Lab #38 PfSense By Pass Squid Proxy Servicios Google.
Lab #38 PfSense By Pass Squid Proxy Servicios Google.
Squid es un Proxy Server muy utilizado en el ámbito de Open Source. Es efectivo y funcional. Ofrece el modo "transparente", por lo que no es necesario realizar configuraciones especiales en los "clientes".
Opera en el protocolo Http y Https. En Http, no presenta problema alguno, ya que todo el tráfico es "textual" y permite aplicar filtro directamente.
Pero en https, ya es diferente. Bajo este protocolo Squid debe manejar certificados y esto es un "dolor de cabeza".
Para funcionar con HTTPS, Squid se debe valerse de un certificado SSL, el cual puede ser obtenido a través de una entidad certificante (todo un proceso) o bien valerse de PfSense con emisor de certificado. El certificado que se obtiene a través de PfSense no es valido para acceder a los servicios Google (y otros) por lo que el proxy presenta problemas para acceder a Google.
Google es un "sitio" (todo un ecosistema) conocido, por lo que es relativamente "seguro" proporcionar acceso. Para lograrlo se realiza una configuración especial en el PfSense y se declara un ByPass en Squid. Es decir cuando algún cliente desea acceder a alguna de las IP's de Google, el Proxy simplemente lo debe dejar pasar con una conexión del tipo NAT.
La desventaja de esto es que no se puede gestionar el acceso a los servicios Google. Es decir, si por alguna razón se necesita bloquear YouTube, de esta forma no se podría, ya que el Proxy no funciona para los destinos declarados en el ByPass.
Instalar y configurar Squid es por la necesidad de controlar el contenido de Internet. Al configurar el proxy se logra una abstracción entre el Cliente e Internet. Es decir el cliente solicita un contenido al proxy. El proxy analiza si ese contenido esta permitido y de acuerdo al permiso, le entrega al cliente la petición o la rechaza, negando el acceso. En PfSense, si no se configura en modo proxy, todas las comunicaciones son en modo NAT y de esta forma no se tiene control del contenido y no se puede filtrar.
Como Bonus, al finalizar el video, se realiza una configuración para limitar el ancho de banda (up/down) para la regla de acceso a Google. No podemos controlar el contenido, pero si administrar el ancho de banda para este contenido.
PfSense es un muy buen Router/Firewall basado en software. Se vale de plugins para ampliar sus capacidades. La versión Community es gratuita y 100% funcional. Como todo sistema, cuanto mas servicios se configurar, mayor es el recurso que se demanda. PfSense en modo router/firewall basico funciona en cualquier PC con 512MB de RAM, pero si se va a implementar Squid, Balanceo de Carga y otros, ya hay que pensar en un equipos con 8Gb Ram, disco SSD y placas de RED gigalan.
En el siguiente enlace se publica el video de como obtener los intervalos IP de google: • Intervalos de direcciones IP de Google
Intervalo Google: https://bit.ly/2EEbofX
Facebook: / laboratorio.it.mp
