Consulta sobre Squid+SquidGuard+redirección de puerto 80



  • Hola Comunidad:

    Escenario:

    • Tengo un pfsense 1.2-RC3  instalado con 2 interfaces de red (WAN via DHCP conectada al cablemodem y LAN:192.168.1.1/24 conectada al switch) en una máquina real

    • Configuré el Squid (no está en modo transparente) junto con el SquidGuard.

    • En una máquina virtual instalé WindowsXP para hacer pruebas contra el pfsense dentro de la red 192.168.1.0/24.

    • Internet Explorer lo configuré para que navegue a traves del proxy 192.168.1.1:3128

    • Mozilla Firefox lo dejé en el modo por defecto sin hacerlo pasar por el proxy

    .

    Ahora bien, desde internet explorer el filtro de contenido, el webcache y la autenticación de usuarios funciona a la perfección, pero en Mozilla Firefox obviamente no funciona ya que accede directamente a internet sin pasar por el proxy y por ende no se aplican las ACL del squidguard.

    Como lo voy a implantar en un ámbito donde los usuarios tienen aspiraciones de técnicos informáticos, me he encontrado conque saben modificar los parámetros de la red y de los navegadores. Para no aplicar políticas locales, ya que son varios equipos, quisiera saber si hay manera de hacer funcionar el proxy en modo no transparente sin tener que configurar los clientes uno por uno. O bien redireccionar todo el tráfico solicitado en el puerto http 80 de la LAN y redireccionarlo al puerto 3128 donde escucha el squid. Es viable?

    Si alguien tiene alguna sugerencia se lo agradeceré.

    Saludos y muchas gracias de antemano!

    Luciano



  • Me faltó aclarar que si activo el modo transparente del proxy funciona el filtro de contenidos, pero pierdo la capacidad del squid para autenticar los usuarios para que naveguen.

    Gracias nuevamente

    Luciano



  • ¡Hola!

    squid transparente es un redireccionamiento a nivel del cortafuegos, con lo que se pierde la validación de usuarios. Esto es una limitación de los proxys transparentes, comentada ya en anteriores ocasiones:

    http://wiki.squid-cache.org/SquidFaq/InterceptionProxy

    o

    http://translate.google.com/translate?u=http%3A%2F%2Fwiki.squid-cache.org%2FSquidFaq%2FInterceptionProxy&hl=es&ie=UTF-8&sl=en&tl=es

    Saludos,

    Josep Pujadas



  • Gracias Josep por tu respuesta:

    Eso ya lo tenía claro, lo he leido en post publicados por Ud.

    De todas maneras mi pregunta principal es:

    Como forzar a los navegadores clientes para que usen si o si el webproxy sin tener que configurar nada en los browsers de los clientes? existe alguna forma de hacerlo?

    Muchas gracias por vuestro tiempo.

    Saludos

    Luciano



  • ¡Hola de nuevo!

    Esto que pides se habló hace tiempo …

    Mira si el DHCP de pfSense tiene algo de WPAD. Creo que no ...

    http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

    La solución que hice en su día fue bloquear mediante una regla la navegación directa y poner el proxy en los navegadores. Si a alguien se le ocurre quitarlo simplemente no navega.

    Saludos,

    Josep Pujadas


Log in to reply