Bloqueo de Youtube a usuarios

wexell · Nov 21, 2016, 2:58 PM

Buenos Dias
tengo instalado Squid y acabo de instalar el SquidGuard por requiero hacer la siguiente configuracion.
Hay un grupo de usuarios como bodega y asistentes quienes tienen acceso a youtube y tengo la impresion que pasan viendo videos todo el dia y por eso tengo problemas de ancho de banda.
Lo que necesito es:
1-Crear una lista en el PFsense con la ip o host de todos estos usuarios.
2-Agregarlos a un tipo de lista negra estos Ip o usuarios.
3-Mediante el squid guard poder crear una regla que me bloque el youtube a estos usuarios.

Es posible esto?? como se hace??

PD: Soy nuevo en PFsense, y es necesario que estos empleados tengan internet, a excepción de algunas paginas.

Saludos.

Agradeciendo de antemano

hatchivana · Nov 22, 2016, 6:17 PM

Saludos.

Tienes un par de opciones según lo que se ajuste a tus necesidades.

Si vas a bloquear por completo el sitio en toda tu red a todos los usuarios que navegan bajo tu proxy puedes hacerlo de una foma Facil desde Services/DNS Forwarder/ Domain Overrides.
Pero si lo vas a hacer de forma selectiva tienes que filtrar HTTPS con Squid + SquidGuard y crear los diferentes ACL groups con las IP a las cuales les darás acceso o se los quitaras. Porque Bloquear youtube desde el firewall se convierte en un dolor de muelas :o por la relación que tiene con google.
https://www.youtube.com/watch?v=Vx9RsCwMsl4

amnarl · Nov 23, 2016, 4:23 PM

Saludos mis estimados,

este tema se vuelve un tanto complicado ya que si bien es cierto interceptar trafico https es completamente ilegal y de hecho en algunos países si se aplica la ley en cuanto a delitos informáticos se refiere. Esto de por si ya supone un gran problema y sobre todo para aquellos pequeños WISP que estan detras de soluciones parecidas.

De hecho por ello se ha quedado un poco estancado el tema de cache hoy día para optimizacion de ancho de banda en temas de redes, sobre todo en paises donde es critico el tema del ancho de banda.

El tema de bloqueo via DNS no comparto la idea del compañero del todo en que sirva solo para denegar el acceso a todos los usuarios…. Ya que siempre sera posible crear reglas especificas y si implementas dos dns a nivel local sin que los mismos puedan usar uno publico podrías lograr bloquear especificamente a quien desees mediante reglas claras en pfsense y vaya que pfsense hace el trabajo de dns super bien.

En todo caso queda de usted que solucion desea implementar o se ajuste mas a su entorno.

Quedo atento

wexell · Nov 23, 2016, 6:47 PM

Veo que la mas factible la opcion mediante ACL´s que me da "hatchivana", el detalle es que yo no se como crearlas, es decir si puedo porque hace como 4 años maneje listas de accesos pero con Squid proxy en un Ubunto Server, era mas sencillo, mediante PF sense virtualizado que es como lo tengo no se cuales son los pasos como crearlo.

Con respecto a lo que dices tu "amnarl" no estoy totalmente claro. Dices que tengo que crear reglas especificas (Supongo que es una regla especifica para bloquear youtube desde el firewall) y que luego implemente dos dns locales sin acceso publico como se hace eso no estoy tan claro, es decir yo tengo uno configurado (midominio.local) que pasara con ese, como agrego los otros?

Saludos.

amnarl · Nov 23, 2016, 10:16 PM

Cuando me refiero a que no puedan usar uno publico me refiero a un DNS publico como de google, level3, etc. Es decir restringir o obligar a tus clientes a usar los servidores locales.

Ahora bien la idea de bloqueo por DNS es una pequeña trampa….

Usar un DNS local que hará la resolución real del dominio y otro que lo hará a una ip privada falsa... esto es posible y efectivo sin problemas.....

Obviamente tiene sus pro y contras y esto hay que analizarlo bien a la hora de implementarlo, pero para nada es complicado hacerlo.....

Nombro algunos....

PRO

No necesitas squid para filtrar ya que a nivel DNS lo logras con buena efectividad
Optimizas la navegación ya que una buena y rápida resolución DNS mantiene optimo dicho servicio
Facil configuracion
Trabajas Con solo PFSENSE

Contra

Requieres configurar dos DNS (dos pfsense con DNS FORWARDER) o la liga de DNS en SO diferentes si asi prefieres entre comillas la configuracion es sencillal
Se requiere crear reglas estrictas en lan a ejecutar el bloqueo
No se debe usar para sistemas tipo corte en WISP ya que requiere el dns en cliente sea actualizado para tomar la accion

Si un no entiende, quedo atento para ayudarle

wexell · Nov 23, 2016, 11:17 PM

Hola "armnarl" la verdad lo veo complicado, considerando que soy un novato en cuanto a PFsense. Si me pudieras dar los pasos puntuales a seguir para realizar este tipo de implementacion, te agradeceria. Yo por mi parte voy a seguir leyendo y buscando al respecto y entrandole a las partes de las reglas mediante firewall para ver los comportamiento en los filtrados. Es lo único que podria hacer porque la solucion que me das requiere que tenga un alto nivel de experiencia con el PFsense cosa que no tengo por el momento.

Saludes.

sistemasrefrinorte.com · Nov 24, 2016, 2:08 AM

@amnarl:

Cuando me refiero a que no puedan usar uno publico me refiero a un DNS publico como de google, level3, etc. Es decir restringir o obligar a tus clientes a usar los servidores locales.

Ahora bien la idea de bloqueo por DNS es una pequeña trampa….

Usar un DNS local que hará la resolución real del dominio y otro que lo hará a una ip privada falsa... esto es posible y efectivo sin problemas.....

Obviamente tiene sus pro y contras y esto hay que analizarlo bien a la hora de implementarlo, pero para nada es complicado hacerlo.....

Nombro algunos....

PRO

No necesitas squid para filtrar ya que a nivel DNS lo logras con buena efectividad

Optimizas la navegación ya que una buena y rápida resolución DNS mantiene optimo dicho servicio

Facil configuracion

Trabajas Con solo PFSENSE

Contra

Requieres configurar dos DNS (dos pfsense con DNS FORWARDER) o la liga de DNS en SO diferentes si asi prefieres entre comillas la configuracion es sencillal

Se requiere crear reglas estrictas en lan a ejecutar el bloqueo

No se debe usar para sistemas tipo corte en WISP ya que requiere el dns en cliente sea actualizado para tomar la accion

Si un no entiende, quedo atento para ayudarle

Me parece muy interesante lo que propones, lo has implementado alguna vez? sabes de alguna documentación para hacerlo?

wexell · Nov 24, 2016, 3:01 PM

Como te dije hace rato lo implemente en un server unbuntu pero nada mas squid puro, mediante reglas acl por lineas de comando, con Pfsense cambia toda la cosa no se ni donde encontrar las los archivos de configuración. Tengo mucha documentación pero nada puntual. Me pidieron el bloqueo la restriccion de youtube por que se pone lenta la internet pero veo que es un poco complicado. Yo he usado Kerios y Fortinet anteriormente pero es super sencillo ahi y ahorita no se ni donde empezar.

Saludos.

carmigliore · Nov 30, 2016, 2:18 AM

Soy nuevo en pfsense y quisiera saber si se puede bloquear https://www.youtube.com y https://www.facebook.com con un proxy transparente y squid+squidguard, sin tener que recurrir al uso de un CA al setear man in the middle.

Esto es porque tengo una red en el trabajo con solo 10MB, a ella nos conectamos las 41 PC del trabajo y más de 50 celulares diarios y he descubierto que el youtube me quita mucho ancho. Solo pude bloquear el youtube con proxy transparente y un CA, o con proxy no transparente, pero sería muy complicado tener que configurar los proxy en cada nuevo celular o que los celulares bajen un CA.

j.sejo1 · Dec 8, 2016, 5:00 PM

Mi Formula:

Squid NO Transparente + Squidguard + Horarios.

Tienes celulares? crea una VLAN de WIFI. con Ajuste de Ancho de Banda., o si no tienes para crear vlan, con un WIFI, y a esa IP le regulas el caudal.

Si cuentas con 2 proveedores, pon los que van por cable a un ISP y los de WIFI a otro.

La ventaja del proxy NO transparente, que al bloquear ej: loquesea.com no le interesa si es HTTP o HTTPS. Simplemente no hay PASO.

Saludos.

gersonofstone · Dec 8, 2016, 9:31 PM

@j.sejo1:

Mi Formula:

Squid NO Transparente + Squidguard + Horarios.

Tienes celulares? crea una VLAN de WIFI. con Ajuste de Ancho de Banda., o si no tienes para crear vlan, con un WIFI, y a esa IP le regulas el caudal.

Si cuentas con 2 proveedores, pon los que van por cable a un ISP y los de WIFI a otro.

La ventaja del proxy NO transparente, que al bloquear ej: loquesea.com no le interesa si es HTTP o HTTPS. Simplemente no hay PASO.

Saludos.

Al hacer eso y las 2 redes pasan por el squid mirate que salga por el ISP diferente, cuentame como te resulta porfa

j.sejo1 · Dec 11, 2016, 7:16 PM

Todavía no he logrado que el squid sepa mandar a una red por un enlace X. Creo que se debe a su misma confguracion interna que busca un default gateway.

Lo que hago es que la red cableada (mayoría de usuarios) pasen por el proxy.

Y la red wifi, salga directo. no tiene restricciones, pero les regulo el caudal, van a tener youtube cargando a paso lento.

Por eso, en redes donde ya tengo mas de 100 usuarios y los requerimientos son mas "creativos" siempre opto por usar un servidor Proxy dedicado (mi preferencia: Debian)

Un proxy No transparente para los usuarios PC.

Y otro proxy Transparente para la red wifi. (al ser transparente, el debe ser del default gw de los hosts wifi.

La ventaja de esto, que le puedes meter mano directamente al squid.conf y hacer muchas cosas de forma mas comoda. Libramos al pfsense de esa responsabilidad de regular la salida al servicio de internet.