Urgente! ayuda con squid transparente para filtrado web



  • Saludos

    Necesito ayuda urgente para configurar filtrado web transparente, es para una red wifi pública por lo que no se puede colocar configuraciones en el cliente. 
    He seguido varias guias como ésta: http://www.linux-party.com/57-seguridad/8357-manual-sobre-crear-un-proxy-transparente-con-pfsense-squid-squidguard  pero no funciona.

    No sé si falta configurar alguna regla en firewall o algo así.

    Si coloco el proxy en el navegador bloquea los sitios indicando que el sitio está temporalmente inactivo, y sólo me muestra el mensaje de bloqueo al entrar a la ip local del pfsense.

    Ayuda por favor.



  • Empieza por poner los pantallazos de tus configuraciones, quiero pensar que pfsense esta como fw+dns cache y esta funcionando sin problemas ?

    Saludos.



  • Estas son las capturas más importantes creo yo.












  • Arranca primero el squid sin el squidGuard, 1ero que funcione squid.

    En el squid habilita la opcion: Resolve DNS IPv4 First.

    Public_WIFI es donde esta montado tu red publica correcto?

    Y muestra las reglas de tu FW para la red Public_WIFI.

    DHCP trabajando correcto?

    Saludos.



  • Correcto, Public WIFI es la recque necesito filtrar.
    El DHCP funciona correctamente

    Puse un par de reglas que vi en un video, en NAT y public wifi para obligar a pasar por el proxy.

    Estoy probando sin el squidguard






  • Amigo, de una vez te digo que no podrás filtrar HTTPS en modo transparente, amenos que instales un certificado válido en cada cliente (lo cual no es factible), o entres al dolor de cabeza que tengo yo, con el WPAD, lo cual en teoría les manda la configuración del proxy de manera automática y transparente para los usuarios, pero realmente es un proxy NO TRANSPARENTE.

    Y es así, cuando podrás filtrar HTTP, Y HTTPS… la mayoría de las páginas que uno desea filtrar, ya corren por HTTPS.



  • Creo que esta un poco confundido.

    a) Tienes un proxy publico, los tienes a una tarjeta de tu pfsense, por que habilitas el proxy en WAN?
    Si sabes lo que estas haciendo?

    b) En tu fw tienes una regla que le permite a tu red Public_WIFI acceder a el proxy sin embargo en modo transparente esta regla queda sin utilidad, Pfsense se encarga de mover ese trafico cuando los clientes le pegan a el puerto 80 de salida, y luego agregas una regla que a tu RED completa le permite navegar sin proxy, es regla esta fuera de lo que deseas hacer, se contradice.

    c) En tu Public_WIFI la 1er te recomiendo que sea la que le permite a tu red Public_WIFI hacer consultas a DNS ya sea que vayas a usar el interno de pfsense u otro.

    d) Vas a ocupar una regla que permita a tu red salir a el puerto 443, si no habilitas el modo SSL-Filtering vas a tener problema, pero habilitarlo tendras otros dolores de cabeza, asi que mejor habilita la regla, si no muchos sitios no podran acceder por que trabajan el SSL y el proxy transparente de fabrica solo trabaja en el puerto 80.

    Saludos.



  • Confundido ya estoy bastante.  :-\

    La red wifi es para un centro educativo y son varios AP's.
    Por lo tanto se debe bloquear principalmente sitios de pornografía y de ahí contenidos como violencia, drogas, etc. pero como dijo fabshdz usan HTTPS.
    La regla en el WAN la vi en un video y como ya estoy desesperado, pruebo lo que encuentro.
    y otra regla de la red publicwifi, entiendo que sin eso no navega.

    Entonces: Cómo podría lograrlo?
    WPAD creo que serviría, con tal que el usuario no tenga configurara nada.

    Gracias por su orientación



  • de hecho es lo que debes usar…

    en teoría WPAD es la salvación.

    Solo que si debes poner en orden todo lo demás



  • Si gustas mandame un mensaje en privado para darte mi cuenta de hangout o skype para ver si puedo ayudarte, saludos.



  • OK. a meterle mano a WPAD.
    Algún tutorial recomedado?
    Apenas estoy empezando con esto de proxys y filtrados,



  • Aquí tienes una guía

    https://forum.pfsense.org/index.php?topic=109927.0

    y después de leerla puedes checar el siguiente enlace

    Este te sirve para cuando tienes una sola red, funciona bien y ayuda con la configuración para no hacerla tan a pie.

    https://forum.pfsense.org/index.php?topic=113441.0



  • Buenas tardes;
    Yo también lo tengo funcionando en un centro educativo. Filtro con squid tanto la navegación no segura como la segura. No me he metido en el tema de la wpad porque los intentos me han generado muchos problemas. En mi centro, todos los alumnos deben instalar un certificado digital si quieren navegar sin problemas por los sitios permitidos. Lo hacen una vez y ya está.
    Te recomiendo que hagas lo mismo. Funciona de manera muy eficiente y filtra todo tipo de contenidos.


Log in to reply