Descargas Directas



  • Hola!
    Llevo una residencia de estudiantes con mas de 200 PC´s tengo bloqueados los p2p con reglas y ademas tengo configurado el captive portal (gracias al excelente manual de bellera) pero no soy capaz de controlar las descargas directas.
    Tengo un squid (Proxy report) y puedo controlar si se accede a alguna pagina y las descargas que se han realizado, pero debido a que hay gestores para megaupload, rapidshare etc… se me escapan algunos usuarios bajandose desde estos programas y no soy capaz de identificarlos.
    ¿Sabeis como puedo controlar esto de una forma eficiente? Probé con el traffic shaper pero ralentiza mucho la linea.
    Muchas gracias.



  • ¡Hola!

    Desgraciadamente squid no es capaz de saber qué usa el usuario para navegar …

    Crea un alias con las IPs de estos servidores y haz una regla para denegar el acceso a dicho alias.

    Para saber las IPs que emplean:

    nslookup megaupload.com

    Saludos,

    Josep Pujadas



  • Hola!
    Muchas gracias Bellera por tu rapida contestacion, he hecho lo que me recomendaste, meti las ip´s en los alias y luego en las rules, pero debe ser que no se como configurarlo(incluso he estado mirando en tu tutorial) porque puedo navegar por la pagina perfectamente.

    Saludos

    Adrián



  • ¡Hola!

    La regla tiene que ser de bloqueo en LAN para cualquier origen con destino el alias que has definido y tiene que estar antes que el resto de reglas que permitan la navegación.

    Por cierto, ¿estás empleando proxy transparente? Porque en ese caso no sé si te funcionará el bloqueo … Hay que probarlo ...

    Saludos,

    Josep Pujadas



  • Hola!
    Gracias otra vez por tu rapida respuesta.

    He seguido tus indicaciones pero no consigo hacerlo funcionar. Te voy a explicar como lo tengo, ya que cogi la red de pfsense ya preinstalada y yo he hecho pocos cambios, añadiendo squids (Proxy server, report), captive portal en LAN y "REEDITO QUE SE ME OLVIDABA" DCHP en el interfaz LAN, añadiendo las MAC´s de todos los usuarios marcando la casilla "Deny unknown clients"

    En interfaces tengo:
    Lan
    Wan: que es el primer router
    Wan2: segundo router

    En las reglas tengo:

    Lan:
    1º La regla que me has indicado poner para las descargas directas
    2º Unos pc´s especiales que salen por el segundo router
    3º El resto de pc´s que sale el primer router

    Tanto en Wan como en Wan2 no tengo puesta ninguna regla mas, ya que el tecnico que lo instalo me dijo que con eso valia.

    Segun me he estado empapando tus tutoriales y bastantes post que he leido en el foro me parece una configuracion muy simple, ya que veo que los p2p estan activos a no ser que ponga el traffic shaper o las restringa con las indicaciones de tu tutorial.

    ¿Tu que me recomendarias?

    Muchas gracias Bellera

    Saludos,

    Adrián.



  • @Soem:

    …yo he hecho pocos cambios, añadiendo squids, captive portal y poco mas.

    ... a no ser que ponga el traffic shaper o las restringa con las indicaciones de tu tutorial.

    ¿Entiendo que tienes en una misma maquina pfSense, squid, Captive Portal y Traffic Shaper?…. Tenía entendido que no eran compatibles estos servicios...

    Saludos...



  • Exacto, lo tengo en una misma maquina, exceptuanto el traffic shaper que ahora mismo lo tengo desactivado.

    Saludos,

    Adrián



  • ¡Hola!

    ¿Estás seguro de tener una regla de bloqueo, marcando la casilla correspondiente en la regla?

    ¿Está puesto squid en modo transparente o no? Si lo está es posible que tengas que poner la regla de bloqueo en WAN en lugar de en LAN. squid transparente es un redireccionamiento de la navegación en LAN hacia squid y es posible que este redireccionamiento prevalga sobre las reglas. Hay que probarlo.

    Saludos,

    Josep Pujadas



  • Hola!

    El bloqueo si lo tengo hecho como me dijiste.

    El squid (Proxy Server) esta en modo transparente.

    He probado ha ponerlo en WAN y tampoco.

    Action: Block
    Interface: Wan
    Protocol: any
    Source: any
    Destinatio: Alias
    Gateway: Default

    Y en Wan es la unica regla.

    Saludos,

    Adrián



  • Hola… otra vez  :'(

    He usado el squid(Proxy server) que tiene una opcion para introducir en una blacklist URL´s e IP´s, para que los usuarios que usan el proxy no puedan acceder a ellas, cogi las ip´s de estas paginas nslookup megavideo.com y de rapidshare e introduje las ip´s. Resulta que si meto la Ips en el explorador las bloquea, pero si meto la direccion en vez de la Ip me deja acceder a la pagina, es algo que no entiendo, ya que en teoria estoy accediendo a esa ip por lo tanto deberia bloquearlo...

    Ya no se que hacer para bloquear estas paginas... ya que no puedo configurarlo como esta en tu Tutorial por yo no podria hacer un interfaz como haces tu el de alumnos. El problema de pfsense es que es demasiado complejo para gente que no tenga mucha idea de este tipo de lenguajes y de redes. Estoy por quitarlo todo e instalar el Windows Server...

    Muchas gracias por todo otra vez Bellera.

    Saludos,

    Adrián



  • ¡Hola!

    Resulta que si meto la Ips en el explorador las bloquea, pero si meto la direccion en vez de la Ip me deja acceder a la pagina, es algo que no entiendo, ya que en teoria estoy accediendo a esa ip por lo tanto deberia bloquearlo…

    Es normal. No es lo mismo para squid una regla con IP que una regla con nombre. En cuanto a los nombres hay que poner sólo el dominio, sin las www y otras cosas. Ejemplo: rapidshare.com Esta sintaxis no tiene nada que ver con pfSense, es la sintaxis de configuración del proxy squid, disponible para prácticamente todas las plataformas (Unix, Linux, Windows, …). Lo que aporta pfSense es simplemente una interfase web para configurar squid.

    El problema de pfsense es que es demasiado complejo para gente que no tenga mucha idea de este tipo de lenguajes y de redes. Estoy por quitarlo todo e instalar el Windows Server…

    En primer lugar, paciencia. Siempre cuesta adaptarse a nuevos entornos y no hay que tirar la toalla. En segundo lugar, pfSense es una interfase web para configurar un cortafuegos muy potente (Packet Filter con el sistema operativo FreeBSD) y otros añadidos (squid, …) He manejado varios cortafuegos incluídos algunos bajo Windows Server. No veo ninguna ventaja en emplear un equipo Windows para cortafuegos, más bien lo contrario (licencias, virus, pesadez de sistema, ...)

    Bueno, vamos al grano …

    No veo claro en la regla la palabra Alias. ¿Le has puesto al alias como nombre Alias? No suele ser bueno en ningún sistema emplear palabras genéricas que puedan confundirse con instrucciones del sistema. Igual es una tontería lo que digo pero yo le pondría un nombre como descargas_directas …

    ¿Es Alias un alias con la lista de IPs, definido en el apartado [Firewall] [Aliases]?

    Tienes dos WAN. Pon la regla de bloqueo en las dos, a ver qué. Lo digo porque no tengo claro por donde estás saliendo.

    Puede que también tengas que poner más IPs en tu alias descargas_directas:

    http://www.robtex.com/dns/megavideo.com.html
    http://www.robtex.com/dns/rapidshare.com.html

    Si no funciona, entonces el problema es el uso de squid en modo transparente. squid transparente es cómodo pero se sale de los estándares y ello supone limitaciones: http://wiki.squid-cache.org/SquidFaq/InterceptionProxy. Personalmente prefiero tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines. Además, los navegadores suelen ser capaces de autoconfigurarse con el proxy existente en la red.

    Saludos,

    Josep Pujadas



  • A ver, a ver… resulto pesado pero entonces ¿tienes en una misma maquina pfSense en modo bridge, squid en transparente, Captive Portal y ademas balanceo con dos WAN?..... Voy a instalarlo ahora mismo en una máquina para probar¡¡¡¡

    Saludos...



  • Hola!

    Gracias Bellera por tu paciencia y tu sobre todo por dedicarme tu tiempo.

    1º A la respuesta de EMY, lo tengo todo en una maquina  ;)

    El alias que tengo, lo decia para entender algo generico, ya que justo el nombre que tenia era DescargasDirectas.
    Este alias (DescargasDirectas) esta definido exacatamente en Firewall-Aliases.

    He puesto el bloqueo en LAN(La 1º regla), en Wan y Wan2.

    Pero aun asi las Ips que pongo en el alias las meto en el explorador y me sigue accediendo a ellas…

    Probablemente sea por el proxy trasparente.

    Lo que comentabas de que preferias tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines... ¿como lo deberia realizar?

    ¿Simplemente quitando la casilla de proxy transparente? ¿asi la detecta el explorer de cada usuario?

    Muchas gracias por enesima vez Bellera.

    Saludos,

    Adrián



  • Hola!

    Lo que comentabas de que preferias tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines… ¿como lo deberia realizar?

    • Desactivar proxy transparente
    • Alias de puertos de navegación: 80, 443, 8000:8100
    • Regla de bloqueo en LAN para el tráfico (que no tenga por origen el proxy) y que tenga por destino el alias de puertos. Digo entre paréntesis "que no tenga por origen el proxy" porque tengo a squid en una máquina a parte. Si el proxy es el propio pfSense supongo que se puede obviar …
    • Comunicar a los usuarios que deben activar el proxy en su navegador. De lo contrario, no navegarán. Tres métodos posibles:
      **** Activar búsqueda del proxy en los navegadores.
      **** Emplear archivo proxy.pac, http://forum.pfsense.org/index.php/topic,7367.0.html
              (es la opción más flexible)
      **** Introducir IP y puerto del proxy.

    Saludos,

    Josep Pujadas



  • Muchas gracias como siempre Bellera.

    Hare lo que me has recomendado, pero el problema que lo tendre que hacer poco a poco ya que al tener 200 usuarios siendo mas del 90% gente que no tiene ni idea de ordenadores me saldra peor el remedio que la enfermedad ya que tendre que estar configurando 1 por 1…
    Me imagino que explicando que activen las busqueda de proxy en los navegadores no sera muy dificil, ya te contare y como siempre gracias por ayuda.

    Saludos,

    Adrián.



  • ¡Hola de nuevo!

    Si quieres conservar el proxy transparente con pfSense olvidé decir que una posible solución sería "encadenar" dos pfSense, uno detrás de otro. Algunos usuarios de este forum lo han hecho cuando se han encontrado con incompatibilidades entre servicios que querían tener.

    Saludos,

    Josep Pujadas



  • hola
    lo que podes hacer tambien es asignarle una ip en dns forwarder
    o sea
    que rapidshare.com sea 192.168.1.1 o algo asi
    eso si, vas a tener que bloquear la salida dns hacia afuera
    saludos



  • @bellera:

    Si quieres conservar el proxy transparente con pfSense olvidé decir que una posible solución sería "encadenar" dos pfSense, uno detrás de otro. Algunos usuarios de este forum lo han hecho cuando se han encontrado con incompatibilidades entre servicios que querían tener.

    Hola… esto es lo que yo estoy pensando hacer y aprovecho este hilo. Necesito... Portal Cautivo, Squid, Balanceo de carga y Traffic Shaper. ¿De que lado de las WAN y LAN pondrias cada cosa repartidas en dos equipos?... por ejemplo:

    Lado WAN y WAN1:  Equipo con pfSense en Balanceo de carga y Squid
    Lado LAN: Equipo con Captive Portal y Traffic Shaper

    Es un ejemplo... ¿de que manera lo tenéis o lo haríais een caso de necesitar estos servicios?.

    Saludos



  • @tinto:

    hola
    lo que podes hacer tambien es asignarle una ip en dns forwarder
    o sea
    que rapidshare.com sea 192.168.1.1 o algo asi
    eso si, vas a tener que bloquear la salida dns hacia afuera
    saludos

    Es verdad, me había olvidado de esta posibilidad. Haciendo esto y no permitiendo acceso a DNS externos por parte de las estaciones quedaría resuelto.

    Saludos,

    Josep Pujadas



  • Lado WAN y WAN1:  Equipo con pfSense en Balanceo de carga y Squid
    Lado LAN: Equipo con Captive Portal y Traffic Shaper

    No lo veo mal. Mi única duda es si un squid transparente en pfSense es capaz de aprovechar el balanceo.

    A ver si alguien lo tiene …

    Saludos,

    Josep Pujadas



  • @bellera:

    A ver si alguien lo tiene …

    ¿Nadie puede aportar nada?

    Saludos



  • Hola!

    Segui las instrucciones de Bellera y quite el proxy.

    Ahora me funcionan las reglas perfectamente.

    ¿Entonces si quisiera bloquear los p2p totalmente con poner en LAN y las descargas directas esto valdria?:

    Block. Protocolo: TCP, Source: any, Port: Any, Destination: Alias"DescargasDirectas"(Con las Ips de megaupload, etc.), Port:Any, Gateway: Default

    Pass. Protocolo: TCP, Source: any, Port: Any, Destination: Any, Port: Alias"InternetTCP"(Con los puertos 80,443, etc), Gateway: Default

    Pass. Protocolo: TCP, Source: any, Port: Any, Destination: Any, Port: Alias"InternetUDP"(Con los puertos 53,119,) , Gateway: Default

    Pass. Protocolo: TCP, Source: LAN NET, Port: Any, Destination: Any, Port: Any , Gateway: 192.168.2.1

    Muchas gracias por tu ayuda.

    Saludos,

    Adrían.



  • ¡Hola!

    Sí, tiene que valer. Las reglas se ejecutan por el orden en que están. Por tanto, si hay una en primer lugar que bloquea el tráfico indeseable ya irá bien …

    Saludos,

    Josep Pujadas



  • Hola de nuevo!

    Despues de quitar el squid de la maquina donde tenia el pfsense, puse las reglas tal cual te explique antes, pero por lo que veo en los ordenadores pueden usar Ares conectandose a el, y bajando de forma rapida…

    ¿Puede ser porque me falta añadir alguna regla en WAN y WAN1?¿Las reglas que puse antes no valen tambien para el ares? Pense que serian para todos los p2p.

    Muchas gracias!

    Un saludo,

    Adrián.



  • ¡Hola!

    En ese caso sobra la última, ya que te está permitiendo todo lo que no tratan las anteriores.

    Te faltará alguna regla más. Por ejemplo, dejar pasar UDP 53 y 123 para DNS y NTP.

    Y si quieres poder hace pings tendrás que poner una regla que autorice ICMP …

    Saludos,

    Josep Pujadas


Locked