Ghichep-pfsense/Cau-hinh-chan-website- At Master

Trang chủ » Cài đặt Proxy Pfsense » Ghichep-pfsense/Cau-hinh-chan-website- At Master

Có thể bạn quan tâm

Skip to content Dismiss alert {{ message }} / ghichep-pfsense Public
  • Notifications You must be signed in to change notification settings
  • Fork 4
  • Star 4
  • Code
  • Issues
  • Pull requests
  • Actions
  • Projects
  • Security
  • Insights
Additional navigation options

Files

 master

Breadcrumbs

  1. ghichep-pfsense
  2. docs
Cau-hinh-chan-website-squidguard.mdBlameBlame

Latest commit

 

History

History215 lines (112 loc) · 6.42 KB master
  1. ghichep-pfsense
  2. docs
Cau-hinh-chan-website-squidguard.mdTop

File metadata and controls

  • Preview
  • Code
  • Blame
215 lines (112 loc) · 6.42 KBRaw

Hướng dẫn Cấu hình chặn truy cập HTTP/HTTPS trong pfSense

Menu

  • 1. Giới thiệu
  • 2. Các bước tiến hành
    • 2.1 Tạo CA
    • 2.2 Cài đặt gói Squid và SquidGuard
    • 2.3 Cấu hình Squid
    • 2.4 Cấu hình SquidGuard
  • 3. Kiểm tra
  • 4. Tham khảo
  • Bonus: Cấu hình chặn HTTPS không cần cài CA

1. Giới thiệu

pfSense® là một ứng dụng miễn phí, mã nguồn mở được chỉnh sửa từ bản phân phối FreeBSD; nó có tính năng như một router, một firewall quản lý và cấu hình trên giao diện Web thân thiện. Thêm vào đó, nó còn cung cấp các gói để mở rộng thêm tính năng cho người sử dụng có nhiều tùy chọn trong quá trình sử dụng mà dung lượng tăng lên không đáng kể.

Trong bài viết này, chúng tôi sẽ hướng dẫn các bạn cấu hình một Proxy server sử dụng pfSense để chặn truy cập vào một số website có sử dụng HTTPS (HTTP + SSL) như Facebook, YouTube,... Dưới đây là phần hướng dẫn chi tiết.

2. Các bước tiến hành

2.1 Tạo CA

Như chúng ta đã biết, HTTPS sử dụng CA để xác thực. Chúng ta tạo CA internal này và cài lên các máy mà Firewall quản lý.

Thao tác như sau: System > Cert. Manager

Chọn CAs > New

Điền tên cho CA và chọn Method: Create an internal Certificate Authority, sau đó điền đầy đủ thông tin của bạn vào các trường.

Nhấn vào SAVE để lưu lại.

Thông tin của CA mới được hiển thị.

Nhấp vào biểu tượng hình sao (Export CA) để tải CA về và copy vào các máy client.

2.2 Cài đặt gói Squid và SquidGuard

Trong phần này, chúng ta sẽ cài đặt gói squid - một Proxy Server khá nổi tiếng. Thao tác như sau:

  • Bước 1: Chúng ta vào System > Package Manager
  • Bước 2: Tìm kiếm gói cài đặt

Chọn tab Available Package, gõ squid vào ô tìm kiếm và bấm Search

  • Bước 3: Cài đặt 2 gói squid và squidGuard

    • Chúng cài đặt lần lượt 2 gói squid và squidGuard bằng cách bấm vào nút + Install. Trong hình, chúng tôi cài mẫu gói squid.

    • Bấm Confirm để xác nhận cho việc cài đặt.

    • Chờ vài phút, squid đã cài xong.
    • Tương tự, chúng ta tìm kiếm và xác nhận cài đặt gói squidGuard.

Chúng ta chuyển sang bước tiếp theo để cấu hình squid.

2.3 Cấu hình squid

Tiếp đến, chúng ta sẽ cấu hình cơ bản cho squid - Proxy Server.

  • Bước 1: Mở phần cấu hình của squid

    Trên Menu, chúng ta chọn Services > Squid Proxy Server

  • Bước 2: Cấu hình Local Cache

    Chọn tab Local Cache. Tại đây, chúng ta có thể chỉnh dung lượng lưu trữ cho cache, không lưu trữ cache từ IP nào,... Tuy nhiên, chúng tôi sẽ sử dụng những thông số mặc định. Kéo xuống dưới và chọn SAVE.

  • Bước 3: Cấu hình squid

    • Kích hoạt squid

    Chọn tab Gerenal, tích vào ô "Check to enable the Squid proxy."

    • Cấu hình "Transparent Proxy Settings", tùy chọn này cho phép tất cả các luồng traffic từ client sẽ qua cổng 80 thay vì 3218 mặc định. Vì vậy, không phải khai báo cấu hình trên Client.
    • Bật tính năng SSL Man In the Middle Filtering và chọn CA mới tạo ở Bước 1.
    • Không kiểm tra Certificate từ phía client.
    • Bật tính năng ghi Log và cấu hình log xoay vòng trong 7 ngày.
    • Lưu lại thông tin và cấu hình

2.4 Cấu hình squidGuard

Sau khi hoàn thành phần cấu hình squid, chúng ta sẽ cấu hình squidGuard để xác định những danh sách những địa chỉ nào được phép, địa chỉ nào bị cấm truy cập.

  • Bước 1: Tạo danh sách các website bị cấm truy cập

    Chọn tab Target categories > Add

    Đặt tên cho Category và liệt kê các domain bị chặn. Trong ví dụ này, chúng tôi chặn 2 domain là facebook.com và youtube.com.

    Cuộn chuột xuống bên dưới tích vào tùy chọn ghi lại Log.

  • Bước 2: Áp dụng Deny cho category

    Chọn tab Common ACL và áp dụng chính sách Deny

    Bật tùy chọn ghi log và lưu lại cấu hình.

  • Bước 3: Kích hoạt squidGuard

    Tích vào tùy chọn và bấm vào Apply.

    Lưu ý: Mỗi khi có thay đổi ở phần Target categories, chúng ta phải bấm vào nút Apply để áp dụng những thay đổi.

    squidGuard đã được kích hoạt.

  • Bước 4: Cấu hình thêm về squidGuard ghi log

    Bấm SAVE để lưu lại.

3. Kiểm tra

  • Khi truy cập vào facebook.com
  • Khi truy cập vào youtube.com
  • Khi truy cập vào google.com

Bonus:

  • Chọn SSL/MITM Mode: http://prntscr.com/iici4h
  • Chọn CA: http://prntscr.com/iicihs
You can’t perform that action at this time.

Từ khóa » Cài đặt Proxy Pfsense