在pfSense、OPNsense防火墙上设置透明代理,客户端无需任何设置即可访问特定网站。pfSense、OPNsense实现透明代理有两种方法,一种方法通过tun2socks实现,请参阅pfSense、OPNsense配置tun2socks(socks透明代理);另一种是使用系统自带插件Squid来实现,本文将介绍配置Squid实现http透明代理的方法。
pfSense
安装Squid
导航到系统>插件管理 ,点击squid软件包右侧安装按钮进行安装。
添加证书
配置https透明代理需要验证防火墙CA。导航到系统>证书管理,添加一个CAs,如下图所示。
添加完成如下图所示:
配置Squid
导航到服务>Proxy Seriver,Local Cache选项卡,根据防火墙硬件配置设置好代理所需的本地缓存。如果没有缓存内容的需求,也可以直接禁用缓存,如下图所示。
(1)常规设置
转到General选项卡,按照下图配置常规选项。选中Allow Users on Interface选项,不用再设置ACL的接口子网。
(2)透明代理设置
选中透明HTTPS代理选项,接口选LAN,其他选项默认或留空。
(3)SSL过滤设置
选中SSL过滤选项,SSL/MITM模式选Splice All,其他选项客户端需导入CA。验证CA选中前面添加的CA,其他选项保持默认或参照下图进行设置。
(4)高级功能
打开显示高级功能,在自定义选项(认证前)栏里,输入以下内容:
never_direct allow all ssl_bump peek step2 ssl_bump peek step3
不添加该选项,youtube、reddit、google等网站可能将无法访问。
(5)上游代理设置
转到Remote Cache选项卡,添加上游代理信息(clash、sing-box、V2ray、Xray、trogan-go)。输入主机名地址,一般为127.0.0.1,输入上游代理的tcp端口。
设置完成,点击保存。
检查测试
点击右上角重启服务图标,重启squid服务。客户端禁用代理服务器设置,访问google、youtube等网站,检查透明代理设置是否正确。
OPNsense
从24.7开始,Web代理将不再集成在系统安装包中,需要另外在插件系统中进行安装。
安装squid
导航到系统>固件>插件,搜索os-squid并安装。
添加内部CA
https透明代理需要CA,导航到系统> 证书>颁发菜单,单击添加一个内部CA,输入各项信息,如下图所示:
启用Web代理
转到服务>Web代理>管理,选中启用代理选项。其他选项根据需要设置,尽量使用默认选项。
设置父代理
转到服务>Web代理>管理,单击代理常规设置下拉菜单,找到父代理设置,添加上游代理信息(clash、sing-box、V2ray、Xray、trogan-go)。输入主机名地址,一般为127.0.0.1,输入上游代理的tcp端口。
如果启用了zerotier服务,或者需要访问本地服务器,不需要通过代理访问,可以在本地IP域或本地IP中输入需要排除的项,如下图所示:
代理缓存设置
转到服务>Web代理>管理,单击代理常规设置下拉菜单,找到代理缓存设置。为了减少不可预知因素导致代理失效,建议禁用本地缓存,将缓存大小设置为0。
设置正向代理
转到服务>Web代理>管理,单击正向代理下拉菜单,设置正向代理选项,代理接口选LAN,选中启用透明HTTP代理和启用SSL检查,选中仅记录SNI信息,CA选中前面新建的SSL,选中允许接口子网选项,其他选项默认即可。
根据上图中箭头所指位置,添加http和https代理的防火墙规则。添加完成以后如下图所示:
转到正向代理>访问控制列表(ACL),输入常用的允许目标tcp端口并保存。
检查测试
客户端取消代理服务器设置,访问google、youtube等网站,检查透明代理设置是否正确。
相关文章:
- pfSense、OPNsense配置Xray代理教程
- pfSense、OPNsense配置trojan-go教程
- pfSense、OPNsense配置v2ray代理教程
- pfSense、OPNsense配置Clash代理教程
- pfSense、OPNsense配置sing-box透明代理
- pfSense、OPNsense配置hysteria代理教程
- pfSense、OPNsense配置hysteria2代理教程
- pfSense、OPNsense配置http透明代理教程
- pfSense、OPNsense配置tun2socks(透明代理)
- pfSense、OPNsense配置hysteria 透明代理(TUN)教程