Tutorial simple squid+squidguardian
-
22-junio-2015 MODERADOR
Imágenes ausentes, solicitadas hace unas semanas al autor. Sin respuesta, desgraciadamente.
Se encontró una copia de este hilo, con imágenes, que se deja en http://www.bellera.cat/josep/pfsense2/tutorial-simple-squid-squidguard.pdfBueno al fin termine de configurar el squid + squid guardian, pero la verdad con el sistema web me perdia algo. bueno basicamente lo que hice fue lo siguiente
lista de usuarios con internet abierto, pero tambien con algunas restricciones.(paginas de lista negra)
lista de usuarios con internet a solo paginas blancas
lista negra (facebook, youtube y algunas palabras como pornografia, sexo, etc )
lista blanca (las paginas solo de trabajo)
finalmente cualquiera que no este en la lista de usuarios permitidos o limitados, no tendra acceso a nada.bueno para esto instalamos los paquetes squid +squidguardian, en las reglas del firewall no es necesario tener ninguna regla para esto asi que podemos borrar la que viene para la lan por defecto que permite todo el trafico.
1- nos vamos donde esta instalado nuestro squid para comenzar a configurar
2-habilitamos las siguientes opciones para que todos los usuarios que pasen por la lan usen el proxy
3- luego que terminamos con la configuracion basica del squid, nos vamos a la del squidGuardian
4- bueno aca nos vamos a las destinations, en este lugar crearemos dos lista:
1.1 la primera con las paginas de trabajo para los usuarios que solamente entraran a navegar a estas paginas y nada mas
1.2 la segunda con las paginas que los usuarios que tengan internet (los que tienen un poco mas alto el cargo que los demas) pero tambien como nos gusta webiar al resto les bloqueamos (facebook y cualquier otra cosa que no crean conveniente o hasta palabras en el buscados como sexe,xxx, etc)5-creamos las reglas para permitir a nuestros usuarios el uso de internet o no. en mi casi cree dos (internet + lista negra+ lista blanca) e (internet solo con listas blanca) y el que no este dentro de ningunos de estos grupo no tiene acceso a nada
6- bueno finalmente guardamos las reglas y repetimos los pasos para crear la otra acl. y luego terminamos levantando el squid guardian.
bueno el tutorial es algo basico pero a mas de alguno espero que le ayude y vayamos aportando todos para no volver a repetir una y otra vez lo mismo en el foro, saludos a todos
-
¡Enhorabuena!
-
-
Grande MAESTRO un excelente aporte y se le agradece porque le servira a los miles de personas que estan perdidos..
-
te felicito, un tuto muy sencillo de comprender…
ojala pudieras hacer otros mas ,, a ese estilo... -
esto si es un tutorial, mucho mas facil de aprender…
muchas gracias -
Hola dementekuatiko
¿Me podrias por favor aclarar lo siguiente?
Lo que si no me queda claro es el paso 3 del punto 5 pues ahi en la 2da regla no marcas nada ni allow ni deny y queda –-- la que dice paginas bloqueadas para todo publico en general, si era el ACL para limitados pense que esa deberia estar marcada con deny o quiza esa que muestras con ---- es para la ACL Abierto?
Gracias
-
Hola dementekuatiko
¿Me podrias por favor aclarar lo siguiente?
Lo que si no me queda claro es el paso 3 del punto 5 pues ahi en la 2da regla no marcas nada ni allow ni deny y queda –-- la que dice paginas bloqueadas para todo publico en general, si era el ACL para limitados pense que esa deberia estar marcada con deny o quiza esa que muestras con ---- es para la ACL Abierto?
Gracias
es que en los –- es como si no exista nada, ya que no vale colocarle limitacion de las pag que agrege (facebook y otras) que estan en esa lista, siendo que esta deny all la ultima regla, osea se denega el acceso a todas las pag y esta de mas decir que dentro de esas esta el facebook y todo lo que se te ocurra y ademas lo que no se ocurra, pero tengo la exepcion arriba que permite que esta regla no bloquee completamente el internet y tengan acceso algunas pag de trabajo que son las que usaran para trabajar estos usuarios. bueno como me dices arriba efectivamente esa regla de pag negras es para los usuarios que tendran internet abierto entre comillas pero con restriciones a pornografia y otras cosas que se te ocurran.
saludos
-
Hola
Ya termine de configurar el squidguard segun el tutorial y en modo transparente, lo que si obvie fue eliminar la regla general de permitir todo porque mi intencion es solo bloquear algunas paginas y evitar que tipeen la direccion IP y funciona bien.
Lo mio va de la siguiente manera:
He creado 2 tipos de destino, uno temporal para las paginas que bloqueare por horarios pues se permitira usarlas a la hora de almuerzo y la salida y el destino permanente que estara bloqueado todo el tiempo.En times primero cree 2 timenames los cuales asignaba a cada ACL creado para dichos timenames pero resulta que no funcionaba, es decir solo funciona un ACL que es el primero y los demas son obviados.
Por esta razon en un timename coloque amnos horarios ya si si funciono.Podrian por favor decirme porque solo funciona un ACL y los demas no?
Gracias
-
bueno para esto instalamos los paquetes squid +squidguardian, en las reglas del firewall no es necesario tener ninguna regla para esto asi que podemos borrar la que viene para la lan por defecto que permite todo el trafico.
En la segunda y tercera captura,veo que el proxy,no esta configurado, como transparente
Significa que tienes que configurar, los navegadores para que usen el proxy….
Como es posible, que no tengas una regla, para permitir el puerto 3128 desde las lans?
Así to tengo yo:
acceso al proxy desde lan:| proto source port destination port gateway
pass |
| tcp lan net * proxy 3128 *Para que no cambien la configuracion en los navegadores
Puerto 80 solo para admin:| proto source port destination port gateway
block|
|tcp !admin-net * * 80 *Proxy=ip pfsense
admin-net=ip estación de trabajo del admin!
-
bueno para esto instalamos los paquetes squid +squidguardian, en las reglas del firewall no es necesario tener ninguna regla para esto asi que podemos borrar la que viene para la lan por defecto que permite todo el trafico.
En la segunda y tercera captura,veo que el proxy,no esta configurado, como transparente
Significa que tienes que configurar, los navegadores para que usen el proxy….
Como es posible, que no tengas una regla, para permitir el puerto 3128 desde las lans?
Así to tengo yo:
acceso al proxy desde lan:| proto source port destination port gateway
pass |
| tcp lan net * proxy 3128 *Para que no cambien la configuracion en los navegadores
Puerto 80 solo para admin:| proto source port destination port gateway
block|
|tcp !admin-net * * 80 *Proxy=ip pfsense
admin-net=ip estación de trabajo del admin!
lo tengo que configurar en todos los navegadores el proxy, pero solo lo aplico en la politica de dominio, asi no me genera tanto problema de ir maquina por maquina. lo otro de la regla no es necesario autorizar el puerto en pfsense el squid ya hace ese trabajo por ti. por lo menos yo lo tengo asi y va bien.
Una consulta y porq estas posteando si tienes tu squid trabajando bien ?
Saludos
-
Hola
En mi caso si habilite el proxy transparente.
Si tengo funcionando el squid pero solo con una regla ACL pero queria saber lo de las demas en caso tenga que usar una adicional.
Saludos
-
Una consulta y porq estas posteando si tienes tu squid trabajando bien ?
Saludos
Te hice una pregunta,mi intención es informarme no molestarte!!!
##########################################
Yo tengo desactivado el:webGUI anti-lockout rulepor eso tengo una regla para que la Lan, acceda a squid…
-
Una consulta y porq estas posteando si tienes tu squid trabajando bien ?
Saludos
Te hice una pregunta,mi intención es informarme no molestarte!!!
##########################################
Yo tengo desactivado el:webGUI anti-lockout rulepor eso tengo una regla para que la Lan, acceda a squid…
Disculpa no quise que sonara pesada la respuesta, pero no lo dije con mala intencion. la verdad como te digo mas arriba yo lo tengo asi y no necesite configurar una regla para dejar pasar el puerto 3128, con lo de logearse al pfsense si cree una regla que solo acepta que entre mi pc y tambien por si acaso le cambie el numero de puerto de acceso.
Saludos
-
Hola
En mi caso si habilite el proxy transparente.
Si tengo funcionando el squid pero solo con una regla ACL pero queria saber lo de las demas en caso tenga que usar una adicional.
Saludos
Disculpa Luis pero no entiendo tu pregunta bien. Por otra parte desconozco si las demas configuraciones se pueden hacer en modo transparente, segun lo que dijo bellera se puede hacer todo, menos validar usuarios.
Saludos
-
tengo alguna duda… sera posible montar esta solucion si los usuarios tienen que loguearse.. osea sirve para portal cautivo con autentificacion local..
-
una pregunta a esto de squid, por ejemplo si en el squidGuard donde dice
Blacklist URL le cargo este archivo
http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist
como hago para activarlo, ya que este archivo es una lista negra actualizada.
espero sus respuesta -
Buen aporte, Muchas Gracias
-
Estimados buenas tardes como van, de la forma en que se presenta el tutorial para squidguard me ha funcionado perfecto.
Quisiera consultar si es posible permitir a mis usuarios acceder solo una url de youtube…
lo que necesito es que los usuarios puedan ver solo http://www.youtube.com/lamonedaLo he intentado en el apartado para agregar url pero no voy muy bien...
será posible? muchas gracias si alguien sabe algo.- ???
Atte
César.- -
Buen aporte, Muchas Gracias
la vaina es que no lo he podido arrancar!! el squidGuard no me ha bloquiado niniguna web, coloquen esta informacion y me avisan
prueben a ver que tal les fue.. espero sus comentarios -
Buen aporte, Muchas Gracias
la vaina es que no lo he podido arrancar!! el squidGuard no me ha bloquiado niniguna web, coloquen esta informacion y me avisan
prueben a ver que tal les fue.. espero sus comentariosme podrias dar mas detalles, la verdad a mi me funciono tal cual esta lo otro si estas con otra puerta de enlace que no sea la misma que el proxy, deberias colocar la siguiente regla
TCP mi red * Squid Proxy 10.5.142.1
-
Estimados buenas tardes como van, de la forma en que se presenta el tutorial para squidguard me ha funcionado perfecto.
Quisiera consultar si es posible permitir a mis usuarios acceder solo una url de youtube…
lo que necesito es que los usuarios puedan ver solo http://www.youtube.com/lamonedaLo he intentado en el apartado para agregar url pero no voy muy bien...
será posible? muchas gracias si alguien sabe algo.- ???
Atte
César.-intentaste colocar el youtube.com en negras y luego youtube.com/lamoneda en las blancas. tal vez deberia funcionar y permitir el link especifico. ya que imagino que seria lo mismo con las palabras.
-
Te felicito por el tutorial.
Antes que todo, disculpen que haga una consulta nada que ver con el tema pero me tiene entrampado.
Yo estoy trabajando en un tutorial para crear VLANS y te queria consultar como pegaste las imagenes con tan buena calidad… te pregunto porque con el modo insertando imagen sobrepaso el limite y con suerte inserto tres imagenes de 80 KB, y seria todo... con una resolucion ahi no mas.Gracias.
-
Te felicito por el tutorial.
Antes que todo, disculpen que haga una consulta nada que ver con el tema pero me tiene entrampado.
Yo estoy trabajando en un tutorial para crear VLANS y te queria consultar como pegaste las imagenes con tan buena calidad… te pregunto porque con el modo insertando imagen sobrepaso el limite y con suerte inserto tres imagenes de 80 KB, y seria todo... con una resolucion ahi no mas.Gracias.
con esta pag, despues solo colocas el link que dice foro
http://imageshack.us/
-
Vale, te pasaste.
-
POR FAVOR AYUDA! cómo evito que algunos usuarios establezcan su IP manualmente dentro del rango "permitidos" ?? -
Intervención anterior trasladada a http://forum.pfsense.org/index.php/topic,24109.0.html por ser otro tema.
-
Buenas, estoy intentando configurar squidguardian en mi pfsense y se nos plantea la siguiente duda.
Hemos creado una lista negra de dominios y expresiones que queremos denegar, hasta aquí todo muy bien. La duda es si hay alguna forma de crear una lista negra que ademas de basarse la prohibicion por el dominio lo haga también por el contenido.
Por ejemplo: si agrego muerte, que no muestre ninguna página que contenga la palabra muerte. Sólo mostraría aquellas que esten en la lista blanca.
Gracias.
-
En el caso de que los usuarios trabajara en terminal server en el mismo servidor, no se puede hacer por ip, como sería?
Gracias -
ranet, ¿podrías explicar mejor tu pregunta? No la entendí.
Parece no estar relacionada con squid+squidGuard. Si es así, por favor, abre un hilo nuevo.
-
Buenas, estoy intentando configurar squidguardian en mi pfsense y se nos plantea la siguiente duda.
Hemos creado una lista negra de dominios y expresiones que queremos denegar, hasta aquí todo muy bien. La duda es si hay alguna forma de crear una lista negra que ademas de basarse la prohibicion por el dominio lo haga también por el contenido.
Por ejemplo: si agrego muerte, que no muestre ninguna página que contenga la palabra muerte. Sólo mostraría aquellas que esten en la lista blanca.
Gracias.
hermano esto lo haces en squidGuard en la parte de (destinations) haces la lista negra en domain list pones los dominios a denegar y en Expressions colocas las palabras que no quieres que se muestren por ejemplo si en google colocan muerte y presionan enter la proxima pagina sera de bloqueo, de todas formas si no puedes hacerlo pega un grito y te ayudamos pa eso estamos …. saludos desde venezuela
-
Buenas, estoy intentando configurar squidguardian en mi pfsense y se nos plantea la siguiente duda.
Hemos creado una lista negra de dominios y expresiones que queremos denegar, hasta aquí todo muy bien. La duda es si hay alguna forma de crear una lista negra que ademas de basarse la prohibicion por el dominio lo haga también por el contenido.
Por ejemplo: si agrego muerte, que no muestre ninguna página que contenga la palabra muerte. Sólo mostraría aquellas que esten en la lista blanca.
Gracias.
tu dices como agregar muerte en el google? y que todas las paginas que tengan esa palabra dentro de su dominio esten negadas? para eso estan las expresiones. con eso deberias solucionar ese problema. si revisas bien en el tutorial esta puesto eso.
-
En el caso de que los usuarios trabajara en terminal server en el mismo servidor, no se puede hacer por ip, como sería?
Graciasyo creo que en ese caso te conviene mas crear cuentas de usuarios en el proxy. ya que si bloqueas la ip del terminal server bloqueas todo. entonces lo mejor seria que usen usuario y contraseña al momento de abrir el navegador
-
Excelente tutorial. soy un nuevo usuario en este mundo del proxy tengo conocimientos tecnicos pero nada de practica. segui los pasos de este tutorial y se configuro perfectamente como lo deseaba. tengo un pequeño problema configure para que un unico usuario (por su direccion ip) solo pueda ver la pagina de youtube.com pero las demas paginas las bloquearan. y funciona bien. el incoveniente esta es que la pagina de youtube no se abre completa solo texto y no muestra las imagenes. Porque sucede esto?
gracias de antemano por su ayuda
-
para solucionar el tema de las imagenes debes de permitir estas url i.ytimg.com ytimg.com creo que con la que inicia por i basta pero igual prueba
-
para solucionar el tema de las imagenes debes de permitir estas url i.ytimg.com ytimg.com creo que con la que inicia por i basta pero igual prueba
gracias me funciono perfecto. agregue ytimg.com junto con youtube.com y funciono. solo este usuario con su ip. nada mas puede navegar en youtube.
Me imagino que fue una pregunta tonta de mi parte porque en el navegador cuando uno abre una pagina aparecen las direcciones de las otras paginas que se cargan pero a veces salen muy rapido y uno no la observa todas. existe algun programa o comando en ambiente windows en donde yo pueda observar las paginas que se cargan en determinada direccion. ejemplo facebook.com
-
hola soy nuevo en esto de brazil intente configurar el squid en modo transparente..creo q esta opcion es para no configurar el navegador de internet xq tengo 20 personas en mi linea y es tedioso ir casa por casa al navegador…estuve probando de esta manera y weno solo me carga el google y paginas como youtube...pero no carga ni hotmail ni face...tampcoo entra el msn...tengo q configurar algo mas para que estas paginas y servicios funcionen si configurar manualmente el proxy, o siempre teng oq configurarlo y si existe esa regla como la establesco seria de gran ayuda muchas gracias...
-
Solamente instalastes squid o tambien squidguard??