Problema con Squid+ SquidGuard+Wpad
-
Hola amigos buenas tardes, tengo un inconveniente con Squid+ SquidGuard+Wpad tengo la siguiente configuración:
Squid –---> No transparente puerto 3128
SquidGuard -----> Bloqueos Social_net
Wpad -----> Configuración de proxy automatico en equipos de mi redProtocol Source Destination Port
Rules -----> IPv4 TCP LAN net LAN address 3128 PROXY
IPv4 TCP/UDP LAN net LAN address 53 DNSHasta ahi todo funciona de maravilla, el problema que tengo es cuando los usuarios deshabilitan en su equipo en "Opciones de internet", en la configuracion de LAN, la casilla de "detectar la configuración automáticamente".
Si en los equipos de los usuarios esta deshabilitada la opción permite el ingreso a cualquier pagina aun estando las restricciones.
¿Alguna sugerencia para la solución de esta problemática?
Saludos!
-
Hola,
Bueno la solución que dan en algunos tutoriales es bloquear el puerto 443 y el 80 para interfaz LAN. Si deshabilitan la opción de detección automática, no podrán navegar. Deben de quedar debajo de la regla de PROXY que tienes. Yo solo tengo bloqueado el 443 por que el 80 lo redirijo a la ip local por que configure otra instancia de nginx para que sirviera el WPAD en el puerto 80.
Saludos.
-
Hermosillo gracias por tomarte el tiempo de apoyarme con tu respuesta, fijate que bloquee el puerto 443 pero aun asi sigue saltandome la regla :-[
-
Bueno, yo soy nuevo en esto de pfsense. Te pongo una captura de mis reglas que hasta el momento ha funcionado. Lo único que se me ocurre es lo más básico: si le diste guardar y aplicar en squidguard al modificar alguna opción, si verificaste que puedes descargar los archivos .pac y .dat de tu equipo pfsense y si eliminaste los STATES activos.
Te comento las características de mi setup en particular de pfsense+squid+squidguard
-El pfsense es mi DHCP y DNS resolver (no creo que esto esté bien pero por el momento lo he dejado así)
-Está configurado wpad en otra instancia de nginx en puerto 80 (por eso la regla de paso de dicho puerto esta dirigida al firewall)
-Proxy transparente sin Man-in-the-middle
-El load balance no me funciona con squid, todo se va por el gateway por default (sigo investigando)
-El alias ipaccess443 es para IP's que necesito que se vayan directo (no estoy seguro que tenga que utilizar esta regla aquí, ya que por el momento solo tengo una aplicación que requiere de libre paso por puerto 443, la cuál por suerte trae integrada una opción de utilizar proxy ya que no me funcionó esta regla en un principio pero igual la dejé ahí)
-Si le quito detectar automáticamente proxy en cualquier navegador de cualquier cliente dentro de la LAN, ya no puedo navegar.
-Si cambio los DNS manualmente en el adaptador de red, igual se va por el pfsense
-
Con bloquear a nivel de firewall salida hacia los puertos destino 443 y 80, no van a navegar. y solo lo podrán hacer mediante un proxy .
Te aconsejo de que si cuentas con un AD, mediante GPO inhabilites esas opciones para que los usuarios no las puedan cambiar.
saludos.
-
Muchas gracias Hermosillo, estaba fallando en el puerto 80, agradezco infinitamente tu aporte.