Pfsense 2.15 Squid + Lightsquid + Ipcad |
30.10.14 10:34 |
Настройка pfSense (интернет шлюз)
Любую Linux систему, после установки необходимо немного (а иногда и значительно) донастроить под свои нужны. Интернет-шлюз на основе pfSense не является исключением. Хотя сразу после установки и производится основная настройка шлюза, тем не менее для более функциональной работы (точный подсчёт входящего трафика, блокировка нежелаемого контента, переброс портов и т.д.) потребуется приложить ещё немного усилий. Будем считать, что pfSense уже установлен на нашем шлюзе и проведена первичная настройка Теперь, чтобы шлюз полностью оправдывал своё назначение желательно добавить проксисервер для сбора кэша и уменьшения web трафика, а так же хороший инструмент анализа данных трафика (разумеется мы желаем знать любимые злачные места пользователей дабы пресечь напрасную трату рабочего времени :) Для наших целей будем использовать связку Squid + Lightsquid. Установка Squid + LightsquidУстанавливаются из набора пакетов. Переходим в раздел System -> Packages, открываем вкладку Available Packages Устанавливаем squid (Stable 2.7.9 pkg v.4.3.3) и затем Lightsquid (RC1 1.8.2 pkg v.2.33) Настраиваем squid: Переходим в раздел Service-> Proxy server и проверяем значения
Настраиваем Lightsquid: Status – Proxy Report, вкладка Settings
Жмем кнопку Save, а потом RefreshFull Статистика станет доступна на вкладке Lightsquid Report (по адресу: https://192.168.1.1/lightsquid/index.cgi ) Таким образом мы настроили сбор, обработку и документирование данных по трафику HTTP (80 порт). Но разумеется это не весь трафик, а зачастую лишь малая его часть. Помимо различных соединений файловыми хранилищами, почтовыми сервисами и интернет пейджерами (ICQ, Skype и т.д.) уже многие сайты переходят на работу по защищенному соединению HTTPS (443 порт). Разумеется благоразумно учитывать и эту часть трафика. Оптимальным для посчёта трафика по всем портам является IPCAD, который в свою очередь будет интегрировать свои данные в общий отчёт, формируемый в предыдущем пункте. Установка ipcadДля дальнейшей работы потребуется открыть к pfSense доступ по SSH. Для этого заходим в WEB-интерфейс в раздел System -> Advanced и устанавливаем галочку в пункте "Enable Secure Shell", после чего сохраняем конфигурацию. Теперь воспользуемся для доступа к шлюзу по SSH программой WinSCP (с помощью неё мы одновременно получим доступ и к командной строке шлюзе и к его файловой системе). Для подключения вводим IP шлюза. После установки соединения принимаем новый сертификат безопасности и вводим логин root и пароль. Скачиваем и закачиваем в файловую систему шлюза в каталог /usr/bin и задаём ему права 0555. Данный файл потребуется для импорта статистики ipcad в общий отчёт. После этого в WinSCP открываем кансоль (Commands - Open Terminal) и устанавливаем необходимый для работы пакет:
и после этого устанавливаем собственно ipcad:
Конфигурирование ipcad.Переходим в каталог /usr/local/etc и переименовываем файла ipcad.conf.default в ipcad.conf - это файл конфигурации. Редактируем ipcad.conf:
Здесь em1 - имя LAN интерфейса - то, что вы видите в GUI вашего pfSense (Status - Interfaces). Соответственно, 192.168.1.0/24 - наша LAN подсеть. 80 - порт, с которого пользователи получают http-трафик в случае прозрачного поркси - 80 (если непрозрачного прокси - значение Proxy port в Services - Proxy server - General GUI pfSense (по умолчанию - 3128). Эта строка предписывает ipcad собирать статистику пакетов попадающих в локальную сеть извне (из интернет) на LAN-интерфейсе. При этом в статистику не должны попадать пакеты от squid т.к. он сам отразит их статистику в своем логе.
Таким образом прописываем нашу локальную подсеть и устанавливаем опцию strip в значение 32 - мы хотим знать все о каждом локальном IP. То же относится и к подсети 0.0.0.0/0 - хотим видеть каждый внешний IP.
В каталоге /var/log pfSense создаем подкаталог ipcad. В нем будут лежать ipcad.dump и ipcad.pid (их создавать не надо). Перенос статистики ipcad в лог squid: В каталоге /root pfSense создаем файл tolog.sh с првами 0755 и следующим содержимым:
Сверяемся с нашими значениями net подсети (192.168.1 в нвшем случае) и место хранения логов squid (в нашем случае /var/squid/logs/). Подсмотреть этот путь можно в поле Log store directory (Services - Proxy server - General) GUI pfSense. Запуск ipcad и выгрузка логов: Открываем для редактирования файл /cf/conf/config.xml. В самом начале, перед закрывающим тэгом </system> добавляем строчку:
Это запуск ipcad при старте системы. Далее, ближе к концу файла находим конец секции </cron> и вставляем перед ним следующее:
Это поминутный сброс статистики ipcad в лог squid. Сохраняем и закрываем config.xml, удаляем файл /tmp/config.cache. В общем-то это - все, перезагружаем pfSense! В итоге получим нечто подобное:
источник: http://www.pontin.ru/technical/linux/pfsense/pfsense-config |
Последнее обновление 31.10.14 13:17 |