Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Filtro dei contenuti

    Scheduled Pinned Locked Moved Italiano
    19 Posts 2 Posters 3.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dcor68
      last edited by

      Rieccomi, vdantoni,
      ho iniziato a testare parte della guida da te segnalata.
      Ci sono alcune cose non chiare: quando in target si crea una whitelist bisogna aggiungere tutti quei domini di google?
      Bisogna bloccare le porte 80 e 443?
      Potresti postare img delle tue regole di fw se non chiedo troppo?
      Domani finisco creando wdap
      Tu hai agito su common ACL oppure lì è tutto su DENY e poi hai creato delle regole di gruppo?

      1 Reply Last reply Reply Quote 0
      • V
        vdantoni
        last edited by

        allora:

        "Bisogna bloccare le porte 80 e 443?"

        Personalmente le porte 80 e 443 non le blocco, perche' escludo un paio di periferiche da squid. Il traffico diretto verso quelle porte che non viene escluso viene comunque intercettato dalla modalita' trasparente di squid. Quindi se non lo fai, a mio modesto parere, cambia poco.

        "Tu hai agito su common ACL oppure lì è tutto su DENY e poi hai creato delle regole di gruppo?"

        non ho messo su deny, ma ho bloccato molte categorie su common acl, mentre ad alcuni pc con ip fisso ho assegnato una categoria molto meno restrittiva, bloccando praticamente solo la categoria spyware e ads.

        "quando in target si crea una whitelist bisogna aggiungere tutti quei domini di google?"

        Allora, a questo punto dovresti aver settato google e bing in modalita' filtrata. A questo punto dovresti bloccare la categoria "searchengines" sotto common acl, perche' se non lo fai, un utente puo' cercare tutta la roba che cerchi di bloccare su un altro motore di ricerca non filtrato, tipo chesso', yahoo. Basta che immette un risultato per adulti e il gioco e' fatto. Quindi devi bloccare tutti i motori di ricerca.
        Il problema e' che cosi' facendo blocchi pure google e bing. E li entra in gioco la whitelist!
        Devi per forza sbloccare pure la versione afghana e uruguayana di google?probabilmente no, puoi pure limitarti a google.it, google.com e bing.com credo. Io per pigrizia ho fatto copia/incolla.

        Posso mandarti img delle mie regole di firewall, premettendo che non hanno niente di particolare o interessante, quale pagina ti serve?

        1 Reply Last reply Reply Quote 0
        • D
          dcor68
          last edited by

          Allora ti spiego meglio:
          la classe che è uso è in /16 e il ns ambiente è una scuola fatta di laboratori, cattedra aule e cattedra laboratori che avranno politiche diverse; per questo di default nego tutto su common acl e poi apro tutto nelle varie classi in /24 andando poi a negare diverse categorie in base alla tipologia di appartenenza dei diversi client.
          Al momento sono arrivato a definire google e bing come modalità protetta, per finire mi manca wdap.
          Al momento ho seguito la guida e mi sono arenato un po' all'elenco dei vari domini google in whitelist.
          Cosa intendi che escludi un paio di periferiche di pfsense?
          Per le immagini mi piacerebbe vedere le regole di nat e di fw di lan
          Se puoi anche la videata common acl e quelle che ritieni opportune mostrarmi.
          Ti ringrazio ancora per la disponibilità

          1 Reply Last reply Reply Quote 0
          • V
            vdantoni
            last edited by

            forse dovevo specificare all'inizio che io mi occupo di pfsense solo per diletto, quindi ti parlo sicuramente non da professionista di pfsense.

            "Le periferiche che escludo" sono letteralmente due periferiche che ho a casa, un google home mini e un roku, che non sono proprio compatibili col proxy, o quantomeno che non ho interesse a perderci tempo per farle funzionare. Quindi le ho escluse da squid.

            Secondo me al momento stai facendo tutto bene. la "lista dei domini di google in whitelist" e' proprio quello che descrive il nome stesso, una lista di domini che non vengono bloccati da squidguard, nonostante la categoria "searchengines" sia bloccata. Vedrai che sara' molto piu' chiaro quando avrai completato la guida per intero e funzionera' tutto.

            Da quello che capisco della tua situazione, potresti pure bloccare tutto come common acl, creare un gruppo con una whitelist "aule" e metterci una lista di domini alla quale le aule possono accedere, creare un secondo gruppo con la whitelist "laboratori" con una lista di domini a cui i laboratori possono accedere. Vedrai che una volta settato tutto per bene sara' una bazzecola implementare un sistema simile.

            ti mando le foto che mi richiedi nel prossimo post.

            1 Reply Last reply Reply Quote 0
            • V
              vdantoni
              last edited by

              foto

              screencapture-192-168-1-1-firewall_rules-php-2018-03-23-15_19_23.png
              screencapture-192-168-1-1-firewall_nat-php-2018-03-23-15_18_30.png_thumb
              screencapture-192-168-1-1-firewall_nat-php-2018-03-23-15_18_30.png
              screencapture-192-168-1-1-firewall_rules-php-2018-03-23-15_19_23.png_thumb
              screencapture-192-168-1-1-pkg_edit-php-2018-03-23-15_20_07.png
              screencapture-192-168-1-1-pkg_edit-php-2018-03-23-15_20_07.png_thumb
              screencapture-192-168-1-1-pkg_edit-php-2018-03-23-15_20_57.png
              screencapture-192-168-1-1-pkg_edit-php-2018-03-23-15_20_57.png_thumb

              1 Reply Last reply Reply Quote 0
              • D
                dcor68
                last edited by

                Innanzitutto vorrei ringraziarti per la tua cortesia. E' stata preziosa
                Ho finito il tutto e deve dire che funziona e anche benissimo.
                Con questo sistema sembra che anche l'utilizzo di ultrasurf, sw per scavalcare le poliche del fw sia bloccato.
                Grazie

                1 Reply Last reply Reply Quote 0
                • D
                  dcor68
                  last edited by

                  vdantoni un ultimo piccolo aiuto.
                  Se attivo il certificato in squid server blocca un sito in https che serve (registro elettronico) e lo blocca con una pagina di connessione non riuscita e non di blocco squidguard.
                  Sai come bypassare il problema? L'ho messo pure in whitelist ma nulla, spesso, non sempre, viene bloccato purtroppo.

                  1 Reply Last reply Reply Quote 0
                  • V
                    vdantoni
                    last edited by

                    Io proverei a fare cosi', supponendo che tu stia usando un'edizione recente di windows come OS. Putroppo non ho una versione di windows in italiano (vivo negli USA) ma spero che tu riesca a trovare il corrispettivo in italiano.

                    Su i client connessi a pfsense:

                    1.  vai su command prompt e scrivii comando ipconfig /flushdns
                    2. vai sul pannello di controllo, internet options, lan settings, metti una spunta su automatically detect settings e lascia tutte le altre senza spunta. Google chrome, Internet Explorer ed Edge dovrebbero rispettare quell'opzione, mentre firefox dovrebbe avere un'impostazione nei settings. Se non riesci a trovare un'impostazione di configurazione proxy automatica metti 192.168.1.1/wpad.dat come proxy.

                    Se ancora non funziona prova a vedere se le impostazioni della guida su wpad siano effettivamente corrette. digita http://192.168.1.1/wpad.dat e ti scarichera' un file di testo che dovrebbe contenere:

                    function FindProxyForURL(url, host)
                    {
                        if (isPlainHostName(host) ||
                            shExpMatch(host, "*.local") ||
                            isInNet(dnsResolve(host), "192.168.1.0",  "255.255.255.0"))
                            return "DIRECT";

                    return "PROXY 192.168.1.1:3128";
                    }

                    1 Reply Last reply Reply Quote 0
                    • D
                      dcor68
                      last edited by

                      Ciao vdantoni
                      l'ho risolto aggiungendo alla voce Custom Options (Before Auth) presente in proxy server>Advanced Features quanto segue:

                      setup ssl bump acl's

                      acl bump_step1 at_step SslBump1
                      acl bump_step2 at_step SslBump2
                      acl bump_step3 at_step SslBump3

                      configure bump

                      ssl_bump peek bump_step1 all
                      ssl_bump splice all
                      ssl_bump peek bump_step2 all
                      ssl_bump splice bump_step3 all

                      sslproxy_cert_error deny all

                      I blocchi sono rispettati e i siti https che prima davano messaggio d'errore o sono funzionanti.

                      La configurazione wpad.dat era corretta; io uso un virtual IP come GW ma nel complesso era giusta.

                      Grazie!!!

                      1 Reply Last reply Reply Quote 0
                      • D
                        dcor68
                        last edited by

                        Sembrava risolto ma invece durante l'uso a random si ha "connessione non riuscita"
                        Il sito presenta diversi IP che cambiano in continuazione e forse il problema è proprio questo.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.