SOLUCIONADO-Cliente android se saltaSquid3/SquidGuard/forcesafesearch.google.com

javcasta

Hola.

He implementado en pfSense 2.2.6 amd64, squi3+squidGuard

Y para bloquear imágenes y videos con contenido adulto en busquedas de google, he implementado lo descrito en el procedimiento de google:

https://support.google.com/websearch/answer/186669

Turn on SafeSearch VIP
To force SafeSearch for your network, you’ll need to update your DNS configuration. Set the DNS entry for www.google.com (and any other Google ccTLD country subdomains your users may use) to be a CNAME for forcesafesearch.google.com

Lo he hecho con Host y Domains Overrides en el servicio DNS resolver, redirigiendo google.com y .es a su Virtual IP de forcesafesearch.google.com

Para los PCs de la LAN windows (xp,7,8,8.1) bloquea perfectamente las categorias deny o blacklist de squidGuard y las busquedas de imágenes en google, etc

Pero para los clientes vía wifi de la LAN con Android conectados a un pc de la lan que hace de Acces Point (el tráfico de los android va encapsulado en la IP de ese PC), no hay manera… se saltan los bloqueos

¿Alguien sabe algo al respecto?

Salu2

bellera

Prueba quitando www. en la lista de dominios.

Debería ser google.com y no www.google.com

A ver si es eso.

javcasta

Hola.

Gracias por la idea.

Lo que ocurre es que en lo PCs clientes de la LAN con esa conf, les basta para tener el safesearch de google ok.
Y los Android, a parte de que su tráfico va encapsulado en una sola IP de un PC de la LAN

androids… ))) wifi ((( nic wifi PC -- PC-- Nic Ethernet compartida --- switch --- pfSense --- wan

, y creo que están usando tuneles/VPNs y usan DNS remoto, pero probaré también con el Domain overrides google.com y .es

Salu2

javcasta

Hola.

Lo que hice:

Quité de Domain overrides a Google, manteniendo los Host Overrides de Google y añadiendo todos los dominios de google a forcesafesearch.google.com (lo tengo publicado en: https://www.javcasta.com/configuracion-avanzada-forcesafesearchgoogle-con-pfsense/ , como se hace)

Nota: los domain overrides sirven para indicar al pfSense que servidor o servidores autorizados hay para un dominio local o no y hacerle o redirigir las consultas de y a ese dominio, p.e si existe un DC en la LAN con dominio midominio.local, se crearia un Domain overrides para el apuntando al DNS server del DC.

Obligué a pasar todo el tráfico web (htt y https) vía proxy (se hace con el wpad.dat o proxy.pac y denegando en las reglas de la lan del pfsense el tráfico no autorizado), las consultas DNS desde la lan, solo permito que se hagan al pfSense.

Solo permito tráfico fuera del proxy a puertos con servicios seguros (sftp o ssh tcp22, secure smtp tcp587, etc)

Y deniego todo lo demás (permirto también icmp , pero solo los echo request y echo replies para la lan)

Y muy importante, creo un Host overrides para mi dominio wpda.midominio.local a puntando a la ip lan del pfSense
Y creo un wpda.dat que haga que todo vaya vía proxy excepto para acceder al pfSense o a una ip local o de la lan (esto es por si tienes un servidor web en la lan o en una vpn)…

Y configuro squidGuard que deniegue anonvpn, en pfBlockerNG que deniegue anon_proxy (en pestaña Country > Proxy & Satellite), lo configuro al pfBlocker para que bloquee Tor, y poco más ...

Ya veremos que se les ocurre a los usuarios de Android de la lan para evadirse otra vez :)

Salu2

Finger

interesante.

saludos. ;)

Maekar

Muchísimas gracias por el aporte, ha sido de gran ayuda.

Salu2

javcasta

Hola.

Me alegro :)

Salu2