Configuración de Proxy Transparente + Dansguardian

xkerberus

Buen día a todos.

Soy nuevo en pfsense, por tanto apreciaria su ayuda en cuanto a esto:

Acabo de configurar un servidor con 2 tarjetas de red para interfaz wan y lan, esto con el objetivo de configurar un servidor proxy que permita filtrar contenido con Dansguardian, el problema radica en que instalo el pfsense en mi server y configuro las interfases y sin levantar el squid tengo proxy transparente para todos los equipos de la red.

Al instalar el squid, lo arranco y si defino el proxy en el browser puedo navegar, pero si lo desactivo también, y no guarda ningun log en access.log.

Según testeo pude ver que estan habilitados los puertos 53, 3128 y 10000(Webconf), si deshabilito la regla por default nadie navega, si la habilito todos lo hacen.

Por favor su ayuda con esto, he reinstaldo algunas veces el server pensando que parametrice algo mal pero nada ???

Desde ya muchas gracias

LEPM

Bloquea el puerto 80 http,si puedes navegar estas usando el proxy transparente,si no hay otro problema.

Si es trasparente no necesitas configurar nada en el navegador!

puerto 53: si usas el dnsforwader solo permite conexiones a lanaddress con destino 53

xkerberus

Hola LEPM,

Los únicos puertos abiertos son el 53 y 10000(En este puerto configuré el webconf), el 80 está cerrado.

Es por eso mi sorpresa, con el puerto 80 cerrado y sin squid instalado (Y por defecto el 3128 tambien cerrado) puedo navegar de manera transparente.

De hecho en paginas tipo "what's my ip" me sale la ip de mi WAN.

Cuando habilito el squid se abre el 3128, pero al configurarlo no responde a las restricciones que le establezco por ejm en blacklist.

Pregunto: Solo basta con configurar WAN y LAN para que mi red navegue (Sin squid ni nada)

Como detalle: Si inhabilito la regla del firewall que viene por defecto para "Default allow LAN to any rule" nadie navega.

LEPM

Tienes configurados correctamente los DNS?
si permites todo trafico a cualquier destino,no va funcionar la blacklist.

-comprueba que los DNS están bien
-inhabilita la regla que permite todo!
-crea una regla para acceder a los dns!
-crea una regla par el puerto 80 http

con eso deberías navegar,sin proxy

si no pon capturas de reglas lan,dns, forwarder,etc

xkerberus

Hola LEPM,

Veo que si tengo configurados los DNS.

Me preocupa que instalando el pfsense y levantando la interfaz WAN y LAN ya pueda navegar de manera transparente, sin siquiera instalar el Squid.

Adjunto las reglas que tengo por defecto.

Luego lo que hago es eliminar las reglas por defecto y habilito el trafico para el puerto 10000 (Webconf), 53 y 80, e igual puedo navegar. Haciendo un block de cualquiera de los 2 ultimos inhabilita la navegación.

La otra prueba que hice fue instalar y habilitar el squid pero no funciona, de hecho abro el puerto 3128 y nada.

Me parece super raro… no comprendo que podria estar haciendo mal.

Mil gracias por tu ayuda

wan.jpg_thumb

lan.jpg_thumb
![new lan rules.png](/public/imported_attachments/1/new lan rules.png)
![new lan rules.png_thumb](/public/imported_attachments/1/new lan rules.png_thumb)

LEPM

En la tercera captura,está bien, para probar la navegación(sin squid),pero luego debes afinar las reglas,solo debes permitir tcp/udp al puerto 53, si solo es dirigido a los DNS que has configurado,o a lan address(dnsforwader)
ahora que puedes navegar,a probar con squid,tienes que inhabilitar la regla que permite trafico por el puerto 80.

Si usas pf 2.1 y squid 3.1 te ha dado problemas usa squid 2.7 es mucho mas estable.

cuando lo instales reinicia y si squid lo ves funcionando, en services,recien ahí, inhabilita la regla del puerto 80 http.
no es necesario crear una regla para squid(3128).
no configures nada en el navegador!

xkerberus

Acabo de configurarlo de esa manera y funcionó, ya el tráfico pasa por el squid, previamente resetee los valores del pfsense para comenzar desde cero.

Ahora instalé en Dansguardian para controlar accesos e hice el NAT para el puerto 80 hacia el 8080, me funciona, sin embargo no restringe páginas https, si redirijo el 443 hacia el 8080 simplemente no carga.

Como podría controlar https para que no "bypasseen" la restriccion de dansguardian mis usuarios?

Desde ya mil gracias,

LEPM

Me alegro que hayas logrado solucionar parte de los problemas.
Squid 3.3 filtra https,pero nunca lo he usado.

El hilo sobre Squid 3.3.4 http://forum.pfsense.org/index.php/topic,62256.0.html

xkerberus

Mil gracias…. fue de gran ayuda tu respuesta. Saludos.