Descargas Directas
-
Hola… otra vez :'(
He usado el squid(Proxy server) que tiene una opcion para introducir en una blacklist URL´s e IP´s, para que los usuarios que usan el proxy no puedan acceder a ellas, cogi las ip´s de estas paginas nslookup megavideo.com y de rapidshare e introduje las ip´s. Resulta que si meto la Ips en el explorador las bloquea, pero si meto la direccion en vez de la Ip me deja acceder a la pagina, es algo que no entiendo, ya que en teoria estoy accediendo a esa ip por lo tanto deberia bloquearlo...
Ya no se que hacer para bloquear estas paginas... ya que no puedo configurarlo como esta en tu Tutorial por yo no podria hacer un interfaz como haces tu el de alumnos. El problema de pfsense es que es demasiado complejo para gente que no tenga mucha idea de este tipo de lenguajes y de redes. Estoy por quitarlo todo e instalar el Windows Server...
Muchas gracias por todo otra vez Bellera.
Saludos,
Adrián
-
¡Hola!
Resulta que si meto la Ips en el explorador las bloquea, pero si meto la direccion en vez de la Ip me deja acceder a la pagina, es algo que no entiendo, ya que en teoria estoy accediendo a esa ip por lo tanto deberia bloquearlo…
Es normal. No es lo mismo para squid una regla con IP que una regla con nombre. En cuanto a los nombres hay que poner sólo el dominio, sin las www y otras cosas. Ejemplo: rapidshare.com Esta sintaxis no tiene nada que ver con pfSense, es la sintaxis de configuración del proxy squid, disponible para prácticamente todas las plataformas (Unix, Linux, Windows, …). Lo que aporta pfSense es simplemente una interfase web para configurar squid.
El problema de pfsense es que es demasiado complejo para gente que no tenga mucha idea de este tipo de lenguajes y de redes. Estoy por quitarlo todo e instalar el Windows Server…
En primer lugar, paciencia. Siempre cuesta adaptarse a nuevos entornos y no hay que tirar la toalla. En segundo lugar, pfSense es una interfase web para configurar un cortafuegos muy potente (Packet Filter con el sistema operativo FreeBSD) y otros añadidos (squid, …) He manejado varios cortafuegos incluídos algunos bajo Windows Server. No veo ninguna ventaja en emplear un equipo Windows para cortafuegos, más bien lo contrario (licencias, virus, pesadez de sistema, ...)
Bueno, vamos al grano …
No veo claro en la regla la palabra Alias. ¿Le has puesto al alias como nombre Alias? No suele ser bueno en ningún sistema emplear palabras genéricas que puedan confundirse con instrucciones del sistema. Igual es una tontería lo que digo pero yo le pondría un nombre como descargas_directas …
¿Es Alias un alias con la lista de IPs, definido en el apartado [Firewall] [Aliases]?
Tienes dos WAN. Pon la regla de bloqueo en las dos, a ver qué. Lo digo porque no tengo claro por donde estás saliendo.
Puede que también tengas que poner más IPs en tu alias descargas_directas:
http://www.robtex.com/dns/megavideo.com.html
http://www.robtex.com/dns/rapidshare.com.htmlSi no funciona, entonces el problema es el uso de squid en modo transparente. squid transparente es cómodo pero se sale de los estándares y ello supone limitaciones: http://wiki.squid-cache.org/SquidFaq/InterceptionProxy. Personalmente prefiero tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines. Además, los navegadores suelen ser capaces de autoconfigurarse con el proxy existente en la red.
Saludos,
Josep Pujadas
-
A ver, a ver… resulto pesado pero entonces ¿tienes en una misma maquina pfSense en modo bridge, squid en transparente, Captive Portal y ademas balanceo con dos WAN?..... Voy a instalarlo ahora mismo en una máquina para probar¡¡¡¡
Saludos...
-
Hola!
Gracias Bellera por tu paciencia y tu sobre todo por dedicarme tu tiempo.
1º A la respuesta de EMY, lo tengo todo en una maquina ;)
El alias que tengo, lo decia para entender algo generico, ya que justo el nombre que tenia era DescargasDirectas.
Este alias (DescargasDirectas) esta definido exacatamente en Firewall-Aliases.He puesto el bloqueo en LAN(La 1º regla), en Wan y Wan2.
Pero aun asi las Ips que pongo en el alias las meto en el explorador y me sigue accediendo a ellas…
Probablemente sea por el proxy trasparente.
Lo que comentabas de que preferias tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines... ¿como lo deberia realizar?
¿Simplemente quitando la casilla de proxy transparente? ¿asi la detecta el explorer de cada usuario?
Muchas gracias por enesima vez Bellera.
Saludos,
Adrián
-
Hola!
Lo que comentabas de que preferias tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines… ¿como lo deberia realizar?
- Desactivar proxy transparente
- Alias de puertos de navegación: 80, 443, 8000:8100
- Regla de bloqueo en LAN para el tráfico (que no tenga por origen el proxy) y que tenga por destino el alias de puertos. Digo entre paréntesis "que no tenga por origen el proxy" porque tengo a squid en una máquina a parte. Si el proxy es el propio pfSense supongo que se puede obviar …
- Comunicar a los usuarios que deben activar el proxy en su navegador. De lo contrario, no navegarán. Tres métodos posibles:
**** Activar búsqueda del proxy en los navegadores.
**** Emplear archivo proxy.pac, http://forum.pfsense.org/index.php/topic,7367.0.html
(es la opción más flexible)
**** Introducir IP y puerto del proxy.
Saludos,
Josep Pujadas
-
Muchas gracias como siempre Bellera.
Hare lo que me has recomendado, pero el problema que lo tendre que hacer poco a poco ya que al tener 200 usuarios siendo mas del 90% gente que no tiene ni idea de ordenadores me saldra peor el remedio que la enfermedad ya que tendre que estar configurando 1 por 1…
Me imagino que explicando que activen las busqueda de proxy en los navegadores no sera muy dificil, ya te contare y como siempre gracias por ayuda.Saludos,
Adrián.
-
¡Hola de nuevo!
Si quieres conservar el proxy transparente con pfSense olvidé decir que una posible solución sería "encadenar" dos pfSense, uno detrás de otro. Algunos usuarios de este forum lo han hecho cuando se han encontrado con incompatibilidades entre servicios que querían tener.
Saludos,
Josep Pujadas
-
hola
lo que podes hacer tambien es asignarle una ip en dns forwarder
o sea
que rapidshare.com sea 192.168.1.1 o algo asi
eso si, vas a tener que bloquear la salida dns hacia afuera
saludos -
Si quieres conservar el proxy transparente con pfSense olvidé decir que una posible solución sería "encadenar" dos pfSense, uno detrás de otro. Algunos usuarios de este forum lo han hecho cuando se han encontrado con incompatibilidades entre servicios que querían tener.
Hola… esto es lo que yo estoy pensando hacer y aprovecho este hilo. Necesito... Portal Cautivo, Squid, Balanceo de carga y Traffic Shaper. ¿De que lado de las WAN y LAN pondrias cada cosa repartidas en dos equipos?... por ejemplo:
Lado WAN y WAN1: Equipo con pfSense en Balanceo de carga y Squid
Lado LAN: Equipo con Captive Portal y Traffic ShaperEs un ejemplo... ¿de que manera lo tenéis o lo haríais een caso de necesitar estos servicios?.
Saludos
-
hola
lo que podes hacer tambien es asignarle una ip en dns forwarder
o sea
que rapidshare.com sea 192.168.1.1 o algo asi
eso si, vas a tener que bloquear la salida dns hacia afuera
saludosEs verdad, me había olvidado de esta posibilidad. Haciendo esto y no permitiendo acceso a DNS externos por parte de las estaciones quedaría resuelto.
Saludos,
Josep Pujadas
-
Lado WAN y WAN1: Equipo con pfSense en Balanceo de carga y Squid
Lado LAN: Equipo con Captive Portal y Traffic ShaperNo lo veo mal. Mi única duda es si un squid transparente en pfSense es capaz de aprovechar el balanceo.
A ver si alguien lo tiene …
Saludos,
Josep Pujadas
-
-
Hola!
Segui las instrucciones de Bellera y quite el proxy.
Ahora me funcionan las reglas perfectamente.
¿Entonces si quisiera bloquear los p2p totalmente con poner en LAN y las descargas directas esto valdria?:
Block. Protocolo: TCP, Source: any, Port: Any, Destination: Alias"DescargasDirectas"(Con las Ips de megaupload, etc.), Port:Any, Gateway: Default
Pass. Protocolo: TCP, Source: any, Port: Any, Destination: Any, Port: Alias"InternetTCP"(Con los puertos 80,443, etc), Gateway: Default
Pass. Protocolo: TCP, Source: any, Port: Any, Destination: Any, Port: Alias"InternetUDP"(Con los puertos 53,119,) , Gateway: Default
Pass. Protocolo: TCP, Source: LAN NET, Port: Any, Destination: Any, Port: Any , Gateway: 192.168.2.1
Muchas gracias por tu ayuda.
Saludos,
Adrían.
-
¡Hola!
Sí, tiene que valer. Las reglas se ejecutan por el orden en que están. Por tanto, si hay una en primer lugar que bloquea el tráfico indeseable ya irá bien …
Saludos,
Josep Pujadas
-
Hola de nuevo!
Despues de quitar el squid de la maquina donde tenia el pfsense, puse las reglas tal cual te explique antes, pero por lo que veo en los ordenadores pueden usar Ares conectandose a el, y bajando de forma rapida…
¿Puede ser porque me falta añadir alguna regla en WAN y WAN1?¿Las reglas que puse antes no valen tambien para el ares? Pense que serian para todos los p2p.
Muchas gracias!
Un saludo,
Adrián.
-
¡Hola!
En ese caso sobra la última, ya que te está permitiendo todo lo que no tratan las anteriores.
Te faltará alguna regla más. Por ejemplo, dejar pasar UDP 53 y 123 para DNS y NTP.
Y si quieres poder hace pings tendrás que poner una regla que autorice ICMP …
Saludos,
Josep Pujadas