Transparente VS No transparente
-
Primero lo primero:
Hola a todos me presento, recién me registro y es mi primer post.Estoy a cargo de mantener funcionando un servidor proxy transparente compuesto por Centos+Squid+IP tables +DHCP server con aproximadamente 150 clientes (equipos en la red), proximo a triplicarse.
A fin de mejorar la administración, contrtol de la red y el acceso a internet luego de investigar y probar otras soluciones similares a PFsense decidí quedarme con este.
Para no aburrir voy al grano.
Pretendo continuar bloqueando sitios HTTPs (Facebook, Tweeter, youtube, etc)
Actualmente lo hago mediante IP tables, con lo cual el usuario no accede al sitio y recibe error en el navegador.
Quisiera 1: Que el usuario recibiese un mensaje personalizado, para anunciarle que ese sitio no está permitido. ¿Esto se puede realizar si el proxy es "transparente"?
Quisiera 2: Que sitios visita cada usuario y saber cuanto tiempo permanece en él. ¿Este y otros datos se pueden recopilar con el proxy en modo transparente?
El objetivo de esto es, conocer cuanto tiempo pasan en facebook o youtube aquellos usuarios autorizados, tener conocimiento de que páginas son las más solicitadas, en que horario se hace mayor uso del servicio de internet y otros datos.
Estoy dispuesto a cambiar el proxy a modo "no transparente" de ser necesario.
POR OTRA PARTE:
Hace unos dias me topé con un ROUTER D-Link DIR-300 que con solo agregar a su blacklist "facebook.com" era imposible acceder a facebook ya sea http o https. ¿Como hace esto posible?
Desde ya muchísimas gracias por vuestra ayuda.
-
Saludos mi estimado, primeramente a mi modo de ver la cosa cuentas con las herramientas a groso modo para llevar a cabo sus ideales en esa red. Lo unico que vi que falto es un server web no se si manejan este con un hosting o algo parecido.
Primero: Para mostrar una web personalizada de error al usuario intentar ingresar a un sitio no permitido puede hacerlo con acls dentro de squid en vez de ip table y colocar en la misma un denyinfo que redirige al servidor web o la pagina web diseñada para mostrar el porque del bloqueo etc.Segundo: Existe varios software para esta tarea instalables en cualquier distro linux como lo es Centos como por ejemplo sarg facil de instalar y configurar en su servidor generando los reportes automaticamente si asi lo configura.
He leido que squid en modo transparente no permite controlar por usuarios, ips, mac,etc habria que ver esto en profundidad ya que el sarg necesitaria de estos controles o datos para generar los reportes especificamente indicando los equipos clientes bien sea por ip o nombre.
Estamos a su orden espero haber orientado un poco su proyecto
-
Gracias amnarl por la respuesta, pero no tengo en claro lo siguiente… que utilice acl en vez de ip table, pero para esto debo implementar el proxy de manera NO transpartente, porque en forma transparente las acl no tienen efecto sobre HTTPs. ¿Estoy en lo cierto?
Primero: Para mostrar una web personalizada de error al usuario intentar ingresar a un sitio no permitido puede hacerlo con acls dentro de squid en vez de ip table y colocar en la misma un denyinfo que redirige al servidor web o la pagina web diseñada para mostrar el porque del bloqueo etc.
Otro tema…
Hoy quise probar PFsense en modo NO TRANSPARENTE y para mi sorpresa no está marcada la opcion de "proxy transparente" es decir, estaría ya funcionando omo NO TRANSPARENTE, lo curioso es que en los equipos que navegan a travez del proxy no tengo especificado tal.
¿A que se puede deber esto?
Una al margen:
Estoy probando PFsense en un entorno virtual (VirtualBOX) y curiosamente cada vez que inicio la maquina luego de haber estado apagada se traba en lo que muestra la imagen, si la reinicio PFsense inicia sin ningún tipo de problemas. Es decir que solo ocurre cuando estuvo apagada.Saludos!
-
Ok hasta donde se el caso es al contrario no existe manejo https en modo transparente ahora en modo no transparente se puede realizar un bloqueo en la conexion ssl lo que da como resultado un bloqueo de acceso en cualquier pagina https en este caso lo que hay que tener en cuenta es el orden de las acls a aplicar tan igual como en un firewall comun.
Si los equipos estan navegando y realmente estas certificando que es a traves del proxy debes tener configurado ya un dnat en la lan donde trabajan estos equipos que redirecciona el puerto 80 al puerto correspondiente a el proxy de lo contrario no navegaran a menos q uses wpad o parecido en el cual establezcas por donde sale tales equipos. Cosa que creo deberias especificar o revisar para concretar este asunto.
En cuanto a lo ultimo lo mejor es que no lo trates en este hilo ya que se pierde la continuidad del asunto a tratar por el cual nacio el presente. Ademas debe estar el maestro bellera por colgarte las reglas para postear en el forum jejeje.
Estamos a tu orden
-
Pretendo continuar bloqueando sitios HTTPs (Facebook, Tweeter, youtube, etc)
Actualmente lo hago mediante IP tables, con lo cual el usuario no accede al sitio y recibe error en el navegador.
Si lo que tienes son tablas de rangos de IPs, entiendo que eso lo podrías seguir haciendo igual mediante el uso de alias.
Quisiera 1: Que el usuario recibiese un mensaje personalizado, para anunciarle que ese sitio no está permitido. ¿Esto se puede realizar si el proxy es "transparente"?
Se puede, si empleas SSL Bump.
https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349
https://forum.pfsense.org/index.php?topic=73740.0Quisiera 2: Que sitios visita cada usuario y saber cuanto tiempo permanece en él. ¿Este y otros datos se pueden recopilar con el proxy en modo transparente?
En modo transparente NO se puede emplear autentificación de usuarios. El navegador NO conoce la presencia del proxy, por lo que no puede emplear métodos de autentificación.
El objetivo de esto es, conocer cuanto tiempo pasan en facebook o youtube aquellos usuarios autorizados, tener conocimiento de que páginas son las más solicitadas, en que horario se hace mayor uso del servicio de internet y otros datos.
Si esto es imprescindible, modo NO transparente con autentificación de usuarios + sarg (estadísticas).
Hace unos dias me topé con un ROUTER D-Link DIR-300 que con solo agregar a su blacklist "facebook.com" era imposible acceder a facebook ya sea http o https. ¿Como hace esto posible?
Ni idea. Consulta manual de qué hace ese equipo.
-
Estoy probando PFsense en un entorno virtual (VirtualBOX) y curiosamente cada vez que inicio la maquina luego de haber estado apagada se traba en lo que muestra la imagen, si la reinicio PFsense inicia sin ningún tipo de problemas. Es decir que solo ocurre cuando estuvo apagada.
Igual no estás cerrando bien la máquina virtual. El botón Cerrar el equipo de VirtualBox es confuso. Debes apagar por Enviar señal de cierre o por (mejor aún) por Halt system del menú de la consola de pfSense.
A ver si era esto…
-
Hola , yo no se mucho de proxies :( , pero lo del DLINK puede ser simplemente un DNS overwrite a cualquier lado.