He estado trabajando con OpnSense y Squid para llevar a cabo filtrado en la navegacion, me ha llevado un tiempo la curva de aprendizaje, para el modo Proxy Transparente ahora si es necesario instalar el CA en cada cliente lo cual muchos sabemos, se complica para los equipos moviles.
Despues de llevar a cabo esto, puedo descargar mi Blacklist de UT1 la cual para los que trabajamos con Squid+Squiguard, es una BD sorteada por categorias que podemos usar para ya sea permitir o negar acceso a lo sitios que forman la categoria seleccionada.
Hasta aqui todo bien, pero despues de trabajar con Pfsense, donde uno podia definir grupos de clientes y aplicar distintas politicas de acceso, como podemos hacer lo mismo o similar pero con OpnSense?
No es tan sencillo, OpnSense tiene otro enfoque, de inicio Squidguard no existe, 2do el modo transparente full no existe.
Mi version de Opnsense.
Plugin OPNProxy
Aqui viene la manera como lo maneja OpnSense, ha habido varios plugins para poder administrar los famosos ACLs que maneja Squid, este mecanismo es la fuerza de Squid, aqui es donde configuramos nuestras politicas de acceso a Internet.
El plugin de alguna manera trata de hacer lo que hace SquidGuard, para manejo de los ACL’s. Es algo muy similar a lo que hicieron con el “Unbound DNS” y la seccion del Blacklist, que lo integraron directo en el servicio, cuando Pfsense por ejemplo lo hace atraves de PfblockerNG.
Aun no logro entender por completo este plugin, pero hay algo que me llama mucho la atencion, hace uso del servicio del servidor Redis, y aqui viene la parte mas pesada de esto, el uso intensivo de CPU y RAM, vean al siguiente imagen cuando aplique un solo cambio simple y este es mi laboratorio, no es un sistema en produccion.
Es algo que me llama mucho la atencion, no es para cualquier equipo, el hw donde estoy ejecutando OpnSense tiene estas caracteristicas:
- CPU J Celeron 1900 4 Nucleos
- 8GB RAM
- Disco Duro M2
- 4 Interfaces de Red Intel 1G.
Ahora Redis es una app que si requiere mucha RAM, de ahi su agilidad pero hay un penalizacion ya que el impacto lo va a resentir el equipo cuando instalen y configuren el plugin.
En un momento me descuide y ya estaba usando swap memory, que esto indica que mi equipo estaba ya consumiendo mas RAM de la que tiene instalado.
Y otro detalle mas, es que aplicar un cambio, como pueden observar lleva su tiempo de procesamiento y el uso de RAM, luego regresa a la normalidad, pero ahi que esperar un tiempo que se aplique.
Otro detalle, con el plugin, ya no es necesario descargar la BD de UT1 que hacemos en la seccion de “Remote Access Control List“, el plugin se basa en esta BD asi que ya la trae, de ahi saca sus categorias, asi que podemos eliminar esa seccion del Squid.
De Fabrica Todo Bloquea
Les quiero mencionar que una vez que lo instalan, todo se bloquea, aunque su proxy haya estado operando correctamente, cuidado con esto.
Resumen
Seguire trabajando con este plugin para entederlo bien, pero no creo que cambie mucho lo anterior sobre el uso intenso de RAM y CPU. Pero con 4GB de RAM estaran al limite de RAM y se usara SWAP denlo por echo, y aun falta verlo operar en una red con 100 usuarios, saludos.
