfSense 2.3 a su ultima versión en pocos minutos
-Damos click en Available Packages. Se nos mostrara un listado de paquetes que podemos instalar. Escribimos squid en la caja de texto Search term y presionamos Enter
-Damos click al botón verde +Install de squid
-Se nos pide confirmación de la instalación del paquete pfSense-pkg-squid. Damos click al botón Confirm
-Terminando la instalación vamos al menu Services - Squid Proxy Server y le damos click
Configuramos pfSense transparent Squid Proxy
-Comenzamos configurando el cache antes que todo. Damos click a la pestaña Local Cache. A continuación veremos varios parámetros, solo diré cuales cambiaremos y los demás, los dejamos con sus valores default
-Colocamos el espacio a usar por squid proxy en Hard Disk Cache Size (en este caso destino 5120mb), separo 1024mb para memoria RAM en Memory Cache Size (como buena política no usar mas del 50% de la memoria total de nuestro servidor ya que squid siempre en su momento puede usar mas)
-Damos click al botón Save
-Vamos a la pestaña General. Activamos:
- Enable Squid Proxy
- Keep Settings/Data
- Allow Users on interface
-Seguimos activando opciones:
- Transparent HTTP Proxy
-Seguimos activando opciones:
- Enable Access Logging
- Rotate Logs: 10 (cantidad de días a los que se rota el log)
- Error Language: es (idioma en que se mostraran los errores de paginas)
-Mas opciones. Al terminar damos click al botón Save
- Visible Hostname (nombre del equipo mostrado en errores de paginas)
- Administrator's Email: email del administrador de squid proxy
- Suppress Squid Version (recomendable por motivos de seguridad, no le facilitemos a alguien que nos quiera atacar saber que versión usamos)
-A partir de este momento ya se esta ejecutando pfsense transparent squid proxy. En la esquina superior derecha veremos una serie de iconos que nos permiten, reiniciar el servicio, pararlo, etc
Verificamos Squid Proxy
-Si damos click al icono de servicios veremos el listado de servicios ejecutándose en pfsense firewall, todos, no solo el de squid
-Devolviendonos al menu de Squid proxy damos click a la pestaña Real Time y allí veremos los logs en tiempo real
Configuramos Squid Transparent proxy https
-Otra posibilidad útil es poder filtrar también las paginas web seguras (ahora que se esta haciendo lo posible porque todas sean con https). Vamos al menu System - Cert Manager
-En la pagina que nos aparece de la pestaña CAs damos click al botón +Add
-Modificamos los siguientes campos. Al terminar damos click al botón Save
- Descriptive name: Nombre descriptivo, cualquiera
- Method: Create an internal Certificate Authority
- Key length (bits): 2048
- Digest Algorithm: sha256
- Lifetime (days): 3650 (vigencia en días)
- Country Code: CO (en mi caso CO es Colombia)
- State or Province: Distrito capital (Estado o provincia)
- City: Bogota (Ciudad)
- Organization: Empresa u organización
- Email Address: email del administrador
-Ya tenemos creado un CA para Squid Proxy
-Nos devolvemos al menu de squid proxy y en la pestaña General modificamos. Al terminar damos click al botón Save
- Enable SSL Filtering
- CA: elegimos el CA que acabamos de crear
Activamos antivirus Clamav en pfSense Squid Proxy
-Una opcion mas que util, utilizar antivirus en nuestro squid proxy. Modificamos las siguientes opciones- Enable Squid antivirus check using ClamAV
- Damos click al botón Update AV (actualizamos firmas de virus)
-Mas opciones a modificar. Al terminar damos click al botón Save
- Exclude Audio/Video Stream (los paranoicos lo activaran, yo no lo creo necesario)
- ClamAV Database Update: (cada cuanto verificara si hay nuevas firmas de virus por descargar)
- Regional ClamAV Database Update Mirror: United States (escoge el mas cercano, sera de donde se descargaran las firmas de virus)
Se por experiencia que los primeros días serán difíciles porque estarás monitoreando y ajustando la configuracion de tu proxy transparent (con muchos usuarios quejándose). Pero vale la pena ya que optimizaras el uso del ancho de banda. Ya usas squid proxy? en modo transparent o con puerto? en que servidor lo usas, Linux Ubuntu server, acaso en Linux Centos?.
Donar 25 USD
Aun tienes dudas y quieres preguntarme algo que por email no crees posible? ahora puedes agendar una cita virtual conmigo (por medio de hangout de google), haz click aquí para agendar cita conmigo. Bien, hazme un favor, compártelo en tus redes sociales (compartir es sexy). Escríbeme en los comentarios aquí debajo y pasa la voz compartiendo el tweet.
Quieres apoyarme? El conocimiento es gratis pero...igual tengo gastos. Puedes donarme dinero por medio de PayPal.
Aun tienes dudas y quieres preguntarme algo que por email no crees posible? ahora puedes agendar una cita virtual conmigo (por medio de hangout de google), haz click aquí para agendar cita conmigo. Bien, hazme un favor, compártelo en tus redes sociales (compartir es sexy). Escríbeme en los comentarios aquí debajo y pasa la voz compartiendo el tweet.
Sígueme en twitter , google+, facebook o email y podrás estar enterado de todas mis publicaciones.Como instalar y configurar #pfSense #Squid Transparent #Proxy ~ videoJuegos y Open Source https://t.co/F6e6zXE36D pic.twitter.com/avtQyW9kUA— Manuel Cabrera C (@drivemeca) May 28, 2016
Disfrútenlo.