Como instalar y configurar pfSense Squid Transparent Proxy

El ancho de banda nunca es suficiente y mas en las oficinas. Por mas ancho que sea el canal mas estrecho pareciera que es y esto es debido al incremento de aplicaciones web, las videoconferencias, la telefonía ip y así un sin fin de cosas que se transmiten por internet. Ahora, la solución no siempre es contratar un canal mas "ancho" (incrementando gastos) sino poner políticas y optimizar su uso con herramientas como la que veremos hoy en este articulo, un pfSense Squid transparent proxy. Dentro de los proxy el mas popular es Squid; este lo veremos en servidores y firewalls optimizando el uso del canal WAN (Internet) y hoy lo instalaremos y configuraremos en pfSense 2.3.x.

Debo aclarar que esta solución para que funcione bien hay que ir la ajustando en el pasar de los días y así dependiendo de nuestras necesidades, llevarla a optimizar nuestra salida a internet. Después de esta breve introduccion comencemos con este pfsense tutorial paso a paso.

Requerimientos

• pfSense instalado y actualizado
• Conectividad a internet

Instalamos pfSense Squid Proxy

-Abrimos un browser y navegamos al dashboard de nuesto firewall pfSense logeandonos con la cuenta admin. Ya allí nos vamos al menu System - Package Manager y le damos click

Artículos recomendados: Como actualizar pfSense 2.3 a su ultima versión en pocos minutos

                                           Como configurar OpenVPN en pfSense paso a paso

-Damos click en Available Packages. Se nos mostrara un listado de paquetes que podemos instalar. Escribimos squid en la caja de texto Search term y presionamos Enter

-Damos click al botón verde +Install de squid

-Se nos pide confirmación de la instalación del paquete pfSense-pkg-squid. Damos click al botón Confirm

-Terminando la instalación vamos al menu Services - Squid Proxy Server y le damos click

Configuramos pfSense transparent Squid Proxy

-Comenzamos configurando el cache antes que todo. Damos click a la pestaña Local Cache. A continuación veremos varios parámetros, solo diré cuales cambiaremos y los demás, los dejamos con sus valores default

-Colocamos el espacio a usar por squid proxy en Hard Disk Cache Size (en este caso destino 5120mb), separo 1024mb para memoria RAM en Memory Cache Size (como buena política no usar mas del 50% de la memoria total de nuestro servidor ya que squid siempre en su momento puede usar mas)

-Damos click al botón Save

-Vamos a la pestaña General. Activamos:

• Enable Squid Proxy
• Keep Settings/Data
• Allow Users on interface

-Seguimos activando opciones:

• Transparent HTTP Proxy

-Seguimos activando opciones:

• Enable Access Logging
• Rotate Logs: 10 (cantidad de días a los que se rota el log)
• Error Language: es (idioma en que se mostraran los errores de paginas) 

-Mas opciones. Al terminar damos click al botón Save

• Visible Hostname (nombre del equipo mostrado en errores de paginas)
• Administrator's Email: email del administrador de squid proxy
• Suppress Squid Version (recomendable por motivos de seguridad, no le facilitemos a alguien que nos quiera atacar saber que versión usamos)

-A partir de este momento ya se esta ejecutando pfsense transparent squid proxy. En la esquina superior derecha veremos una serie de iconos que nos permiten, reiniciar el servicio, pararlo, etc

Verificamos Squid Proxy

-Si damos click al icono de servicios veremos el listado de servicios ejecutándose en pfsense firewall, todos, no solo el de squid

-Devolviendonos al menu de Squid proxy damos click a la pestaña Real Time y allí veremos los logs en tiempo real

Configuramos Squid Transparent proxy https

-Otra posibilidad útil es poder filtrar también las paginas web seguras (ahora que se esta haciendo lo posible porque todas sean con https). Vamos al menu System - Cert Manager

-En la pagina que nos aparece de la pestaña CAs damos click al botón +Add

-Modificamos los siguientes campos. Al terminar damos click al botón Save

• Descriptive name: Nombre descriptivo, cualquiera
• Method: Create an internal Certificate Authority
• Key length (bits): 2048
• Digest Algorithm: sha256
• Lifetime (days): 3650 (vigencia en días)
• Country Code: CO (en mi caso CO es Colombia)
• State or Province: Distrito capital (Estado o provincia)
• City: Bogota (Ciudad)
• Organization: Empresa u organización
• Email Address: email del administrador

-Ya tenemos creado un CA para Squid Proxy

-Nos devolvemos al menu de squid proxy y en la pestaña General modificamos. Al terminar damos click al botón Save

• Enable SSL Filtering
• CA: elegimos el CA que acabamos de crear

Activamos antivirus Clamav en pfSense Squid Proxy

-Una opcion mas que util, utilizar antivirus en nuestro squid proxy. Modificamos las siguientes opciones

• Enable Squid antivirus check using ClamAV
• Damos click al botón Update AV (actualizamos firmas de virus)

-Mas opciones a modificar. Al terminar damos click al botón Save

• Exclude Audio/Video Stream (los paranoicos lo activaran, yo no lo creo necesario)
• ClamAV Database Update: (cada cuanto verificara si hay nuevas firmas de virus por descargar)
• Regional ClamAV Database Update Mirror: United States (escoge el mas cercano, sera de donde se descargaran las firmas de virus)

Se por experiencia que los primeros días serán difíciles porque estarás monitoreando y ajustando la configuracion de tu proxy transparent (con muchos usuarios quejándose). Pero vale la pena ya que optimizaras el uso del ancho de banda. Ya usas squid proxy? en modo transparent o con puerto? en que servidor lo usas, Linux Ubuntu server, acaso en Linux Centos?.

Quieres apoyarme? El conocimiento es gratis pero...igual tengo gastos. Puedes donarme dinero por medio de PayPal.

Donar 5 USD 

Donar 10 USD 

Donar 25 USD

Aun tienes dudas y quieres preguntarme algo que por email no crees posible? ahora puedes agendar una cita virtual conmigo (por medio de hangout de google), haz click aquí para agendar cita conmigo. Bien, hazme un favor, compártelo en tus redes sociales (compartir es sexy). Escríbeme en los comentarios aquí debajo y pasa la voz compartiendo el tweet.

Como instalar y configurar #pfSense #Squid Transparent #Proxy ~ videoJuegos y Open Source https://t.co/F6e6zXE36D pic.twitter.com/avtQyW9kUA

— Manuel Cabrera C (@drivemeca) May 28, 2016

Sígueme en twitter , google+, facebook o email y podrás estar enterado de todas mis publicaciones.

Disfrútenlo.

Como actualizar pfSense paso a paso

Los firewalls (cortafuegos) también se desactualizan, también necesitan de mantenimientos, de que los administremos. El que sean una especie de caja negra (y a veces su aspecto exterior se asemeja bastante) no quiere decir que sean olvidados. Hoy mi articulo te llevara de la mano en como actualizar pfSense de versión.
Al momento de este articulo, la ultima versión liberada es la 2.3; aquí te mostrare como actualizar de la 2.2.6 a la nueva 2.3. Porque es importante actualizar, bueno, esta de mas decir que corregirás bugs (errores), cerraras huecos de seguridad y en este caso, cambiaras la interfaz web.
pfSense es ya un venerable software de firewall / router basado en freeBSD muy confiable y que por medio de módulos se puede expandir y sacarle mas el jugo. Comencemos con el articulo.

Requerimientos

• Conectividad a internet

Inicio de actualización de pfSense via interfaz web

Artículos recomendados: Instalando pfSense paso a paso sin morir en el intento
                                         Como configurar OpenVPN en pfSense paso a paso

-Abrimos un browser y navegamos a la URL de nuestro pfSense ingresando como administrador. En su dashboard web veremos el aviso de que hay una actualización disponible (en el bloque de versión). Damos click en Click Here

-En la pantalla que aparece se nos dice de que numero de versión a cual nueva versión actualizaremos. Marcamos Perform full backup prior to upgrade (MUY recomendable ya que seria nuestro backup para devolvernos si algo no funciona bien después de actualizar) y damos click al botón Invoke Auto Upgrade

-Comienza la descarga del nuevo firmware, hora de ir por un café ;-)

-Terminada la descarga comenzara la actualización y se nos alerta de que se reiniciara el equipo al terminar

-Algo que seria bueno mejorar es una barra de estado para saber si esta o no actualizándose. Si probamos a entrar al dashboard o refrescamos la ventana nos dira que esta trabajando pero...nada mas

-Al cabo de un rato, se reinicia el equipo y si probamos a entrar al dashboard, vemos que cambio el inicio web

-Al igual que su dashboard

Con esto ya queda actualizado nuestro firewall / router pfSense. Nada complicado cierto? Ya actualizaste, como te fue, escríbeme en los comentarios aquí debajo y pasa la voz compartiendo el tweet.

Como actualizar #pfSense paso a paso ~ videoJuegos y Open Source https://t.co/2Ji3y3tAUW pic.twitter.com/0MUdppmv7e

— Manuel Cabrera C (@drivemeca) April 26, 2016

Sígueme en twitter , google+, facebook o email y podrás estar enterado de todas mis publicaciones.

Disfrútenlo.

Como graficar conexiones en pfSense con ntop

Uno de los equipos mas usados sea en tu casa u oficina, es el firewall, este te mantiene seguro a la vez que puede hacer otras tareas para justificar el tener un equipo para esto. En artículos anteriores he mostrado el uso de pfSense y hoy les enseñare como graficar conexiones por medio de ntop.

Cuando hablamos de conexiones nos referimos a entrantes y salientes, ya sea por la WAN (interfaz conectada a Internet) o por la LAN (interfaz conectada a la red local).

ntop es una gran herramienta que te permite generar gráficos del trafico por tus interfaces o tarjetas de red, este trafico lo divide en protocolos (ftp, smtp, web, imap, ssh, etc), paises origen/destino, equipos, etc dándote la posibilidad de por ejemplo ver quien esta consumiendo mas ancho de banda en tu LAN, interesante cierto?

Comencemos entonces conectándonos con el usuario admin a la interfaz web del pfSense

-Entramos al menu System - Packages

-Bajamos en el listado hasta encontrar ntop y le damos click al botón de instalación.

-Comienza la instalación para lo cual pfSense descarga varios paquetes y los instala.

-Ya instalado entramos a la opción del ntop en el menu Diagnostics - ntop

-Antes de poder entrar, la primera vez debemos colocarle contraseña a la cuenta admin (de ntop), marcar las interfaces que queremos monitorear (en este caso WAN y LAN), darle click al botón Change y por ultimo ingresar a ntop desde la pestaña Access ntop.

-Ya dentro de ntop, desaparece el menú de pfSense y veremos opciones para ntop, por default la primera pantalla es de solo información de trafico en las interfaces WAN y LAN.

-Un ejemplo de como podemos ver las conexiones con trafico desde hosts (servidores o equipos) remotos, es decir, desde Internet hacia pfSense .

Es util no estar ciego a la hora de preguntarnos en que gastamos el trafico por el que pagamos. Monitoreas tu ancho de banda, que herramienta usas?
Si te resulto útil este articulo, se social, compártelo con otros por medio de los botones o sígueme en twitter , google+ o email y podrás estar enterado de todas mis publicaciones.

Disfrútenlo.

Como actualizar Pfsense 2.0.1 paso a paso

Comenzamos el año 2013 después de unas vacaciones y nos ponemos al día en lo que a software respecta viendo que pfsense lanzo una actualización, por lo cual hoy les mostrare como pasar de la versión 2.0.1 a la 2.0.2. En un articulo anterior les mostré como instalarlo. Además de otros artículos sobre configuraciones de agregados de este excelente firewall que pueden buscar en este mi blog.

-Nos conectamos a su interfaz web como admin y vemos que nos alerta sobre una actualización en el bloque System Information.

-Damos click en Click here en System Information.

-Se nos muestra que pasaremos de la versión 2.0.1 a la 2.0.2. Damos click al botón Invoke Auto Upgrade.

-Comienza la descarga del nuevo firmware, hora de ir por un café ;-)

-Ya comenzada la instalación se nos alerta que al terminar se reiniciara el equipo dejándonos sin internet por unos segundos.

-Como el reinicio es tan rapido y no cambia la pagina, damos click a Sense en la esquina superior izquierda para ir a la pagina de inicio. Allí nos dice que se hizo la actualización pero que aun esta descargando paquetes y no debemos hacer cambios hasta que termine.

-Si nos vamos al menú System - Firmware - Auto update, vemos lo mismo. Debemos esperar unos minutos mas a que termine.

-Al cabo de unos minutos si vamos a la pagina de inicio ya veremos que termino y ya estamos en la versión 2.0.3. Verificamos que todo este funcionando en nuestra LAN.

Si te resulto útil este articulo, se social, compártelo con otros por medio de los botones.

Disfrútenlo.

Como bloquear dropbox con pfsense

Los discos virtuales o en el cloud se han hecho populares, ya hoy en dia uno puede almacenar casi cualquier cosa y una opción muy popular es Dropbox, no tengo nada en contra del servicio, solo que a veces se puede volver un problema al consumir el ancho de banda de nuestra LAN o volverse un problema de seguridad al ser mal usado por usuarios.

Por ello hoy les mostrare como bloquearlo con pfsense 2, el cual ya vimos en un articulo anterior como se instala. Este servicio, dropbox, usa el puerto 443 (https) por lo cual es casi imposible bloquearlo lo cual nos lleva a descartar sus rangos de ip's. Si después queremos permitir a solo algunos usuarios su uso, entonces debemos hacer otras reglas que lo permitan a esos usuarios y darle mas prioridad sobre la que crearemos bloqueándolo.

-Este es el grupo de ip's que usa Dropbox.

-Entramos a nuestro pfsense y nos vamos al menu Firewall - Aliases.

-Agregamos un aliases dando click al botón +

-Agregamos los 3 rangos ip versión 4.

-Aplicamos los cambios.

-Vamos al menu Firewall - Rules.

-Creamos una regla que haga Block de los paquetes que vengan de esas ip's.

-Guardamos y aplicamos el cambio. Con esto los usuarios que intente sincronizar su Dropbox no lo lograran, al nosotros descartar los paquetes que vengan de las ip's de listadas en el aliases.

Si te resulto útil este articulo, se social, compártelo con otros por medio de los botones.

Disfrútenlo.