(Solucionado) Impedir navegación web sin proxy



  • Hola ¿Que tal todos?, tengo la siguiente interrogante y que he visto en otra institución pero nadie me pudo decir como, aquí voy;

    A) Tengo pfsense + Squid no transparente, usando SSL MITM + squidguard, tengo la BD de shallalist, como también tengo listas personalizadas y funciona perfectamente.

    B) Tengo habilitado el DHCP Server para IPs fijas, por el tema de carpetas compartidas entre oficinas, etc.

    C) Tengo unos Aliases y Rules para bloquear algunas paginas de modo selectivo a través de la LAN.

    Como dije esto funciona bien.

    Ustedes se preguntaran donde esta el problema, y es el siguiente:

    Un pc de la red, listada en el DCHP con IP fija PUEDE conectarse a Internet y navegar sin problemas sin necesidad de especificar el proxy en la configuración del equipo…

    P: ¿Que quiero?
    R: Impedir que las maquinas puedan navegar a Internet si el proxy no esta configurado en el equipo.

    Es decir, que si mi pc no tiene configurado el proxy 10.10.1.1:3128, no pueda navegar ni por mozilla, ni por google chrome, ni por ie explorer, ni por ningún navegador...

    Repito que esto lo vi en otra institución, así el usuario tuviese ip fija en DHCP, y conectada a la red no podía navegar sin antes especificar el proxy en el equipo...

    ¿Que podría hacer para esto? Espero me puedan ayudar, saludos. Si alguien ha echo esto me comenta por favor.



  • Que reglas tienes?



  • Hola,

    Hay que bloquear trafico por puerto 80 y 443 desde la LAN hacia afuera, pero asegurándote primero que el trafico en realidad si pase por el puerto del proxy (3128 por default) si no te quedarás sin navegar con o sin proxy.

    Saludos!



  • @Hermosillo:

    Hola,

    Hay que bloquear trafico por puerto 80 y 443 desde la LAN hacia afuera, pero asegurándote primero que el trafico en realidad si pase por el puerto del proxy (3128 por default) si no te quedarás sin navegar con o sin proxy.

    Saludos!

    Si se bloquea, si antes colocar una regla que permita el acceso a los puerto del proxy vas a terminar bloqueado el acceso hasta de la misma consola web de pfsense



  • @😄:

    @Hermosillo:

    Hola,

    Hay que bloquear trafico por puerto 80 y 443 desde la LAN hacia afuera, pero asegurándote primero que el trafico en realidad si pase por el puerto del proxy (3128 por default) si no te quedarás sin navegar con o sin proxy.

    Saludos!

    Si se bloquea, si antes colocar una regla que permita el acceso a los puerto del proxy vas a terminar bloqueado el acceso hasta de la misma consola web de pfsense

    Hola, gracias por ambas respuestas. tengo las reglas de la siguiente forma. Al final cree dos reglas según como me dicen para

    1. bloquear el trafico al 80 y 443, y a su vez
    2. para dirigir al 3128.

    no se si este bien. de ser así espero me puedan orientar. Saludos…

    https://drive.google.com/open?id=10-N1FUbZ_c7ajBVxh003nO-N96H38fvG <- Enlace de la captura.

    PD: Se que las reglas van de arriba hacia abajo. luego podría acomodarlas.



  • Hola

    Te suguiero esta regla

    y elimina a de bloquear puerto 80 y 443 por default no tendria acceso a esos puertos.




  • @😄:

    Hola

    Te suguiero esta regla

    y elimina a de bloquear puerto 80 y 443 por default no tendria acceso a esos puertos.

    Excelente. me funciona de maravilla, solo tengo un detalle con las rules del ancho de banda, tengo que desactivar todas porque la de LAN permite el acceso a internet aun y bloqueando el trafico a cualquier destino…



  • Excelente. me funciona de maravilla, solo tengo un detalle con las rules del ancho de banda, tengo que desactivar todas porque la de LAN permite el acceso a internet aun y bloqueando el trafico a cualquier destino…

    Si tienes toda la razon en eliminar esas reglas LAN q mencionas



  • @😄:

    Excelente. me funciona de maravilla, solo tengo un detalle con las rules del ancho de banda, tengo que desactivar todas porque la de LAN permite el acceso a internet aun y bloqueando el trafico a cualquier destino…

    Si tienes toda la razon en eliminar esas reglas LAN q mencionas

    Ahora bien, las elimino, pero el portal cautivo no trabaja con squid, por lo que probé, como administrarías el ancho de banda a usuarios?



  • Esta es la solucion

    Squid: Delay Pools

    http://www.alcancelibre.org/staticpages/index.php/Squid-delay-pools

    En lo personal, no lo uso, me gusta que los usuarios tenga un accesoa internet rapido, eso si limitando solo el acceso a paginas que no deben.



  • Gracias por la ayuda y sugerencias también por los tips. Agradecido! Cambiare el estatus a Solved o resuelto. Saludos.