URL фильтр

dr.gopher

@radiow:

PfSense раздает инет в режиме шлюза. HTTP ходит как через обычный роутер. Надо фильтровать URL запросы (запрещать доступ к сайтам), но клиенты не должны настраивать прокси. Должно остаться все как и есть: по DHCP получают IP, шлюз и ДНС и работают.

Squid (в транспорент режиме) + SquidGuard

http://thin.kiev.ua/router-os/50-pfsense/530-pfsense-squid.html

artemvst

@radiow:

Помогите найти наиболее подходящий путь.
PfSense раздает инет в режиме шлюза. HTTP ходит как через обычный роутер. Надо фильтровать URL запросы (запрещать доступ к сайтам), но клиенты не должны настраивать прокси. Должно остаться все как и есть: по DHCP получают IP, шлюз и ДНС и работают.
Спасибо!

Squid + SquidGuard

http://thin.kiev.ua/router-os/50-pfsense/239-squidguard.html

radiow

Спасибо!

dvserg

Дополнение - вместо прозрачного squid можно использовать файл автонастройки WPAD.

radiow

Сделал все точно так же как в инструкции. Но почему то не работает! Пробовал сбросить state и делал ребут. Не помогает. В чем дело?

dvserg

@radiow:

Сделал все точно так же как в инструкции. Но почему то не работает! Пробовал сбросить state и делал ребут. Не помогает. В чем дело?

Подсказка: Еще логи есть

radiow

Логи что-то не хотят писаться. Того что в инструкции достаточно для того чтобы после установки заработал фильтр?

dr.gopher

@radiow:

Того что в инструкции достаточно для того чтобы после установки заработал фильтр?

в URLs List надо вписать блокируемые сайты. А в инструкции упор сделано на блокировку контента (avi, mp3…)

radiow

Ну да, все прописал. В логах о фильтрации пусто. Настраивал как в инструкции. Пробовал и URL list и как в примере. Не работает у меня(
Сам squid настраивать надо? В правила фаервола ничего добавлять не надо?

dr.gopher

@radiow:

Ну да, все прописал. В логах о фильтрации пусто. Настраивал как в инструкции. Пробовал и URL list и как в примере.

Попробуйте добавить запись в Domails list и
General Settings жмем Apply (в будущем нужно всегда ее жать для применения настроек) ну и кнопку Save.

статья обновлена http://thin.kiev.ua/router-os/50-pfsense/530-pfsense-squid.html

radiow

Спасибо огромное за статью, делаю все точно как у Вас) Ну не работает у меня. Apply нажимаю, галка Enable стоит. Добавляю в фильтр два домена, но они не блочатся.
Выкладываю конфиг фильтра:

============================================================

SquidGuard configuration file

This file generated automaticly with SquidGuard configurator

(C)2006 Serg Dvoriancev

email: dv_serg@mail.ru

============================================================

logdir /var/squidGuard/log
dbhome /var/db/squidGuard

Date

time DateBlock {
weekly * 00:00-23:59
}

src BlockGroup {
ip    192.168.1.0/24
}

UrlList

dest BlockList {
domainlist BlockList/domains
redirect http://192.168.1.185:80/sgerror.php?url=403%20Stop%21&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
log block.log
}

rew safesearch {
s@(google../search?.q=.)@
&safe=active@i
s@(google../images.q=.)@
&safe=active@i
s@(google../groups.q=.)@
&safe=active@i
s@(google../news.q=.)@
&safe=active@i
s@(yandex../yandsearch?.text=.)@
&fyandex=1@i
s@(search.yahoo../search.p=.)@
&vm=r&v=1@i
s@(search.live../.q=.)@
&adlt=strict@i
s@(search.msn../.q=.)@
&adlt=strict@i
s@(.bing..*/.q=.)@
&adlt=strict@i
log block.log
}

acl  {

BlockGroup  within DateBlock {
pass !BlockList all
redirect http://192.168.1.185:80/sgerror.php?url=403%20Stop%21&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
} else {
pass !BlockList all
redirect http://192.168.1.185:80/sgerror.php?url=403%20Stop%21&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
}

default  {
pass !BlockList all
redirect http://192.168.1.185:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
log block.log
}
}

dr.gopher

@radiow:

делаю все точно как у Вас)

Нет есть ошибки.

Ниже мой конфиг:

============================================================

SquidGuard configuration file

This file generated automaticly with SquidGuard configurator

(C)2006 Serg Dvoriancev

email: dv_serg@mail.ru

============================================================

logdir /var/squidGuard/log
dbhome /var/db/squidGuard

WorkTime

time WorkTime {
weekly mon 09:00-18:00
weekly tue 09:00-18:00
weekly wed 09:00-18:00
weekly thu 09:00-18:00
weekly fri 09:00-18:00
}

WorkTime

src WorkTime {
ip     192.168.0.0/24
}

/var/squid/FileAccessDenyLog

dest FileAccessDeny {
domainlist FileAccessDeny/domains
expressionlist FileAccessDeny/expressions
urllist FileAccessDeny/urls
}

rew safesearch {
s@(google../search?.q=.)@
&safe=active@i
s@(google../images.q=.)@
&safe=active@i
s@(google../groups.q=.)@
&safe=active@i
s@(google../news.q=.)@
&safe=active@i
s@(yandex../yandsearch?.text=.)@
&fyandex=1@i
s@(search.yahoo../search.p=.)@
&vm=r&v=1@i
s@(search.live../.q=.)@
&adlt=strict@i
s@(search.msn../.q=.)@
&adlt=strict@i
s@(.bing..*/.q=.)@
&adlt=strict@i
}

acl  {

WorkTime

WorkTime  within WorkTime {
pass !FileAccessDeny all
redirect http://192.168.0.1:22222/sgerror.php?url=403%20C%209-00%20%26%231076%3B%26%231086%3B%2018-00%20%26%231085%3B%26%231072%3B%20%26%231076%3B%26%231072%3B%26%231085%3B%26%231085%3B%26%231091%3B%26%231102%3B%20%26%231089%3B%26%231090%3B%26%231088%3B%26%231072%3B%26%231085%3B%26%231080%3B%26%231094%3B%26%231091%3B%20%26%231085%3B%26%231077%3B%26%231090%3B%20%26%231076%3B%26%231086%3B%26%231089%3B%26%231090%3B%26%231091%3B%26%231087%3B%26%231072%3B.&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
} else {
pass all
redirect http://192.168.0.1:22222/sgerror.php?url=403%20C%209-00%20%26%231076%3B%26%231086%3B%2018-00%20%26%231085%3B%26%231072%3B%20%26%231076%3B%26%231072%3B%26%231085%3B%26%231085%3B%26%231091%3B%26%231102%3B%20%26%231089%3B%26%231090%3B%26%231088%3B%26%231072%3B%26%231085%3B%26%231080%3B%26%231094%3B%26%231091%3B%20%26%231085%3B%26%231077%3B%26%231090%3B%20%26%231076%3B%26%231086%3B%26%231089%3B%26%231090%3B%26%231091%3B%26%231087%3B%26%231072%3B.&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
}

default  {
pass !FileAccessDeny all
redirect http://192.168.0.1:22222/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
}
}

radiow

Ну меня не интересуют файлы, поэтому я делал только доменные имена

yragan

Вопрос как разделить людей на группы, т. е. есть у меня ограничение на скачку не более 260 Мб, но нужно некоторым людям разрешить больше? Добавить в "Bypass proxy for these source IPs" не вариант, т. к. это слишком много для них.