Mô hình mạng:
Squid: Proxy Server
SquidGuard: Advanced config
Lightsquid: proxy report
Cài đặt packages Squid, SquidGuard, Lightsquid
Đăng nhập vào trang quản trị Pfsense
Menu System chọn Packages
Chọn Available Packages
Tìm Squid và nhấn dấu + để cài đặt
Nhấn Confirm để cài đặt
Quá trình cài đặt đang diễn ra
Kết thúc quá trình cài đặt
Lúc này trên menu Services đã xuất hiện Proxy Server
Tương tự cài đặt SquidGuard Package
Cài LightSquid Package
Sau khi hoàn thành quá trình cài đặt LightSquid trong menu Status sẻ có Proxy Report
Cấu hình
1.Cấu hình Proxy Server ( cấu hình chung)
Menu Serivce chọn Proxy ServerTab General
Proxy interface: Chọn Lan
Allow users on interface: check
Transparent proxy: check
Enable logging: check
Log store directory: /var/squid/logs
Log rotate: set rotage cho log
Proxy port: 3128 (default)
Save
Lúc này tại máy client có thể truy cập Internet (không cần phải cấu hình proxy tại client - đây là tính năng Transparent proxy)
1.1 Cấu hình Cache cho proxy server (Cache Mgmt):
Menu Services > Proxy server > Tag Cache MgmtHard disk cache size: nhập Hard disk cache size, đơn vị: megabytes (pfsense recommender minimum: 3000MB)
Hard disk cache location: /var/squid/cache
Memory cache size (RAM cache): This value should not exceed more than 50% of the installed RAM
Save
1.2Khảo sát Access Control của Proxy server
Menu Services > Proxy server > Tag Access ControlAllowed subnets: Mặc định proxy interface subnet đã được cho phép nên ko cần khai báo
Unrestricted IPs
Banned host addresses
Whitelist
Blacklist: nhập tuoitre.vn
Save
Trên client tiếng hành truy cập trang web tuoitre.vn không thành công
2.Proxy Report - LightSquid
Menu Status > chọn Proxy reportTab Setting
Language
Bar color
Report scheme: Nova Sea
Refresh sheduler: 60min(+)
Refresh now
Refresh full
Save
Chuyển qua Tab LightSquid Report
Nhấn Refresh trên trình duyệt để xem report
3.SquidGuard
https://doc.pfsense.org/index.php/SquidGuard_packagesquidGuard can be used to
- Limit the web access for some users to a list of accepted/well known web servers and/or URLs only.
- Block access to some listed or blacklisted web servers and/or URLs for some users.
- Block access to URLs matching a list of regular expressions or words for some users.
- Enforce the use of domain names/prohibit the use of IP addresses in URLs.
- Redirect blocked URLs to an info page.
- Redirect banners to an empty GIF.
- Have different access rules based on time of day, day of the week, date etc.
Tab General Setting Scroll đến Blacklist options
Blacklist: check
Blacklist URL: nhập vào http://squidguard.mesd.k12.or.us/blacklists.tgz
Save
Tiếp theo Navigate đến Tab Blacklist
Chọn Download
Tiến trình download blacklist đang diễn ra
Hoàn thành tiến trình download blacklist
Navigate đến Tab General
Enable : check
Save
Click vào Targer Rule List (Click here)
Default access : Allow
Redirect mode: int error page(enter error massage)
Redirect info: nhập nội dung page thông báo lỗi
Log: check
Save
Khảo sát rule SquidGuard
Cấm tấc cả các client không được truy cập vnexpress.net và cnet.com từ 13:00 đến 17:30
Services > Proxy Filter
Tab Target catagories > click dấu + để định nghĩa những website bị cấm truy cập
Name: web_deny
Domain List: vnexpress.net cnet.com
Redirect mode: int error page(enter error massage)
Redirect: website cam trong gio lam viec
Description: website cam truy cap trong gio lam viec
Log: check
Save
Navigate đến Tab Times, đi định nghĩa thời gian bị cấm truy cập, nhấn dấu + để add
Name: working_hours
Values: nhập như hình
Description: Values
Save
Navigate đến Tab Groups ACL > nhấn dấu + để tao mới
Name: web_deny
Client (source): 192.168.10.0/24
Time: chọn working_hours (đã định nghĩa trong Tab Times)
Target Rules : click vào Targer Rule List (Click here)
set deny cho [webdeny] - xem hình
Redirect mode
Redirect
Log: check
Save
Quay về Tab General Setting nhấn Apply những cấu hình vừa định nghĩa
Test trên client:
Truy cập vào Cnet.com và vnexpress.net không thành công
Còn những trang web khac thì truy cập bình thường.
SquidGuard tùy biến rất cao có thể tham khảo thêm tại link sau đây
https://doc.pfsense.org/index.php/SquidGuard_package
Chao ad.
ReplyDeleteMinh dang dung Pfsense 2.3.2. Chay Secure Nat thi OK
Proxy cung ok.
Nhung khi bat proxy Fillter thi client khong the truy cap internet duoc nua. Mac du trong group ACL minh da set muc Target Rule la allow. Ban co the giup minh khong. Cam on