Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Como bloquear el uso de proxys

    Scheduled Pinned Locked Moved Español
    17 Posts 5 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      ajuser
      last edited by

      Pasando a través de tu proxy, y obligando sólo a la ip puerto para la salida a la Red.

      1 Reply Last reply Reply Quote 0
      • N
        nicolasxp5
        last edited by

        ya instale squid 3 y la puse en transparente… ahora como obligo a q la red salga solo por ahi? una regla? como seria?

        1 Reply Last reply Reply Quote 0
        • A
          ajuser
          last edited by

          Que reglas tienes en la red?
          Intenta dar algo más de información

          1 Reply Last reply Reply Quote 0
          • N
            nicolasxp5
            last edited by

            Tengo 2 wans y 1 lan… En las reglas de la lan lo único que tengo 1 regla que dice que todas las pc salgan por la wan 1 y otra regla que dice que determinadas maquinas salgan por la wan 2.... eso me funcionaba hasta que instale el squid... ahora todas las pc me salen por la wan que sea default... Puede ser?

            1 Reply Last reply Reply Quote 0
            • A
              ajuser
              last edited by

              Intenta poner capturas de pantalla de las reglas. De todas formas te adelanto que squid en modo transparente sólo sirve para http y no para https, tendrías que ponerlo en modo no transparente.

              1 Reply Last reply Reply Quote 0
              • N
                nicolasxp5
                last edited by

                Aca mando unas capturas… y q forma tengo para tambien bloquear https (que no sea por los grupos de ip, asi tengo bloqueado facebook pero si bloqueo asi youtube me bloquea google tmb)

                gaetways.png
                gaetways.png_thumb
                groups.png
                groups.png_thumb
                proxy.png
                proxy.png_thumb
                ![Reglas lan.jpg](/public/imported_attachments/1/Reglas lan.jpg)
                ![Reglas lan.jpg_thumb](/public/imported_attachments/1/Reglas lan.jpg_thumb)

                1 Reply Last reply Reply Quote 0
                • A
                  amnarl
                  last edited by

                  Saludos mi estimado. Alli por lo que veo no tienes echo un nat para redirigir el trafico de tu lan de servicios hacia el proxy transparente mas bien le estas dando acceso a todo con esa ultima regla y sobre bloquear https se puede hacer con squid ya dicho varias veces solo que no es sencillo de realizar.
                  Estamos a tu orden

                  Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                  http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                  1 Reply Last reply Reply Quote 0
                  • A
                    acriollo
                    last edited by

                    Hola , entiendo y he probado que seleccionando la casilla de "proxy transparente" no se requiere ninguna regla de nat para redirigir el trafico de la LAN hacia el cache, ya que el mismo pfsense inserta una regla de manera automatica al darle aplicar a las opciones del proxy cache.

                    en mi caso creo que es :

                    rdr on msk0 proto tcp from any to !(msk0) port 80 -> 127.0.0.1 port 3128

                    Yo no se mucho sobre el tema , asi que ojala pudieran explicar.

                    Lo que no esta correcto en las reglas es la regla de pass de any to any , ya que esto le da acceso directo a las PCs , aunque tambien creo que las reglas de cache se aplican primero, asi que el trafico web debe de pasar por el cache, pero las otras aplicaciones se van derechito a la nube.

                    No esta por demás colocar una regla de deny para la salida.  y como buena practica solo dar salida a los usuarios a los puertos y aplicaciones requeridas ( outbound filtering )

                    1 Reply Last reply Reply Quote 0
                    • A
                      ajuser
                      last edited by

                      No estás obligando a que el tráfico pase por squid, además que el tráfico https no lo hace squid en modo transparente, ya se ha dicho muchas veces en el foro y documentación.

                      1 Reply Last reply Reply Quote 0
                      • A
                        amnarl
                        last edited by

                        Si esa regla del squid montado en pfsense se coloca automaticamente porque no aparece en el printe de pantalla que ha hecho el compañero??? Seria interesante saber que tiene configurado realmente ya que el nat de redireccion del trafico implementa una regla en lan al ser aplicada y se puede observar sin tener que ir modo consola a chequear que el nat este realizado correctamente

                        Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                        http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                        1 Reply Last reply Reply Quote 0
                        • N
                          nicolasxp5
                          last edited by

                          Osea que lo que me conviene para el proxy es hacer un server aparte con squid y no voy a tener problema con las 2 wans q tengo y sus reglas….

                          Estube viendo un sistemita llamado webmin que me permite instalar squid y administrarlo mediante una web (no soy bueno con la terminal) es bueno el webmin?
                          En caso de poner un servidor proxy  la estructura me quedaria

                          internet ---> modem ----> Pfsense ----> squid ----> Red
                          o
                          internet ---> modem ----> squid ----> Pfsense ----> Red
                          ?
                          tambien quiero poner un servidor de dominios en el mismo servidor q ponga squid... habria inconvenientes?

                          1 Reply Last reply Reply Quote 0
                          • A
                            acriollo
                            last edited by

                            Hola amnarl ,la regla no aparece por que esta se inserta directamente sobre las reglas del firewall por el codigo de la aplicacion, como pasa con muchas otras cosas en la GUI.

                            No puedo verla en dos de los sistemas qe tengo. podrias colocar aqui una pantalla en donde aparece ? al parecer algo estoy haciendo mal.

                            Entiendo que el trafico https, no pasa por el cache en modo transparente. ya lo hemos vivido creo que casi todos.

                            saludos

                            1 Reply Last reply Reply Quote 0
                            • belleraB
                              bellera
                              last edited by

                              @nicolasxp5:

                              Buenos días quería saber si hay alguna forma de bloquear el uso de proxys ya que en mi red hay algunas personas que se saltan los bloqueos usando foxproxy o complementos parecidos en firefox o webproxys

                              La única manera efectiva que conozco es squid + squidGuard y en lista negra propia de squidGuard incluir palabras como proxy, anonim…

                              También hay patrones que emplean estos proxys para enmascarar los destinos pedidos:

                              Google detecting and preventing anonymous proxy usage lleva a documentos del Sans Institute donde hay patrones que se pueden bloquear mediante squidGuard.

                              1 Reply Last reply Reply Quote 0
                              • A
                                amnarl
                                last edited by

                                Si amigo la mejor maneras es squid fuera de pfsense hasta virtualizado sirve tiene mejor rendimiento y separas los servicios como se encuentran en entornos profesionales. Mejorando el performance de la red

                                Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                                http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                                1 Reply Last reply Reply Quote 0
                                • N
                                  nicolasxp5
                                  last edited by

                                  Disculpen ya tengo un servidor proxy en otro pc dentro de mi red como configuro el pfsense para que use el proxy?????

                                  1 Reply Last reply Reply Quote 0
                                  • N
                                    nicolasxp5
                                    last edited by

                                    hice un esquema de la red como la estoy configurando, me gustaría que ustedes que están un poco mas en el tema me dan su opinión, disculpen tantas preguntas pero es que me interesa mucho poder llegar a mejorar la red y que quede lo mas optima posible

                                    ![esquema red.jpg](/public/imported_attachments/1/esquema red.jpg)
                                    ![esquema red.jpg_thumb](/public/imported_attachments/1/esquema red.jpg_thumb)
                                    esquema_red.png
                                    esquema_red.png_thumb

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.