Regla para no configurar proxy no transparente en equipos
-
Buenos días a todos….
Para solicitar su ayuda en este tema, ya que he visto en varios tópicos que se puede crear esta regla que estoy buscando, solo que no me ha quedado 100% claro cómo se tiene que hacer.
Les comento que voy empezando con el uso de pfSense y se me ha hecho un firewall bastante completo ya que con una configuración muy básica pude cubrir mis necesidades que prácticamente era bloquear https, ya saben lo típico Facebook, YouTube. Les menciono rápidamente lo que estoy usando actualmente; pfSense 2.1, squid en su versión estable, Ligthsquid en su versión estable.
En el proxy server solo tengo configurado lo siguiente; proxy no transparente, en el access control, un par de ips sin restricciones, la lista negra configurada con expresiones regulares, en la parte de nat; tengo dos reglas que fuerzan a los equipos a usar squid y le quite la opción de replicarlas en la parte de "rules", en la parte de "rules" lo deje tal como estaba con la instalación inicial, al parecer es todo lo que tengo.
Con esto logre bloquear el acceso a https(Facebook, YouTube), pero me implico tener que configurar el proxy en cada equipo, aunque si borran los datos del proxy en automático les quita la navegación, mis dos preguntas como lo dice el título del tema, ¿hay alguna regla que me evite configurar el proxy en un par de equipos que no quiero sé que vean afectados?, ¿una vez configurado el proxy como no transparente, tengo que configurar todos los equipos? como les comentaba tengo un par de ips sin restricciones y funciona, ya que si les meto la configuración del proxy, navego sin problema alguno, cero restricciones, pero quisiera no tener que configurarles el proxy a esos equipos
-
Umm…
Los equipos no navegan si no tienen el proxy porque estás haciendo los NAT Port Forward que posteaste.
Esos NAT Port Forward son incorrectos. Te sirven pero pueden volver loco a squid si hay equipos sin navegador configurado. Para que squid trabaje recibiendo redireccionamiento de puertos tiene que estar en modo transparente. Si no lo está, devuelve un mensaje de error.
Por tanto, te sugiero:
1. Eliminar los NAT Port Forward
2. En LAN
. | Proto | Source | Port | Destination | Port | Gateway
| TCP | excepcion | * | * | 80 | *
| TCP | excepcion | * | * | 443 | *X | TCP | LAN net | * | * | 80 | *
X | TCP | LAN net | * | * | 443 | *| * | LAN net | * | * | * | *
siendo excepcion un alias de IPs con los equipos donde no quieres poner proxy.
Tambien puedes crear un alias navegacion para meter los puertos 80, 443 y tener así menos reglas. Suele emplearse también el rango 8000-8100 en bastantes servidores web, con lo que quizás deberías también incluirlos.
Finalmente decirte que con la última regla que permite todo tus usuarios pueden hacer cualquier (otra) cosa hacia internet. Piensa si eso es idóneo en tu entorno.
-
Uno de los incovenientes de los proxy en modo no transparente es la de tener que manualmente configurar equipo x equipo en los navegadores.
Para contrarestar este problema se creo WPAD.
Este servicio la mayoria de los navegadores actualmente los soportan, el unico que carece creo que es opera.
Aqui viene como puedes atacar este problema: https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid
Te recomiendo limpiar el cache de los navegadores con ccleaner.
No necesitas crear reglas complejas en NAT para que tus usuarios no puedan brincarse el proxy.
Revisa tus logs a ver si alguien no da con proxys publicos que puedan saltarse tus reglas del proxy.
Si tienes usuarios que no deseas que pasen por el proxy como el gerente o dueno de la empresa, yo crearia un ALIAS y los manejaria atraves del firewall solamente, sin requerir ni siquiera que pongan el proxy.
Claro sus reglas deben aparecer antes de las del proxy.
Saludos.
-
Arriba, en Documentación,
Encontrar el proxy externo, WPAD (Web Proxy Autodiscovery Protocol)
-
sr. bellera, sr. periko, agradezco sus aportaciones, ya probé las sugerencias que me hicieron y es exactamente lo que estaba buscando, no me queda más que darles las gracias nuevamente y veremos que otras dudas salen en lo que voy conociendo más de pfSense…..
saludos!!!