Problema con Pfsense 2.3.1 + Squid + Squidguard



  • Muy buenas chicos.
    Regreso a los foros a ver si alguien puede ayudarme, pues intento usar el combo de squid proxy con squidguard para filtrar contenido web en una red y me he topado con muchos problemas.

    El Pfsense me corre bien. Al principio tenía ciertos problemas pero se solucionaron con medo híbrido en outbound Nat y reglas para dejar pasar todo por Wan.

    Instalé el squid, y cuando activaba el transparent proxy, todas las páginas me salían bloqueadas con mensajes como el siguiente:

    Pues nada, como los mensajes eran producidos por squid, caí en cuenta que me estaba bloqueando los host acceso al proxy. Simplemente agregué las subredes que comprenden mi red local en "Allowed Subnets" y ya me empezó a correr bien el proxy transparente.

    Luego puse el sququidguard y bajé la lista negra de Shalla.
    Para probar, activé el bloqueo en una categoría sin importancia, y también puse una nueva categoría hacia una página aleatoria, y en ambos casos se produce lo siguiente:

    Squid debería crear como en el caso anterior, una página indicado que la conexión ha sido denegada, pero en cambio me sale siempre es este error de conexión rechazada. ¿Alguien tiene idea de porqué sucede esto?

    Finalmente, hice el CA en Pfsense para activar el man in the middle para conexiones cifradas, instalé el certificado en mi máquina y activé el man in the middle, pero igual siempre me sale la pantalla de conexión no segura en urls HTTPS. Tampoco encuentro la manera de remediar el problema y sucede con todas las páginas que normalmente usan HTTPS.

    Como siempre, toda ayuda la apreciaría muchísimo… ;D



  • Puedes colocar la configuracion del squid y squidguardian?



  • Seguro.
    Screen de squid:

    Screen de Squidguard:



  • Bueno para empezar, te recomiendo elimiar el blacklist q tienes instalado, el filter https no esta habilitado, entonces empieza primero el squid en modo trasparente y que el squidguardian en  common acl este en allow, asi verificias que el squid este funcionando y el squidguard filtrando, depues de que este eso configura el filtrado https
    algo similar asi como aca

    https://forum.pfsense.org/index.php?topic=115592.0

    hazlo y comenta los avanaces para poderte ayudar



  • Ok, borré la blacklist.
    Solo me queda una categoría cargada, que fue la página que registré para probar la conectividad.
    Igual cuando intento entrar a esta página, me sale un error de conexión rechazada en 127.0.0.1, pero no la página de bloqueo que squid debería elaborar.



  • Me parece que el error lo esta mandando el Squidguard. deshabillitalo para probar que el proxy este funcionando correctamente.

    Lo ideal es ir probando el sistema por capas, de esta manera es mas sencillo encontrar un problema como este.



  • @acriollo:

    Me parece que el error lo esta mandando el Squidguard. deshabillitalo para probar que el proxy este funcionando correctamente.

    Lo ideal es ir probando el sistema por capas, de esta manera es mas sencillo encontrar un problema como este.

    Estas en lo cierto



  • Gracias por sus respuestas.

    He desactivado el squidguard, y usando los ACL de squid, bloqueé un dominio cualquiera.
    Cuando intento entrar a ese dominio, me aparece la página de bloqueo estándar que genera squid, por lo que interpreto está funcionando bien.

    Me parece entonces que el problema, como dicen, es squidguard…



  • Bien, comencé desde el principio una vez mas.
    Probé squid solo con un bloquo en ACL, y se comportó como debería.
    Luego activé el squidguard sin blacklist, y con un solo target categorie definido. Al momento de bloquear, ahora me muestra la siguiente pantalla:

    Ya squid está generando las pantallas, como debería, pero el error que muestra es extraño.
    Parece que squidguard no puede realizar una correcta conexión para que el php sgerror produzca la pantalla de bloqueo correcta.



  • Ese erro de dns lo manda el squid, en

    PackageProxy Server: General SettingsGeneral Use Alternate DNS Servers for the Proxy Server

    coloca un dns y prueeba nuevamente.

    y comentas como te fue


Log in to reply