pfSense+Squid miaraka amin'ny sivana https + Teknolojia famantarana tokana (SSO) miaraka amin'ny sivana ataon'ny vondrona Active Directory
Latina fohy
Ny orinasa dia nila nampihatra mpizara proxy manana fahafahana hanivana ny fidirana amin'ny tranokala (anisan'izany ny https) ataon'ny vondrona avy amin'ny AD, mba tsy hampidiran'ireo mpampiasa tenimiafina fanampiny, ary azo atao ny fitantanana avy amin'ny interface Internet. Tsy fampiharana ratsy, sa tsy izany?
Ny valiny marina dia ny mividy vahaolana toy ny Kerio Control na UserGate, fa toy ny mahazatra dia tsy misy vola, fa misy ilaina.
Eto no tonga nanavotra anay i Squid antitra tsara, fa indray, aiza no ahafahako mahazo ny interface web? SAMS2? Lany andro ara-moraly. Eto no tonga ny pfSense hamonjy.
famaritana
Ity lahatsoratra ity dia mamaritra ny fomba fanamboarana ny mpizara proxy Squid.
Kerberos dia hampiasaina hanomezana alalana ireo mpampiasa.
SquidGuard dia hampiasaina hanivana amin'ny vondrona sehatra.
Lightsquid, sqstat ary rafitra fanaraha-maso pfSense anatiny dia hampiasaina amin'ny fanaraha-maso.
Ho voavaha ihany koa ny olana mahazatra mifandraika amin'ny fampiharana ny teknolojia sonia tokana (SSO), izany hoe ireo rindranasa manandrana miditra amin'ny Internet eo ambanin'ny kaontin'ny kaontiny.
Miomana hametraka Squid
Ny pfSense dia hampiasaina ho fototra,
Ao anatin'izany no mandamina ny fanamarinana amin'ny firewall mihitsy amin'ny alΓ lan'ny kaonty domaine.
Tena zava-dehibe tokoa izany!
Alohan'ny hanombohanao mametraka Squid dia mila manamboatra ny mpizara DNS amin'ny pfsense ianao, manaova firaketana A sy PTR ho azy ao amin'ny mpizara DNS anay ary amboary ny NTP mba tsy hiova ny fotoana amin'ny fotoana amin'ny fanaraha-maso domain.
Ary ao amin'ny tambajotrao, omeo fahafahana miditra amin'ny Internet ny pfSense WAN interface, ary ho an'ireo mpampiasa ao amin'ny tambajotra eo an-toerana mba hifandray amin'ny interface LAN, ao anatin'izany ny port 7445 sy 3128 (raha ny ahy, 8080).
Efa vonona ny rehetra? Mifandray amin'ny LDAP ve ny sehatra mba hahazoana alalana amin'ny pfSense ary mifanaraka amin'ny fotoana ve? Mahafinaritra. Fotoana hanombohana ny dingana lehibe izao.
Fametrahana sy pre-configuration
Hametraka Squid, SquidGuard ary LightSquid avy amin'ny mpitantana fonosana pfSense ao amin'ny fizarana "System/Package Manager" izahay.
Rehefa vita ny fametrahana dia mandehana any amin'ny "Services / Squid Proxy server /" ary voalohany indrindra, ao amin'ny tabilao Cache eo an-toerana, amboary ny caching, napetrako amin'ny 0 ny zava-drehetra, satria Tsy mahita teboka firy amin'ny tranokala caching aho; ny navigateur dia mitantana izany tsara. Aorian'ny fametrahana dia tsindrio ny bokotra "Save" eo amin'ny farany ambany amin'ny efijery ary izany dia hanome antsika fahafahana hanao fanovana proxy fototra.
Ny toe-javatra lehibe dia toy izao manaraka izao:
Ny port default dia 3128, fa aleoko mampiasa 8080.
Ny mari-pamantarana voafantina ao amin'ny tabilao Proxy Interface dia mamaritra hoe iza amin'ireo interface tsara hohenoin'ny mpizara proxy. Koa satria ity firewall ity dia naorina amin'ny fomba mijery ny Internet amin'ny alΓ lan'ny interface WAN, na dia mety ho eo amin'ny subnet eo an-toerana ihany aza ny LAN sy WAN, dia manoro hevitra aho ny hampiasa ny LAN ho an'ny proxy.
Ilaina ny loopback mba hiasa ny sqstat.
Eto ambany ianao dia hahita ny Transparent proxy Settings, ary koa ny SSL Filter, saingy tsy mila azy ireo izahay, tsy mangarahara ny proxy-nay, ary amin'ny sivana https dia tsy hiatrika fanoloana taratasy fanamarinana izahay (na izany aza, manana fitantanana antontan-taratasy izahay. , mpanjifa amin'ny banky, sns.), Andeha hojerentsika fotsiny ny fifanomezan-tanana.
Amin'ity dingana ity dia mila mandeha any amin'ny mpitantana ny sehatra misy antsika isika, mamorona kaonty ao aminy ho an'ny fanamarinana (azonao ampiasaina ihany koa ilay namboarinao ho an'ny fanamarinana amin'ny pfSense). Ny antony tena manan-danja eto dia ny hoe raha mikasa ny hampiasa encryption AES128 na AES256 ianao dia jereo ny boaty mifanaraka amin'ny kaontinao.
Raha ala be pitsiny ny sehatra misy anao misy lahatahiry marobe na .local ny sehatra misy anao, dia METY fa tsy azo antoka fa tsy maintsy mampiasa tenimiafina tsotra ho an'ity kaonty ity ianao, fantatra ny bug, fa miaraka amina complexe. tenimiafina mety tsy mandeha tsotra izao, mila manamarina tranga manokana ianao.
Aorian'izany rehetra izany dia mamorona rakitra manan-danja ho an'ny Kerberos izahay, amin'ny fanaraha-maso ny sehatra, sokafy ny baikon'ny baiko miaraka amin'ny zon'ny mpitantana ary midira:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Raha manondro ny FQDN pfSense izahay, aza hadino ny manaja ilay raharaha, ao amin'ny parameter mapuser dia miditra amin'ny kaontin'ny sehatra sy ny tenimiafinay izahay, ary amin'ny crypto dia misafidy ny fomba fanafenana, nampiasa rc4 ho an'ny asa aho ary ao amin'ny saha -out izay nofidianay. halefantsika ny rakitra fanalahidy efa vita.
Rehefa vita ny famoronana ny rakitra manan-danja dia halefanay any amin'ny pfSense-nay, nampiasa Far ho an'ity aho, saingy azonao atao koa izany amin'ny alΓ lan'ny baiko, putty na amin'ny alΓ lan'ny pfSense web interface ao amin'ny fizarana "DiagnosticsCommand Line".
Ankehitriny isika dia afaka manova ny famoronana /etc/krb5.conf
izay /etc/krb5.keytab no rakitra fototra noforoninay.
Aza hadino ny manamarina ny fiasan'ny Kerberos amin'ny fampiasana kinit; raha tsy mandeha izany dia tsy misy dikany ny mamaky bebe kokoa.
Fametrahana ny Authentication Squid ary tsy misy lisitry ny fidirana amin'ny Authentication
Rehefa vita ny fanamboarana an'i Kerberos, dia ampifandraisinay amin'ny Squid izany.
Mba hanaovana izany, mankanesa any amin'ny ServicesSquid Proxy Server ary ao amin'ny sehatra lehibe, mandehana any amin'ny farany ambany, any no hahitantsika ny bokotra "Advanced Settings".
Ao amin'ny sehatra Custom Options (Before Auth), midira:
#Π₯Π΅Π»ΠΏΠ΅ΡΡ
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Π‘ΠΏΠΈΡΠΊΠΈ Π΄ΠΎΡΡΡΠΏΠ°
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΡ
http_access allow nonauth
http_access deny !auth
http_access allow authAIZA programa fifampiraharahana auth_param /usr/local/libexec/squid/negotiate_kerberos_auth - misafidy ny mpanampy fanamarinana Kerberos ilaintsika.
manan-danja -s misy dikany GSS_C_NO_NAME - mamaritra ny fampiasana ny kaonty rehetra avy amin'ny rakitra fototra.
manan-danja -k misy dikany /usr/local/etc/squid/squid.keytab - manapa-kevitra ny hampiasa ity rakitra keytab manokana ity. Raha ny ahy dia io ihany ilay fichier keytab novokarinay, izay nadikako tao amin'ny directory /usr/local/etc/squid/ ary novana anarana satria tsy te-hisakaiza amin'io directory io ilay angisy, toa tsy nananako. zo ampy.
manan-danja -t misy dikany -tsy misy - manafoana ny fangatahana cyclical amin'ny domain controller, izay mampihena be ny entana ao aminy raha manana mpampiasa mihoatra ny 50 ianao.
Mandritra ny fitsapana dia azonao atao koa ny manampy ny -d switch - izany hoe diagnostics, dia hisy logs bebe kokoa.
auth_param mifampiraharaha amin'ny ankizy 1000 - mamaritra hoe firy ny dingana fanomezan-dΓ lana azo atomboka
auth_param dia mifampiraharaha amin'ny keep_alive on - manakana ny fifandraisana tsy ho tapaka mandritra ny fandatsaham-bato ny rojom-pahefana
acl auth proxy_auth ILAINA β mamorona sy mitaky lisitry ny fanaraha-maso ny fidirana izay ahitana mpampiasa nahazo alalana
acl nonauth dstdomain "/etc/squid/nonauth.txt" β ampahafantarinay ny angisy momba ny lisitry ny fidirana tsy manana auth, izay misy sehatra alehan'ny olona rehetra avela hidirana foana. Mamorona ilay rakitra mihitsy izahay, ary ampidiro amin'ny endrika ireo sehatra ao anatiny
.whatsapp.com
.whatsapp.net
Ampiasaina ho ohatra ny Whatsapp noho ny antony iray - tena sarotiny amin'ny proxies fanamarinana ary tsy hiasa raha tsy avela alohan'ny fanamarinana.
http_access mamela ny nonauth - mamela ny fidirana amin'ity lisitra ity ho an'ny rehetra
http_access deny !auth - mandrara ny fidirana amin'ny tranokala hafa ho an'ny mpampiasa tsy nahazoana alalana
http_access mamela auth - mamela ny fidirana amin'ireo mpampiasa nahazo alalana.
Izay ilay izy, ny Squid mihitsy no configured, izao no fotoana hanombohana sivana amin'ny vondrona.
Fametrahana SquidGuard
Mandehana any amin'ny ServicesSquidGuard Proxy Filter.
Ao amin'ny LDAP Options dia ampidiro ny antsipirihan'ny kaontinay ampiasaina amin'ny fanamarinana Kerberos, saingy amin'ny endrika manaraka:
CN=pfsense,OU=service-accounts,DC=domain,DC=localRaha misy habaka na tarehin-tsoratra tsy latinina, ity fidirana manontolo ity dia tokony hofehezina amin'ny teny tokana na roa:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Manaraka izany, jereo tsara ireto boaty ireto:
Hanapaka ny DOMAINpfsense tsy ilaina .LOCAL izay tena saro-pady ny rafitra iray manontolo.
Andeha ho any amin'ny Vondrona Acl isika ary hamatotra ny vondrona fidirana amin'ny sehatra misy antsika, mampiasa anarana tsotra toy ny group_0, group_1, sns aho hatramin'ny 3, izay ny 3 dia midika hoe fidirana amin'ny lisitra fotsy fotsiny, ary ny 0 dia midika fa azo atao ny zava-drehetra.
Ireo vondrona dia mifandray toy izao manaraka izao:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))mamonjy ny vondronay izahay, mankanesa any amin'ny Times, any aho dia namorona banga iray izay midika fa hahomby foana izany, ankehitriny dia mandeha any amin'ny Target Categories izahay ary mamorona lisitra amin'ny fahamendrehanay, rehefa avy namorona ny lisitra dia miverina any amin'ny vondronay izahay ary ao anatin'ny vondrona dia mampiasa bokotra. mifidy izay afaka mandeha ho aiza ary iza no tsy afaka ho aiza .
LightSquid sy sqstat
Raha nandritra ny fizotran'ny setup dia nisafidy loopback tao amin'ny fikandrana angisy izahay ary nanokatra ny fahafahana miditra amin'ny 7445 ao amin'ny firewall na ao amin'ny tambazotrantsika sy amin'ny pfSense mihitsy, dia rehefa mandeha any amin'ny DiagnosticsSquid Proxy Reports isika dia afaka manokatra mora foana ny sqstat sy ny Lighsquid, ho an'ny farany dia mila Any ianao dia afaka tonga amin'ny fidirana sy ny tenimiafina, ary afaka misafidy ihany koa ny famolavolana.
vita
pfSense dia fitaovana mahery vaika afaka manao zavatra maro - ny fifamoivoizana proxy sy ny fanaraha-maso ny fidirana amin'ny mpampiasa amin'ny Internet dia voa fotsiny amin'ny fampiasa rehetra, na izany aza, ao amin'ny orinasa misy milina 500, dia namaha ny olana ary namela anay hamonjy. amin'ny fividianana proxy.
Manantena aho fa ity lahatsoratra ity dia hanampy olona hamaha olana iray izay tena ilaina amin'ny orinasa antonony sy lehibe.
Source: www.habr.com