Trong hướng dẫn này mình cấu hình Squid Proxy mode Transparent

1. Login vào pfSense cài package squid và squidGuard

Vào System > Package Manager

Chọn tab Available Packages

Search term: nhập từ khóa vào "squid" rồi bấm Search

Chọn package squid nhấn Install

Nhấn Confirm

Đợi quá trình cài đặt diễn ra, lưu ý trong quá trình cài đặt không được tắt trang web hoặc refresh

Tiếp tục cài squidGuard

2. Tạo Certificate Authority cho SSL Man In the Middle Filtering

Vào System > Cert. Manager

Tab CAs nhấn Add

Descriptive Name: đặt tên cho CA

Method: chọn Create an internal Certificate Authority

Country Code: chọn VN

CA sau khi đã tạo xong

3. Cấu hình Squid Proxy Server

Vào Services > Squid Proxy Server

Chọn tab Local Cache

Các thông số chúng ta để mặc định

Hard Disk Cache Size: chỉ định dung lượng disk để lưu cache

Chọn tab General

Enable Squid Proxy: tick chọn

Proxy Interface(s): chọn interface sẽ qua proxy

Transparent HTTP Proxy: check chọn

Transparent Proxy Interface(s): chọn interface đi qua proxy

HTTPS/SSL Interception: check chọn

SSL Intercept Interface(s): chọn interface đi qua proxy

CA: chọn CA đã tạo từ đầu

Rotate Logs: số ngày log sẽ được giữ lại

4. Cấu hình SquidGuard Proxy Filter

Vào Services > SquidGuard Proxy Filter

Qua tab Target categories > Add

Name: đặt tên cho rule

Domain List: nhập tên domain, ở đây mình muốn cấm truy cập facebook và youtube

Mình tạo thêm một rule cấm URL

Qua tab Common ACL

Bấm dấu + phần Target Rules List

Những rule nào muốn cấm thì chọn deny, rule cuối cùng sẽ allow

Hiện thông báo khi user truy cập vào những trang bị chặn

Qua tab General settings

Check Enable squidGuard

5. Cài CA cho user

Nếu chúng ta không cài CA thì khi truy cập vào những trang https thì sẽ bào lỗi Certificate Authority

Có hai cách cài CA, chúng ta export CA từ pfSense xuống rồi copy vào máy user cài (cách này không khả thi nếu có nhiều user). Cách thứ hai là deploy CA bằng GPO (mình sẽ hướng dẫn cách này)

Export CA

Vào System > Cert. Manager

Chọn CA lúc nãy chúng ta dùng cho Squid Proxy rồi export

Copy CA đã export bỏ vào AD

Login vào AD vào Server Manager > Tools > Group Policy Managerment

Click chuột phải vào OU (All Computer) chọn Create a GPO in this domain...

Name: đặt tên cho GPO

Chuột phải vào tên GPO vừa tạo chọn Edit

Vào Computer Configuration > Policies > Security Settings > Public Key Policies > Trusted Root Certification Authorities

Chuột phải chọn Import...

Next

Nhấn Browse... chọn đường dẫn lưu CA đã copy từ pfSense xuống

Trên computer áp GPO gõ lệnh gpupdate /force hoặc restart lại máy

Chúng ta vào thử trang facebook.com

Trang facebook đã bị chặn

Vào trang youtube.com

Trang này cũng bị chặn

Thử vào trang hsbc.com.vn

Chúng ta vào được bình thường, nhưng chúng ta thử bấm sang tab Cá nhân trên trang web

Đường link sẽ bị chặn

Tất cả các trang web còn lại chúng ta sẽ vào được bình thường