Bloqueo de Youtube a usuarios

hatchivana

Saludos.

Tienes un par de opciones según lo que se ajuste a tus necesidades.

1. Si vas a bloquear por completo el sitio en toda tu red a todos los usuarios que navegan bajo tu proxy puedes hacerlo de una foma Facil desde Services/DNS Forwarder/ Domain Overrides.

2. Pero si lo vas a hacer de forma selectiva tienes que filtrar HTTPS con Squid + SquidGuard y crear los diferentes ACL groups con las IP a las cuales les darás acceso o se los quitaras. Porque Bloquear youtube desde el firewall se convierte en un dolor de muelas  :o por la relación que tiene con google.
   https://www.youtube.com/watch?v=Vx9RsCwMsl4

amnarl

Saludos mis estimados,

este tema se vuelve un tanto complicado ya que si bien es cierto interceptar trafico https es completamente ilegal y de hecho en algunos países si se aplica la ley en cuanto a delitos informáticos se refiere. Esto de por si ya supone un gran problema y sobre todo para aquellos pequeños WISP que estan detras de soluciones parecidas.

De hecho por ello se ha quedado un poco estancado el tema de cache hoy día para optimizacion de ancho de banda en temas de redes, sobre todo en paises donde es critico el tema del ancho de banda.

El tema de bloqueo via DNS no comparto la idea del compañero del todo en que sirva solo para denegar el acceso a todos los usuarios….  Ya que siempre sera posible crear reglas especificas y si implementas dos dns a nivel local sin que los mismos puedan usar uno publico podrías lograr bloquear especificamente a quien desees mediante reglas claras en pfsense y vaya que pfsense hace el trabajo de dns super bien.

En todo caso queda de usted que solucion desea implementar o se ajuste mas a su entorno.

Quedo atento

wexell

Veo que la mas factible la opcion mediante ACL´s que me da  "hatchivana", el detalle es que yo no se como crearlas, es decir si puedo porque hace como 4 años maneje listas de accesos pero con Squid proxy en un Ubunto Server, era mas sencillo, mediante PF sense virtualizado que es como lo tengo no se cuales son los pasos como crearlo.

Con respecto a lo que dices tu "amnarl" no estoy totalmente claro. Dices que tengo que crear reglas especificas (Supongo que es una regla especifica para bloquear youtube desde el firewall) y que luego implemente dos dns locales sin acceso publico como se hace eso no estoy tan claro, es decir yo tengo uno configurado (midominio.local) que pasara con ese, como agrego los otros?

Saludos.

amnarl

Cuando me refiero a que no puedan usar uno publico  me refiero a un DNS publico como de google, level3, etc. Es decir restringir o obligar a tus clientes a usar los servidores locales.

Ahora bien la idea de bloqueo por DNS es una pequeña trampa….

Usar un DNS local que hará la resolución real del dominio y otro que lo hará a una ip privada falsa... esto es posible y efectivo sin problemas.....

Obviamente tiene sus pro y contras y esto hay que analizarlo bien a la hora de implementarlo, pero para nada es complicado hacerlo.....

Nombro algunos....

PRO

• No necesitas squid para filtrar ya que a nivel DNS lo logras con buena efectividad

• Optimizas la navegación ya que una buena y rápida resolución DNS mantiene optimo dicho servicio

• Facil configuracion

• Trabajas Con solo PFSENSE

Contra

• Requieres configurar dos DNS (dos pfsense con DNS FORWARDER) o la liga de DNS en SO diferentes si asi prefieres entre comillas la configuracion es sencillal

• Se requiere crear reglas estrictas en lan a ejecutar el bloqueo

• No se debe usar para  sistemas tipo corte en WISP ya que requiere el dns en cliente sea actualizado para tomar la accion

Si un no entiende, quedo atento para ayudarle

wexell

Hola "armnarl" la verdad lo veo complicado, considerando que soy un novato en cuanto a PFsense. Si me pudieras  dar los pasos puntuales a seguir para realizar este tipo de implementacion, te agradeceria. Yo por mi parte voy a seguir leyendo y buscando al respecto y entrandole a las partes de las reglas mediante firewall para ver los comportamiento en los filtrados. Es lo único que podria hacer porque la solucion que me das requiere que tenga un alto nivel de experiencia con el PFsense cosa que no tengo por el momento.

Saludes.

sistemasrefrinorte.com

@amnarl:

Cuando me refiero a que no puedan usar uno publico  me refiero a un DNS publico como de google, level3, etc. Es decir restringir o obligar a tus clientes a usar los servidores locales.

Ahora bien la idea de bloqueo por DNS es una pequeña trampa….

Usar un DNS local que hará la resolución real del dominio y otro que lo hará a una ip privada falsa... esto es posible y efectivo sin problemas.....

Obviamente tiene sus pro y contras y esto hay que analizarlo bien a la hora de implementarlo, pero para nada es complicado hacerlo.....

Nombro algunos....

PRO

• No necesitas squid para filtrar ya que a nivel DNS lo logras con buena efectividad

• Optimizas la navegación ya que una buena y rápida resolución DNS mantiene optimo dicho servicio

• Facil configuracion

• Trabajas Con solo PFSENSE

Contra

• Requieres configurar dos DNS (dos pfsense con DNS FORWARDER) o la liga de DNS en SO diferentes si asi prefieres entre comillas la configuracion es sencillal

• Se requiere crear reglas estrictas en lan a ejecutar el bloqueo

• No se debe usar para  sistemas tipo corte en WISP ya que requiere el dns en cliente sea actualizado para tomar la accion

Si un no entiende, quedo atento para ayudarle

Me parece muy interesante lo que propones, lo has implementado alguna vez? sabes de alguna documentación para hacerlo?

wexell

Como te dije hace rato lo implemente en un server unbuntu pero nada mas squid puro, mediante reglas acl por lineas de comando, con Pfsense cambia toda la cosa no se ni donde encontrar las los archivos de configuración. Tengo mucha documentación pero nada puntual. Me pidieron el bloqueo la restriccion de youtube por que se pone lenta la internet pero veo que es un poco complicado. Yo he usado Kerios y Fortinet anteriormente pero es super sencillo ahi y ahorita no se ni donde empezar.

Saludos.

carmigliore

Soy nuevo en pfsense y quisiera saber si se puede bloquear https://www.youtube.com y https://www.facebook.com con un proxy transparente y squid+squidguard, sin tener que recurrir al uso de un CA al setear man in the middle.

Esto es porque tengo una red en el trabajo con solo 10MB, a ella nos conectamos las 41 PC del trabajo y más de 50 celulares diarios y he descubierto que el youtube me quita mucho ancho. Solo pude bloquear el youtube con proxy transparente y un CA, o con proxy no transparente, pero sería muy complicado tener que configurar los proxy en cada nuevo celular o que los celulares bajen un CA.

j.sejo1

Mi Formula:

Squid NO Transparente + Squidguard + Horarios.

Tienes celulares? crea una VLAN de WIFI. con Ajuste de Ancho de Banda., o si no tienes para crear vlan, con un WIFI, y a esa IP le regulas el caudal.

Si cuentas con 2 proveedores, pon los que van por cable a un ISP y los de WIFI a otro.

La ventaja del proxy NO transparente, que al bloquear ej:  loquesea.com  no le interesa si es HTTP o HTTPS.  Simplemente no hay PASO.

Saludos.

gersonofstone

@j.sejo1:

Mi Formula:

Squid NO Transparente + Squidguard + Horarios.

Tienes celulares? crea una VLAN de WIFI. con Ajuste de Ancho de Banda., o si no tienes para crear vlan, con un WIFI, y a esa IP le regulas el caudal.

Si cuentas con 2 proveedores, pon los que van por cable a un ISP y los de WIFI a otro.

La ventaja del proxy NO transparente, que al bloquear ej:  loquesea.com  no le interesa si es HTTP o HTTPS.  Simplemente no hay PASO.

Saludos.

Al hacer eso y las 2 redes pasan por el squid mirate que salga por el ISP diferente, cuentame como te resulta porfa

j.sejo1

Todavía no he logrado que el squid sepa mandar a una red por un enlace X. Creo que se debe a su misma confguracion interna que busca un default gateway.

Lo que hago es que la red cableada (mayoría de usuarios) pasen por el proxy.

Y la red wifi, salga directo. no tiene restricciones, pero les regulo el caudal, van a tener youtube cargando a paso lento.

Por eso, en redes donde ya tengo mas de 100 usuarios y los requerimientos son mas "creativos" siempre opto por usar un servidor Proxy dedicado (mi preferencia: Debian)

Un proxy No transparente para los usuarios PC.

Y otro proxy Transparente para la red wifi.  (al ser transparente, el debe ser del default gw de los hosts wifi.

La ventaja de esto, que le puedes meter mano directamente al squid.conf y hacer muchas cosas de forma mas comoda. Libramos al pfsense de esa responsabilidad de regular la salida al servicio de internet.