Ir para o conteúdo

Capítulo 31 – Configuração Inicial do Squid Web Proxy

Introdução

O Squid Web Proxy é um componente clássico para controle e observabilidade do tráfego HTTP/HTTPS em redes corporativas. No OPNsense, o Squid pode operar como forward proxy, registrando acessos, aplicando políticas e, quando combinado com outros recursos, viabilizando autenticação, cache e relatórios. Este capítulo apresenta a configuração inicial e mínima para colocar o serviço no ar, validar conectividade e confirmar o registro de acessos em log.

Visão Geral do Processo

A configuração básica segue estas etapas:

  1. Atualizar o firewall e instalar os plugins necessários.
  2. Selecionar as interfaces nas quais o proxy aceitará conexões de clientes (incluindo Loopback).
  3. Habilitar o serviço do Squid.
  4. Criar regra(s) de firewall para permitir que os clientes alcancem o proxy (porta 3128/TCP).
  5. Testar no cliente (proxy manual) e verificar os logs de acesso no OPNsense.

Cenário e Pré-requisitos

  • OPNsense atualizado.
  • Estações de trabalho na rede local para validar o funcionamento do proxy.
  • Planejamento de quais interfaces (LAN, VLANs, Wi-Fi, DMZ interna) irão usar o proxy.

Sobre autenticação SSO

A instalação do plugin os-web-proxy-sso prepara o ambiente para cenários com autenticação integrada (SSO). Este capítulo foca a ativação do proxy sem autenticação. A integração SSO será adicionada posteriormente.

Procedimento

1) Atualizar o firewall e instalar plugins

  1. Acesse System → Firmware → Status e aplique Updates pendentes.

  2. Acesse System → Firmware → Plugins e instale:

    • os-squid (principal).
    • os-web-proxy-sso (opcional, para integrações futuras).

  3. Após concluir, recarregue a página (F5) para exibir os novos menus do Squid.

2) Selecionar as interfaces do proxy (incluindo Loopback)

  1. Vá em Services → Squid Web Proxy → Administration, aba Forward Proxy.
  2. Em Proxy Interfaces, selecione as interfaces onde o proxy aceitará conexões e selecione também a interface Loopback.
  3. Clique em Apply para salvar.

Por que selecionar Loopback?

A interface Loopback auxilia integrações e recursos internos do Squid/OPNsense, evitando problemas em cenários de autenticação e DNAT/ICAP.

3) Habilitar o serviço do Squid

  1. Acesse Services → Squid Web Proxy → Administration.
  2. Marque a opção advanced mode.
  3. Marque Enable Proxy.
  4. Altere o Access log target como Syslog.
  5. Clique em Apply para iniciar o serviço.

Porta padrão (3128/TCP)

O Squid escuta, por padrão, na porta 3128/TCP. Caso altere a porta, lembre-se de ajustar as regras de firewall e a configuração dos clientes.

4) Criar regras de firewall para permitir acesso ao proxy

Para cada interface em que o proxy foi habilitado:

  1. Acesse Firewall → Rules → [Interface] (ex.: LAN).

  2. Adicione uma regra conforme abaixo:

    Action Pass
    Protocol TCP
    Source Any
    Destination This firewall
    Destination Port 3128
    Log desmarcar

Ordem das regras

Posicione a regra do proxy acima de bloqueios genéricos na interface. Regras anteriores podem impedir que os clientes alcancem a porta 3128 do firewall.

5) Testar em uma estação (proxy manual) e validar logs

No cliente (Windows):

  • Firefox:

    • Menu “hambúrguer” → Configurações → pesquise ProxyConfigurações…
    • Configure o proxy manual com Endereço = IP do firewall / Porta = 3128
    • Marque a opção Também usar este proxy para HTTPS e aplique.

  • Edge/Chrome (via Internet Options):

    • Iniciar → digite inetcpl.cpl → Enter → guia ConexõesConfigurações da LAN → marque Servidor proxy e informe IP/porta do firewall (3128).

Navegue em alguns sites e, em seguida, retorne ao OPNsense:

  • Acesse Services → Squid Web Proxy → Access Log.
  • Verifique se as requisições aparecem no log (endereço IP da estação, URL, resultado).

Validação concluída

Se o tráfego aparece no Access Log, o proxy está operacional e recebendo conexões dos clientes.

Boas Práticas e Recomendações

  • Planeje a adoção: valide o proxy inicialmente com um grupo piloto antes de expandir para toda a rede.
  • Autenticação: considere integrar SSO (plugin os-web-proxy-sso) ou autenticação por grupos do AD para políticas por usuário.
  • Relatórios: avalie o uso de ferramentas como SARG ou integrações com ELK/Graylog para análises e retenção ampliada.
  • HTTPS/Interceptações: a interceptação TLS demanda certificação interna e aceitação nos clientes; planeje conforme requisitos legais e de privacidade.
  • Desempenho: monitore CPU/RAM/IO do firewall e ajuste cache e conexões máximas conforme o perfil de tráfego.
  • Firewall: mantenha a porta 3128/TCP acessível apenas nas interfaces necessárias; evite exposição indevida em WAN.

Conclusão

A configuração inicial do Squid Web Proxy no OPNsense é direta: instalar, selecionar interfaces (incluindo Loopback), habilitar o serviço, liberar a porta 3128/TCP e validar os acessos via Access Log. A partir desse ponto, evolua conforme as necessidades do ambiente: autenticação, relatórios, controle de categorias e, se aplicável, políticas de segurança avançadas.