Proxy [consulta]

bellera

Seguí ayer el post que indicas y si no entendí mal el uso de clamav es inestable, pues (al parecer) se cuelga el servicio icap necesario.

Estaría bien poder contrastar eso con entornos de producción. También estoy trabajando el tema, tal como se puede ver arriba, en 
Últimas aportaciones a Documentación.

También saber un poco qué recursos consume la inspección del contenido por parte de clamav.

Porque una cosa es inspeccionar las URLs (squid  + squidGuard) y otra todo el contenido…

linksanguinario

Puede que sea inestable con el clamav, lo informare si empiezo a tener problemas

bug con squid-dev +clamav, no se puede hacer un restart del squid, sin antes desactivar el clamav "enable" de la opcion antivirus en proxy-server  :-\

en cuanto a lo del certificado para los navegadores facil…
se van a system > cert manager > y le dan al botón export ca cert,
luego en cualquier navegador van a preferencias > certificados > servidor > importar
listo así no les preguntara cada vez por el certificado que no es de confianza(a no ser que tengan certificados genuinos y no requieran este paso)

bellera

@linksanguinario:

en cuanto a lo del certificado para los navegadores facil…
se van a system > cert manager > y le dan al botón export ca cert,
luego en cualquier navegador van a preferencias > certificados > servidor > importar
listo así no les preguntara cada vez por el certificado que no es de confianza(a no ser que tengan certificados genuinos y no requieran este paso)

Por supuesto, documentado en https://forum.pfsense.org/index.php?topic=73007.msg402538#msg402538

**Estamos haciendo, sin querer, bastante http://es.wikipedia.org/wiki/Env%C3%ADo_cruzado

Modificado el final del hilo para centrarlo en ANTIVIRUS CLAMAV - squid3-dev**

bellera

Parece que Clamav no funciona (por el momento) con squid3-dev en arquitecturas de 64 bit (amd64):

https://forum.pfsense.org/index.php?topic=73426.msg402098#msg402098

linksanguinario

@bellera:

Parece que Clamav no funciona (por el momento) con squid3-dev en arquitecturas de 64 bit (amd64):

https://forum.pfsense.org/index.php?topic=73426.msg402098#msg402098

No lo he provado aun. esta habilitado como les dije anteriormente pero hay que des-habilitarlo cuando se va a hacer un restart del squid…

otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

pude hacer una pagina informativa con la etiqueta deny_info y la coloque en "custom configuration" del squid
ejemplo: deny_info http://x.x.x.x/bloqueado.html blacklist

Lastimosamente es un poco tedioso bloquear todo y abrir una por una, tienen que estar revisando el access.log para determinar cosas como puertos adicionales, de paginas de bancos o servicios que realmente necesitan esos puertos para ssl, pero bueno los retos son la parte mas emocionante de este trabajo!  ;)

Listo:
proxy transparente http y https
certificado creado a traves del pfsense
certificado configurado en los navegadores
actualización del clamav
funcionamiento con el clamav(integrado)
blacklist (todos los dominios de nivel superior, los saque de la icann/iana)
whitelist (solo los dominios que quiero liberar: ejemplo .google.com)

por hacer:
probar si el clamav tiene algún conflicto con el squid, o no funciona, o cuelga los procesos

Puedo dar fe de que el squid transparente para http y https funciona (el antivirus aun no), estuvo todo el fin de semana corriendo y nadie me informo de lentitud o interrupción del servicio (lo tengo de prueba para un pequeño grupo de informática)

linksanguinario

prueba (prueba de forwarding)

bellera

@linksanguinario:

otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

Supongo que querías decir squidGuard.

Hay que darle a Save para guardar la configuración.

Y después a Apply para aplicarla. Y no es instantáneo, pues tiene que compilar listas modificadas, cerrar los procesos squidGuard en curso y abrir los nuevos.

Puedes verlo en Proxy filter SquidGuard: Log page: Filter log

Los procesos squidGuard son hijos de squid. Por tanto, si reinicias squid tienes el mismo resultado pero con cortes en la navegación.

Todo esto es un comportamiento "natural" en squid + squidGuard.

bellera

@linksanguinario:

Puedo dar fe de que el squid transparente para http y https funciona (el antivirus aun no), estuvo todo el fin de semana corriendo y nadie me informo de lentitud o interrupción del servicio (lo tengo de prueba para un pequeño grupo de informática)

¡Ok, me alegro!

Yo lo tengo en casa y estoy escribiendo desde detrás de él (http y https). Voy ajustando cosas, pues tengo que asegurar muchas cosas antes de meterlo en producción con 400 usuarios de promedio diario.

linksanguinario

@bellera:

@linksanguinario:

otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

Supongo que querías decir squidGuard.

No, me he llevado malas experiencias usando squidguard con las ultimas versiones de squid, tienen mucho tiempo desde que no le dan soporte al squidguard oficial. la ultima vez intente compilar squid 3.4.4 de la pagina oficial con squidguard 1.5 de la pagina oficial tambien, y simplemente ya no funcionan uno con el otro. Las etiquetas que envia squidguard, el squid las ve como con contenido basura pues hubo ciertos cambios… finalizando el cuento hay un parche por ahí para hacerlo funcionar, pero bueno.

Asi que solo use la sección ACL del squid-dev!, donde dice blacklist y witelist… Limitantes de momentos no poder crear grupos tan facilmente como en squidguard pero en cuanto de con la solución se los diré…

Indiferentemente como este proxy es trasparente solo para los usuarios globales sin mayores privilegios, no creo que haga falta debido a que aquellos que si tienen privilegios salen por otro enlace metro(squid+squidguard), sin embargo ya he leido varios tutoriales y manuales de como hacer grupos parecidos al squidguard en el squid solo.

Mi idea era básicamente eliminar la necesidad de configurar proxy en el 90% de las pc o darles privilegios de mas cosa que pasa muy a menudo, si solo necesitan acceso básico a internet... y solo configurar proxy en el 10% del personal directivo o con privilegios de acceso por cuestiones de trabajo. Todo para tener mas control! (no parece pero cuando tienes cientos o miles de ip's eventualmente hay un desorden...)

bellera

la ultima vez intente compilar squid 3.4.4 de la pagina oficial con squidguard 1.5 de la pagina oficial tambien, y simplemente ya no funcionan uno con el otro. Las etiquetas que envia squidguard, el squid las ve como con contenido basura pues hubo ciertos cambios…

Sí, ya había oído que squidGuard 1.5 no es estable. Supongo que, por eso, se usa la 1.4:

[2.1-RELEASE][admin@pfsense.localdomain]/root(10): squid -v
Squid Cache: Version 3.3.10
configure options:  '--with-default-user=squid' '--bindir=/usr/pbi/squid-i386/sbin' '--sbindir=/usr/pbi/squid-i386/sbin' '--datadir=/usr/pbi/squid-i386/etc/squid' '--libexecdir=/usr/pbi/squid-i386/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/pbi/squid-i386/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS  fake getpwnam LDAP NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--enable-icmp' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--enable-eui' '--disable-ipfw-transparent' '--enable-pf-transparent' '--disable-ipf-transparent' '--enable-follow-x-forwarded-for' '--disable-ecap' '--enable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--prefix=/usr/pbi/squid-i386' '--mandir=/usr/pbi/squid-i386/man' '--infodir=/usr/pbi/squid-i386/info/' '--build=i386-portbld-freebsd8.3' 'build_alias=i386-portbld-freebsd8.3' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/pbi/squid-i386/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/pbi/squid-i386/lib -pthread -Wl,-rpath=/usr/lib:/usr/pbi/squid-i386/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/pbi/squid-i386/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience
[2.1-RELEASE][admin@pfsense.localdomain]/root(11): squidGuard -v
SquidGuard: 1.4 Sleepycat Software: Berkeley DB 4.1.25: (December 19, 2002)

Espero funcione. Llevo desde el viernes pegado al ordenador con esto y parece totalmente estable.

squidGuard al fin y al cabo lo único que tiene que devolver es nada o la nueva URL.

Si puedes, explica un poco lo que decías, a ver si puedo "estresar" la instalación de pruebas.

bellera

squid3-devel con clamav (i386)
http://egoncalves.com.br/pfsense/pfsense-squid3-dev-clamav-i386/
Para 64 bit (amd64), parece que no funciona, https://forum.pfsense.org/index.php?topic=72872.msg400869#msg400869