Opiniones y consultas sobre infraestructura
-
Amigos que opinan de instalar varias veces squid o configurarlo para trabajar en varias instancias.
Supongamos que en el puerto 3128 bloqueo todo menos 2 webs, en el puerto 3129 solo bloqueo el contenido como xxx etc y en el puerto 3130 no bloqueo nada. Seria como 3 proxys diferentes cada uno con sus reglas.
Opiniones, puntos que no tube en cuenta??? -
Eso, puedes hacerlo con una sola instancia.de.squid y squidguard
-
Perdon juancho serias tan amable de pasarme algun link donde encuentre informacion sobre el tema, la verdad no consegui dar con esos datos.
Gracias
-
Estoy navegando a traves de los archivos de configuracion de squid y squidguard veo que tienen reglas y me imagino que quizas desde ahi podria de alguna manera decirle que si llega un usr al puerto x tratarlo con n blacklist y si viene al puerto z tratarlo con r blacklist. Es esto probable? se puede realizar desde el configurador web?
-
Toda esa configuracion.puedes hacerla desde el administrador web. Adema squidguard tiene un archivo de lista negra, que te facilita el trabajo
-
Deberia de todas maneras cargar varias listas negras, por lo menos 1 por cada puerto de escucha ej:
puerto 3128 –------ lista negra que prohibe todo
puerto 3129 -------- lista negra que solo prohibe xxx
puerto 3130 -------- todo permitidosquid deberia escuchar en todos ellos y dependiendo de que puerto proxy le configure a cada cliente es que lista le van a aplicar.
Espero se entienda lo que intento y muchas gracias por los aportes, me sirven para refinar mis busquedas.Gracais
-
Perdon alguien me podria dar alguna nocion sobre esto o algun link o darme alguna idea para encontrarlo.
Agradecido de antemano -
Hola
Para que squid escuche en múltiples puertos:
How to Configure a Squid Proxy to Listen on Multiple Ports
http://www.liquidweb.com/kb/how-to-configure-a-squid-proxy-to-listen-on-multiple-ports/Squid configuration directive http_port
http://www.squid-cache.org/Doc/config/http_port/Imagino que en pfsense se hará en advanced features o integrations de squid proxy server o retocando squid.conf "a mano"
http_port 10.0.0.254:3128
http_port 10.0.0.254:8080
http_port 192.168.0.254:3128
http_port 192.168.0.254:8080
http_port 127.0.0.1:3128
http_port 127.0.0.1:8080Salu2
-
Grande Jav muchas gracias por responder. Estube mirando http://www.visolve.com/squid/squid30/contents.php y da muy buena data sobre el tema, pero lo que no logro saber es como hacer que dependiendo en que puerto squid reciba el pedido lo direccione a diferentes filtros de squidguard. Y como juancho menciono que se puede hacer y desde el entorno web me gustaria sueguir la configuracion desde ahi asi mantengo un solo criterio.
Hay muchos tutoriales sobre pf pero no logro encontrar sobre este tema ni siquiera en este foro en la seccion de documentacion, donde hay mucho sobre squid/squidguard.
Mil gracias por ser tan serviciales logre o no lo que intento las gracias ya van de antemano.S.C.
-
Deberia de todas maneras cargar varias listas negras, por lo menos 1 por cada puerto de escucha ej:
puerto 3128 –------ lista negra que prohibe todo
puerto 3129 -------- lista negra que solo prohibe xxx
puerto 3130 -------- todo permitidosquid deberia escuchar en todos ellos y dependiendo de que puerto proxy le configure a cada cliente es que lista le van a aplicar.
Espero se entienda lo que intento y muchas gracias por los aportes, me sirven para refinar mis busquedas.Gracais
con squidGuard, eso puedo hacerlo en la opcion de grupos, puedes crear un grupo que sea libre, otros que solo vae cosas oficiales, otros que se menos restingido, en cada grupo colocas las ip que quieras liberar segun sea el caso..no le veo mucho sentido a esto
puerto 3128 -------- lista negra que prohibe todo puerto 3129 -------- lista negra que solo prohibe xxx puerto 3130 -------- todo permitido
cuando puedes hacerlo con el proxy escuchando solo en o donde desees.. asi lo tengo
![Captura de pantalla_2016-05-05_20-51-54.png](/public/imported_attachments/1/Captura de pantalla_2016-05-05_20-51-54.png)
![Captura de pantalla_2016-05-05_20-51-54.png_thumb](/public/imported_attachments/1/Captura de pantalla_2016-05-05_20-51-54.png_thumb)
![Captura de pantalla_2016-05-05_20-53-04.png](/public/imported_attachments/1/Captura de pantalla_2016-05-05_20-53-04.png)
![Captura de pantalla_2016-05-05_20-53-04.png_thumb](/public/imported_attachments/1/Captura de pantalla_2016-05-05_20-53-04.png_thumb) -
Gracias por la respuesta juancho
Comento en detalle lo que busco asi se entiende mejor
La idea es tener 4 tipos de permisos de navegacion y que esto se aplique por usuario. Pretendo lograrlo haciendo que el DC fuerce por politica la configuracion del proxy, entonces si un usuario tiene el proxy configurado en "x" puerto le corresponden "n" restricciones. Si en el mismo equipo se logea otro usuario de active directory se le va a forzar otra configuracion de proxy (otro puerto) por tanto tendria diferentes restricciones.
Por eso necesito que PF atienda en diferentes puertos pero dependiendo del puerto es que rstriccin aplica.
Logro que sin interaccion entre pf y windows discrimino la navegacion por usur de AD.
Esto tiene muchas implicancias que evito comentar para no complicar la cosa jaja
Gracias amigos
-
Hola.
Lo que quieres hacer, alejandrolione, ya te da la solución juancho.
En squidGuard > Groups ACL.
Creas un grupo:
Name : userallowallClient (source): (aquí pongo usuarios del proxy, mi proxy squid lo he configurado para que trabaje con authentication local, los usuarios se definen en Proxy Server: Local Users > Users, pero puedes configurar squid para que la autenticación sea contra un servidor de dominio o un servidor radius)
'usuarioallowall' 'desarrollador1' 'contabilidad0' 'mariagm' 'joseha'
También admite definir en Cliente (source) aparte de usuarios: IPs, redes, rango de ips, dominios, busquedas ldap
Enter client's IP address or domain or "username" here. To separate them use space.
Example:
IP: 192.168.0.1 - Subnet: 192.168.0.0/24 or 192.168.1.0/255.255.255.0 - IP-Range: 192.168.1.1-192.168.1.10
Domain: foo.bar matches foo.bar or *.foo.bar
Username: 'user1'
Ldap search (Ldap filter must be enabled in General Settings):
ldapusersearch ldap://192.168.0.100/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=it%2cCN=Users%2cDC=domain%2cDC=com))Como es un grupo sin restricciones en target rule, pongo Default access [all] (que la tengo allow).
Paara otros usuarios con restricciones, se deberia crear otro Group ACL y en target rules (cuya fuente es la blacklist), elegir las categorias a denegar
Salu2
-
La verdad que no pudo mas que agradecer por el apoyo muchachos.
Segun entiendo javcasta no se puede hacer lo que quiero con este procedimiento que gentilmente me facilitas, no puedo usar el origen ni los usuarios querria diferenciar por puerto del pf o hasta por la interface a la que llega (preferentemente puerto)supongamos que tengo 2 usuarios cuya configuracion de proxy es la siguiente:
usuario A - - - - - - http proxy 10.0.0.1 - - - puerto 3128
usuario B - - - - - - http proxy 10.0.0.1 - - - puerto 3129
Partiendo de esto squidguard aplica una politica en un puerto y una diferente al otro.
Querria aplicar diferentes filtros a diferentes puertos, se entiende?
En caso de no poder hacerce esto seria factible hacerlo por interface (de pf) puedo crear interfaces virtuales y aplicar filtros por interface.Espero haberme expresado correctamente y como siempre agradecido de antemano.
Aclaro que por lo menos en la biblia de squid o en la web oficial de ambos no encontre este dato.
Muchas gracias
S.C.
-
Hola
Con squidGuard > Groups ACL. Puedes aplicar diferentes políticas de filtrado según sea el usuario y/o la ip y/o el segmento de red y/o busquedas ldap.
Lo bueno del caso es que si integras validación de usuarios contra un servidor de dominio o Active directory, y configuras squid/squidGuard para que consulte al servidor DC/AD la autenticación, no hará falta que dependa de la IP, sino del usuario, y dependiendo del usuario squidGuard > Groups ACL aplicará unas reglas de filtrado u otras … Creo que es complicarse la vida intentar algo con distintos puertos, etc, si squidGuard > Groups ACL. ya te da la solución
Un ejemplo para que squid use authetication LDAP:
How to Setting Squid on PFSense with Authentiaction LDAP Windows
https://vicryhc.wordpress.com/2013/07/08/how-to-setting-squid-on-pfsense-with-authentiaction-ldap-windows/Salu2
-
No me van a alcanzar los agradecimientos jajaj.
Javcasta si autentico contra un dc/ad en una interface y tengo un portal cautivo en otro para los usuarios que no forman parte de la organizacion como se podria solucionar eso? (entiendo que al configurar squidguard para autenticar contra ad lo ara en todas las interfaces incluso en la que no deberia, portal cautivo)Gracias
S.C.
-
Si quieres tener 3 tipos de usuarios porque no lo usas con las listas de aceso del squid y no te complicas creando las instancias al final es un unico squid que atiende todas las peticiones, de squid y grupos de usuarios te puedo ayudar
-
Agradesco qrealmente el apoyo la ayuda y las idea gracias muchachos.
Paso en limpio la idea y hasta quizas me den alguna idea mejor que lo que intento.*******
* PF *–-LAN1 red de la empresa integrada con AD---tres tipos de usuarios 1 no navega
* * 2 navega con restricciones
* * 3 navega sin restricciones
* *
* *---LAN2 portal cautivo---un solo tipo de usuario---posiblemente con las mismas
******* restricciones que el usr2 de lan 1Los usuarios del portal cautivo deberian ser anonimos no asi los de la lan1 dado que por usuario es que se aplican las restricciones. A tener encuenta que deberia ser por usuario dado que no siempre se usan los mismos puestos de trabajo y se acostumbraron a usar microsoft ISA por lo que no les gusta que para navegar pida usr y pass. De estas cosas se desprende que buscaba una manera de lograrlo.
Yraul te agradesco cualquier mano que puedas darme al igual que a todos los que vienen dedicandome tiempo para lograrlo.Muchas gracias de verdad
S.C.