Quản trị mạng doanh nghiệp

 Chặn Website bằng Blacklist trên Pfsense

03.05.19 11:03 AM Bình luận Đăng bởi PQ

1. Khái niệm và yêu cầu chuẩn bị

  1.1. Khái niệm

    Pfsense là một ứng dụng miễn phí, mã nguồn mở được chỉnh sửa từ bản phân phối FreeBSD; nó có tính năng như một router, một firewall quản lý và cấu hình trên giao diện Web thân thiện. Thêm vào đó, nó còn cung cấp các gói để mở rộng thêm tính năng cho người sử dụng có nhiều tùy chọn trong quá trình sử dụng mà dung lượng tăng lên không đáng kể.

Trong bài viết này, chúng tôi sẽ hướng dẫn các bạn cấu hình một Proxy server sử dụng PfSense để chặn truy cập vào một số website có sử dụng HTTPS (HTTP + SSL) như Facebook, YouTube, Dantri... Dưới đây là phần hướng dẫn chi tiết.

 1.2. Yêu cầu chuẩn bị

Một máy Pfsense

Một máy Windows 10 đã vào mạng thông qua Pfsense

2. Nội dung công việc cần thực hiện

Chặn truy cập một số trang Web như: Facebook...

3. Các bước tiến hành

  3.1 Tạo CA

Như chúng ta đã biết, HTTPS sử dụng CA để xác thực. Chúng ta tạo CA internal này và cài lên các máy mà Firewall quản lý.

Thao tác như sau: System > Cert. Manager


Chọn CAs > New


Điền tên cho CA và chọn Method: Create an internal Certificate Authority, sau đó điền đầy đủ thông tin của bạn vào các trường.


Nhấp vào biểu tượng hình sao (Export CA) để tải CA về và copy vào các máy client.


  3.2 Cài đặt gói Squid và SquidGuard

Trong phần này, chúng ta sẽ cài đặt gói squid - một Proxy Server khá nổi tiếng. Thao tác như sau:

*Chúng ta vào System > Package Manage


*Tìm kiếm gói cài đặt:

Chọn tab Available Package, gõ squid vào ô tìm kiếm và bấm Search


*Cài đặt 2 gói squid và squidGuard

Chúng cài đặt lần lượt 2 gói squidvà squidGuard bằng cách bấm vào nút + Install. Trong hình, chúng tôi cài mẫu gói squid.

Bấm Confirmđể xác nhận cho việc cài đặt.


  3.3 Cấu hình Squid

*Tiếp đến, chúng ta sẽ cấu hình cơ bản cho squid - Proxy Server.

Mở phần cấu hình của squid

Trên Menu, chúng ta chọn Services > Squid Proxy Server


* Cấu hình squid

Chọn tab Gerenal, tích vào ô "Check to enable the Squid proxy."


Cấu hình "Transparent Proxy Settings", tùy chọn này cho phép tất cả các luồng traffic từ client sẽ qua cổng 80 thay vì 3218 mặc định. Vì vậy, không phải khai báo cấu hình trên Client.


Bật tính năng SSL Man In the Middle Filtering và chọn CA


Bật tính năng ghi Log và cấu hình log xoay vòng trong 7 ngày.


Lưu lại thông tin và cấu hình


*Kích hoạt squidGuard

Tích vào tùy chọn và bấm vào Apply.


squidGuard đã được kích hoạt.


Cấu hình thêm về squidGuard ghi log


Bấm SAVE để lưu lại.


4. Hướng dẫn thêm CA lên máy client

 4.1 Cài CA lên máy


Bấm vào Install Certificate...


Một cửa sổ chào mừng xuất hiện. Bấm Next để tiếp tục


Chọn Place all certificates in the following store, bấm vào Browse...


Chọn thư mục Trust Root Certificate Authorities


Bấm Next để tiếp tục


Bấm Finish để hoàn tất quá trình.


Bấm Yes để xác nhận cảnh báo.


Thông báo thêm thành công CA. Bấm OK và OK để thoát.


  4.2 Cài CA vào Firefox

Khởi động Firefox, Menu > Options (tuỳ chọn)


Tìm kiếm từ khóa ca và kéo xuống phần Certificates (Chứng chỉ) và bấm vào View Certificate (Xem chứng chỉ)


Chọn tab Authorities (Nhà thẩm định), bấm vào Import... (Nhập)


Chọn file CA đã tải

Đánh dấu các tùy chọn 


5. Kiểm tra

*Khi truy cập vào facebook.com


*Khi truy cập vào youtube.com


-----&-----&-----

6. Video hướng dẫn


Chia sẻ -