Pfsense Squid+squidguard+Nat



  • Hola foro mi primer post por aqui , les comento una situacion en particular que estoy desarrollando con Pfsense , estoy poniendo en la ultima version de pfsense un proxy + squidguard no transparente , he creado dos grupos acceso_completo y acceso_limitado , la idea es limitar a la mayoria de los usuarios a no ver youtube , netflix , redes sociales etc y a los jefes full access sin restrincciones . segun lo que he leido en la doc y en el foro no logro que la configuracion me funcione.

    aqui las limitantes que tengo:

    • no me limita al grupo de ip las categorias que he marcado en squidguard para que no entren.
    • Si quito el proxy del navegador las maquinas navegan sin proxy

    para evitar que navegaran deje el nat outbound (Disable Outbound NAT) , pero ahora veo que el squid no navega.

    posteo mis reglas del firewall y la configuracion del squidGUARD












  • Buen día

    Para que los equipos no naveguen sin proxy, debes en las reglas de firewall denegar el tráfico TCP desde la LAN hacia el puerto 80 y 443 que son http y https respectivamente, con eso los forzarás a usar el proxy, también convendría usar wpad o GPO de windows para automatizar el proceso de agregar el proxy al navegador.



  • @Aleximper:

    Buen día

    Para que los equipos no naveguen sin proxy, debes en las reglas de firewall denegar el tráfico TCP desde la LAN hacia el puerto 80 y 443 que son http y https respectivamente, con eso los forzarás a usar el proxy, también convendría usar wpad o GPO de windows para automatizar el proceso de agregar el proxy al navegador.

    Hola ,  con esa recomendacion que me hablas la regla iria a no usar el puerto 80 y 443 desde la lan a la wan? , el problema si que cuando le quite el nat no navegan ni con proxy.



  • Buen día

    Deja las reglas de Outbound tal como estaban.

    Y sí la recomendación es que bloquees desde la LAN hacia ANY en la interfaz LAN esos puertos.



  • bueno me ha quedado asi , aunque no consigo que naveguen con el proxy




  • Buen día

    Esas reglas deben ir de 2 y 3 respectivamente, además la regla que tienes para permitir el puerto 3128, está mal, el destination debe ser any

    Saludos



  • @Aleximper:

    Buen día

    Esas reglas deben ir de 2 y 3 respectivamente, además la regla que tienes para permitir el puerto 3128, está mal, el destination debe ser any

    Saludos

    Ya lo hice el cambio , pero no consigo que navegue el proxy , y le doy bien telnet ip-pfsense 3128 ,  no se si el squidguard tengo al mal.
    en el squidguard no veo los log en tiempo real.



  • Bien aleximper se refiere a la regla que tienes colocando como destino ANY, ahora bien si son pocos clientes se facilita el colocar el proxy de forma manual en cada navegador, de lo contrario deberías complementar lo que hecho con WPAD.




  • @win_bar:

    Bien aleximper se refiere a la regla que tienes colocando como destino ANY, ahora bien si son pocos clientes se facilita el colocar el proxy de forma manual en cada navegador, de lo contrario deberías complementar lo que hecho con WPAD.

    Hola, entiendo la regla y la tengo lista , el proxy lo tengo manual en cada pc , pero no logro que naveguen , he estado siguen la doc y no logro que me jale .

    algo que me falte que les pueda mostrar para lograr el filtrado?



  • Ok , ya resolví , tuve que borrar desde cero todo , luego  cree las reglas del firewall y nat , y el quid esta filtrando.


Log in to reply