Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SquidGuard+LDAP bloquea todas las aplicaciones (hotmail, facebook)

    Scheduled Pinned Locked Moved Español
    8 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      COFroot
      last edited by

      Buenas tardes colegas
      Instale Squid+SquidGuard con autenticación LDAP en una red inalámbrica para nuestros colaboradores. Funciona excelente con el navegador de los dispositivos. (Usuario y contraseña de dominio y estos usuarios caen en un filtro de navegación) Hasta aquí todo bien.

      Resulta que para todos los filtros las aplicaciones de los celulares no cargan o no se actualizan o no tienen acceso hacia afuera osea internet  ejemplo (hotmail, facebook, instagram, etc) Todas las aplicaciones están denegadas aunque el usuario que se autentico sea usuario avanzado.
      El real time del squid me marca DENY y aunque coloque este dominio en lista blanca. Las aplicaciones siguen sin funcionar.
      Como puedo resolver este problema

      Se los agradecería

      1 Reply Last reply Reply Quote 0
      • C
        COFroot
        last edited by

        Proxy manual: Funcionaria excelente si fuese una red LAN donde por lo general solo se utiliza un navegador web, estas máquinas siempre van a estar en la misma LAN. Pero siendo para una red inalámbrica donde se conectaran dispositivos móviles aplicar esta opción, complica las cosas. Además que no eh logrado que las aplicaciones naveguen

        Realice una matriz con las distintas opciones a configurar si le llegan a solicitar para una red inalambrica (login con usuario de dominio)

        Hasta el momento la más factible es Proxy transparente + Portal Cautivo + LDAP: El login del portal cautivo debe colocar las credenciales de domino funciona excelente. Pero ocurre lo siguiente, El Proxxy filter SquidGuard no reconoce el usuario que se logueo en el portal cautivo aunque este sea del dominio, solo reconoce el IP y solo aria el filtro por IP.

        Ocurre que hay dispositivos de gerentes que no queremos que autentique por usuario si no por mac address, cuando agrego en el portal cautivo un segundo servidor FreeRadius este solo le hace caso al primero que este configurado

        Como podría solucionar esto

        ![matriz pfsense.PNG](/public/imported_attachments/1/matriz pfsense.PNG)
        ![matriz pfsense.PNG_thumb](/public/imported_attachments/1/matriz pfsense.PNG_thumb)

        1 Reply Last reply Reply Quote 0
        • J
          j.sejo1
          last edited by

          El pfsense ya incorpora squid3 el cual puede filtrar de forma transparente el trafico SSL. Para ello debes usar una Autoridad de Certificación (AC).

          Partiendo de lo siguiente:

          1. Squid autentica contra LDAP (es decir tu usuario y clave la valida para dejarte pasar).

          2. SquidGuard toma el usuario que le pasa el squid y valida en sus ACL (query) en que grupo se encuentra para aplicar el Filtro.

          Ahora, partiendo que tienes una Red Mixta (Por eso soy fanático al Proxy No Transparente y Dedicado, es decir fuera del Pfsense).  Te recomiendo lo siguiente:

          Maneja Proxy Transparente. Maneja las ACL de tu red de confianza (Cableada)  por IP.  Filtras HTTPS y validad mediante Squidguard las IP.

          Maneja una única ACL Para el portal Cautivo con un unico segmento de REd para esos equipos.

          Con lo anterior expuesto todo pasara por el Proxy.

          Otra opcion.  Autenticas tu red LAN con LDAP,  pero la Wifi (portal cautivo) la dejas directo (sin proxy) no bloquearas nada, pero debe aplicar calidad de servicio para que no te coman el ancho de banda.

          Lo que yo aplicaría: Manejo el Portal cautivo con Pfsense, squid transprente  + squidguard.  para todo lo que es WIFI.

          Y para todo lo que es LAN (que pueda autenticar)  Servidor dedicado. Linux Debian (squid NO transparente, auth ldap + squigduard).

          Este escenario depende de la cantidad de equipos disponibles y de usuarios. Tampoco uno se va a poner creativo para 50 usuarios.

          Pero si estamos hablando sobre los 200, ya prefiero manejar un proxy dedicado y quitarle esa responsabilidad al firewall. esto te da opcion de jugar con los escenarios sin enredar el papagayo (cometa)

          Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
          Hardening Linux
          Telegram: @vtlbackupbacula
          http://www.smartitbc.com/en/contact.html

          1 Reply Last reply Reply Quote 0
          • W
            win_bar
            last edited by

            Por que no usar wpad para este tipo de configuración, aporta todas las ventajas de usar el proxy no transparente y no requiere ser configurado en cada equipo, ni requiere de certificado.

            La única desventaja que he percibido es que mozilla NO toma el proxy y debe ser manual, ie, chrome, Safari funcionan perfecto

            1 Reply Last reply Reply Quote 0
            • J
              j.sejo1
              last edited by

              Gracias por el Aporte win_bar

              Pregunto.

              Para el caso de dispositivos mobiles:  tablet, celulares, ipad, android, ios, blackberry, etc etc,  aplica el wpad?

              Saludos

              Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
              Hardening Linux
              Telegram: @vtlbackupbacula
              http://www.smartitbc.com/en/contact.html

              1 Reply Last reply Reply Quote 0
              • C
                COFroot
                last edited by

                Gracias por responder colegas
                win_bar: Cuando configure proxy no trasparente, en los dispositivos móviles (tablet, celulares, ipad) debes configurar el proxy en la red SSID y cuando navegas la autenticación con LDAP funciona excelente hasta le aplica un grupo de dominio pero ocurre que las aplicaciones instaladas en el dispositivo móvil no funcionan (WhatsApp, Facebook, Instagram) ninguna  funciona aunque el usuario logeado haya sido un usuario con perfil avanzad. Entonces pensé para que usar WPAD si para los dispositivos móviles seguirá el problema con las aplicaciones. (No lo eh intentado)

                j.sego 1: Gracias por tu comentario, es una red Wifi para colaboradores de la empresa. Donde la mayoría de cosas que se conectaran son dispositivos móviles. Lo que buscábamos en principio es que cada usuario sea identificado ósea usuario de dominio y aplicarle un control de navegación (avanzado, medio, básico). Lo que eh logrado hasta ahora es portal cautivo con LDAP. El servidor FreeRadius en este caso es el servidor de dominio. Quisiera poder configurar en la sección de FreeRadius>LDAP pero hasta ahora no eh podido

                1 Reply Last reply Reply Quote 0
                • J
                  j.sejo1
                  last edited by

                  Ahh ok  COFroot

                  Entonces, las aplicaciones (en los dispositivos móviles) no se comportan como en los sistemas Operativos (linux/windows) que buscan la configuración proxy del sistema.

                  Creo que para este punto, tendrás que usar proxy transparente.  son 2 tipos de acl (mi recomendación) 
                  A) Todo el Mudo.
                  B) Privilegiados.

                  Y jugar con eso.

                  Saludos.

                  No he probado freeradius.

                  Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                  Hardening Linux
                  Telegram: @vtlbackupbacula
                  http://www.smartitbc.com/en/contact.html

                  1 Reply Last reply Reply Quote 0
                  • C
                    COFroot
                    last edited by

                    Correcto j.sejo1 los dispositivos móviles no buscan el proxy configurado, solo es visible para el navegador.
                    No eh probado WPAD, pero creo tampoco funcionara.
                    Estoy tratando de configurar service>FreeRadius>LDAP pero  no lo eh logrado

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.