Ayuda para configurar Squid Guard de la siguiente manera



  • Por favor ayudenme

    Necesito ayuda para hacer lo siguiente dentro del Pfsense.
    Por ejemplo en una Red sin Vlans  se necesita dividir a 2 tipos de grupos con el Proxy Squid

    192.168.1.1 hasta 192.168.1.30 tienen acceso a todas las paginas de internet pero no a las paginas
    www.mensajitos.com
    www.rapidshare.com

    192.168.1.31 hasta 192.168.1.60 no tienen acceso a la internet solo a las paginas
    www.banco.com
    www.diario.com

    como podria hacer esta configuración???
    gracias.



  • ¡Hola!

    Si es tan simple como propones yo no lo haría con squidguard sino con alias y reglas de cortafuegos.

    Haces cuatro alias con grupos de IPs:

    todo_internet 192.168.1.1 hasta 192.168.1.30
    solo_bancos 192.168.1.31 hasta 192.168.1.60
    prohibidas (con las IPs de www.mensajitos.com y www.rapidshare.com)
    bancos (con las IPs de www.banco.com www.diario.com)

    Y haces las correspondientes reglas en LAN combinando los cuatro alias.

    Puede que alguno de tus dominios tenga varias IPs. Algunas veces ya hemos hablado de cómo averiguar esto. Ejemplo:

    nslookup www.google.com

    Y si queremos saber el rango completo http://www.arin.net/whois/ resulta bastante útil para tomar decisiones sobre determinados dominios.

    Ahora bien si el tema es más complejo entiendo que quizás no te baste con el configurador web, donde puedes poner whitelist y blacklist pero no recuerdo si se pueden aplicar las whitelist y las blacklist a direcciones IP de la LAN (no empleo squid+squidguard sobre pfSense).

    En un squid+squidguard completo (en una máquina FreeBSD o Linux), manejando a mano los archivos de configuración, se puede hacer perfectamente. Se pueden hacer muchas más cosas, incluso horarios por grupos de IPs. El configurador web de pfSense es una maravilla pero tiene sus limitaciones.

    Saludos,

    Josep Pujadas



  • Saludes de mi parte,
    En Fedora he realizado esa configuracion, grupos diferentes con reglas para cada uno de ellos, como es acceso a solo bancos para un grupo, y bloquear pornografia (con squidguard) para toda la red, asi como permitir internet a otro grupo o solo correo para otro. Tuve realizando pruebas con pfsense aplicando reglas en el fireware y luego utilizando squid + squidguard. pero lamentablemente no me funciona, luego aplique solo squid+squidguard pero no encontre la opcion para limitar a un grupo solo una cantidad de web seleccionadas, (en tu caso los bancos), ademas que paquete squid version beta que facilita pfsense, me dio problemas con squidguard, la lista de restricciones, se deshabilitaban, aun quedo con la incognita si realmente funciona al 100% o no squid +squidguard en pfsense ya sea con firewall o sin el (y a esto me refiero aplicando reglas) dado que el squid tiene sus propias reglas asi como su propio horario para su uso.



  • Gracias por responder a mi pedido.

    Te cuento que trate de la forma que me indicas, Por IP.
    El problema : solo puedo acceder a las paginas habilitadas con el IP de la pagina a la que quiero acceder y no asi con la direccion URL. como podria solucionar este problema?

    Muchas Gracias
    Raul Cardozo



  • ¡Hola de nuevo!

    No entiendo qué quieres decir. Se pueden hacer reglas del tipo:

    Permitir origen todo_internet destino !prohibidas (distinto de prohibidas)
    Permitir origen solo_bancos destino bancos

    Saludos,

    Josep Pujadas



  • Ej:

    Permitir solo_bancos destino bancos.

    Tomando en cuenta que en el Grupo de Bancos se ingresa las Direcciones Ip de las paginas  de los Bancos.

    Solo puedo ingresar desde el Grupo solo_bancos introduciendo el IP del Banco en el explorador de internet y no asi el nombre del dominio www.banco.com

    Como puedo solucionar ese problema?

    Gracias



  • ¡Hola!

    Te falta, antes de estas reglas, la que autoriza la resolución de nombres (DNS) hacia afuera:

    TCP/UDP Origen cualquiera Destino cualquiera puerto 53

    Y para la sincronización horaria:

    UDP Origen cualquiera Destino cualquiera puerto 123

    Saludos,

    Josep Pujadas


Log in to reply