Pfsense Firewall – Web proxy trên pfSense

Web Proxy là nơi cache lại những trang web mà user trong mạng thường truy cập. Web Proxy trên Pfsens có 3 thành phần chính đó là Proxy server (cache lại các trang web), Proxy filter (lọc web) và Proxy report (đưa ra thống kê truy cập của user).

Proxy server: được thiết lập dựa trên gói phấn mềm Squid, gói phấn mềm này cho phép chúng ta có thể quản lý về cách thức user truy cập web thông qua proxy như thế nào, ví dụ như thông qua port của proxy hoặc là trong suốt với người dùng. Cho phép quản lý thông tin các kết nối thông qua file log. Proxy server còn cho phép Cache lại thông tin truy cập web của người dùng như nội dung, đại chỉ… Việc cấu hình được thực hiện thông qua Cache Mgmt (cache managerment) với khác thông số quan trọng như bộ nhớ cache lưu trử trong ổ cứng, trên RAM…

Vào menu Services chọn Proxy server cấu hình các thông tin chính cần quan tâm như sau:

  • Tab General: bật Proxy và các cách thức hoạt động của Proxy, nhật ký sự kiện, port proxy và log dùng cho Proxy report
  • Tab Cache Mgmt: Quy định bộ nhớ cache
  • Tab Access Control: quy định các mạng đi qua proxy

Proxy filter: được thiết lập dựa trên gói phấn mềm squidGuard, gói phấn mềm này cho phép tạo ra những Target categories (loại mục tiêu) định nghĩa các danh sách domain name (tên miền), các URL (Uniform Resource Locator) hoặc là các định dạng tập tin cần quản lý, dựa trên những Target categories này người ta có thể thiết lập các chính sách về cấm (deny), cho phép (allow hoặc white) trong Group Access Control List (Groups ACL) và Conmon Access Control List (Common ACL).

Menu Services chọn Poxy filter với các thành phần cấu hình chính:

  • Tab General settings chọn Enabale và Apply để bật dịch vụ, ngoài ra nó còn nhiều tùy chọn khác về cừng thực User LDAP, về các dạng nhật ký sự kiện cho proxy filter.

  • Tab Target categories: cấu hình các thông tin (mục tiêu) muốn lọc như doamain name, những URL, những dạng file muốn lọc [với cấu trúc lọc file (.*\/.*\.(asf|wm|wma|wmv|zip|rar|cab|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu)) ]

Định nghĩa Domain

Định nghĩa dạng file

Tab Groups ACL: cấu hình các chính sách lọc trên các nhóm cụ thể (IP, subnet, một dãy IP…) như deny, white, allow dựa trên các định nghĩa ở Target categories.


Tab Common Access Control List: thiết lập các ACL dùng chung, các thiết lập ở đây có tính toàn cục, thông thường người ta dùng các gói blacklist có sẵn (bạn có thể tải về tại đây, cách sử dụng trong video demo)

Bạn chú ý là Default access [all] bật allow để khi thực hiện cấm một dãy địa chỉ IP nào đó thì các dãy khác không ảnh hưởng (điều này thiếu trong video hướng dẩn cấu hình bên dưới).

Trong trường hợp, các thiết lập Target categories đã được áp dụng ở Groups ACL rồi mà bạn không muốn nó ảnh hưởng đến toàn cục, bạn có thể chọn —

Proxy report: được thiết lập dựa trên gói phấn mềm Lightsquid, gói phần mềm này cho phép tạo ra những báo cáo (report) thống kê việc truy cập web của user theo thời gian thực. Giúp người quản trị có thể thống kê chính xác nhu cầu truy cập web của người dùng trong mạng. Phần mềm này hoạt động dựa vào các file log cùa Poxy server (Squid).

Menu Status chọn Proxy report có những thành phần chính cần quan tâm:

  • Tab Settings: cấu hình dạng report, ngôn ngữ, thời gian cập nhật…

  • Tab Lightsquid Report: dùng xem report

Để các chính sách proxy có thể hoạt động, bạn có thể phải đợi một thời gian hoặc phải khởi động lại Pfsense để các chính sách này được áp dụng.

Mô hình cấu hình demo

Video demo

 

https://www.youtube.com/watch?v=Tm84LZ2EIYE

Mẹo: Khi bạn cấu dùng đễ test, thì nên để cache trong Proxy server thành 0 hết, sau khi thiết lập xong một thứ nào đó thì hãy reset máy pfSense để clear tất cả các cache trên hệ thống đi.

Hãy chia sẻ nếu thích bài viết

Bài có liên quan