Forzar el uso de squid, reglas?

periko

Hola compañeros, he estado leyendo los post hacerca de como forzar el uso de squid, podemos poner el squid en modo transparente y funciona de maravilla, pero si implementaramos los accesos via usuario/password aqui es donde falla, ya que no podemos mezclar ambas cosas(pfsense 1.2.2), entonces si deseo usar esto ultimo, al deshabilitar el modo transparente, los usuarios pueden quitar el proxy de sus navegadores y brincarse a el squid.

Me imagino que ya sabran a donde voy con todo esto, bueno estuve leyendo que todo el trafico por el puerto 80 debemos redireccionarlo a el puerto del proxy: 3128.

Pero aun no doy en como llevar a cabo esta regla?

Por que tendria que bloquear todo el trafico en la lan a el puerto 80 o redireccionarlo a el puerto 3128?

Estoy algo confundido por que si me voy a NAT "Port forward" me pide una interface Interna + Externa?

O esto se tiene que hacer directamente desde la consola?

Ahora esto aplica a todo el trafico 80/443, se tiene que hacer para cada uno lo mismo?

Si alguien ya logro en como hacer esto y me hace el favor de abrir mi mento en como hacerlo se lo agradecere mucho en verdad.

Gracias de nuevo por su tiempo  :)

maaraujo

Crea una regla en LAN que bloquee HTTP para todos los hosts que deban usar el proxy, opcionalmente puedes crear otra regla, también en LAN, que permita HTTP para los hosts que tú decidas que no pasen por el proxy, ten cuidado con el orden.

Configura cada host para que use el proxy.

Saludos.

periko

maaraujo.

Gracias, ya logre hacer que esto funcione, lo que hice fue lo que mencionas:

1ro una regla en el NAT "Port Forward"

Interface: LAN
  External Address: Any
  Protocol: TCP
  External Port Range: HTTP
  NAT IP: IP_Proxy
  Port: 3128

Listo.

De ahi ya agregue otra para el HTTPS.

Y me fui por las reglas (Rules).

En las reglas para la LAN bloquie todo lo que pasa por la lan hacie el puerto 80 y otra para bloquear el 443.

Listo.

Ahora si algun chistoso quita el proxy de su navegador ya se jodio por que no va a salir a ningun lado.

Ahora si el proxy se encargara de controlar que sale y entra.

Que bonito es lo bonito cuando es bonito, saludos y gracias maaraujo  ;D

lucianog

Hola Periko

Podrías explicar mejor como es el procedimiento?

No quiero abusar de tu buena voluntad, pero podrías poner capturas de pantalla de las reglas que creaste?

Muchas gracias

Luciano

periko

Vamos viendo, mira luciano con mucho gusto, espero explicarme bien.

Lo que necesitamos hacer es decirle a pfsense que toda comunicacion a los protocolos http->80 y https–>443 en la red local las mande a el puerto 3128 que es donde corre squid.

Yo en lo personal, voy abriendo puertos segun los vaya necesitando, en mi caso los 2 primeros que doy de alta en las reglas de la LAN es el puert 80 y 443. Pero ahora como acabo de instalar squid, necesito hacer un cambio.

Las reglas RDR o "Port-Forward" se ejecutan primero que las reglas de la LAN, entonces checa la figura como quedaria la regla para el puerto 80 "Todo paquete que atraviese por gateway(LAN) puerto 80, mandalo a el gateway pero puerto 3128 de squid y con esto squid recibe toda esa comunicacion.

Cuando hagas el "Port-Forward" desmarca la opcion que agrega la regla automaticamente a la LAN.

Los mismo pasa con el puerto 443.

Ya con esto, las 2 reglas de mi LAN donde permito el paso del protocolo 80 y 443 las bloqueo.

Checa la imagen para que veas como queda.

Cuando apliques todo esto, tu pfsense va a dejar de funcionar, que es lo buscamos de un principio, para recuperarlo tienes que agregar tu proxy a tu navegador y listo.

Cuando algun chistosito en tu red quiera brincarse el cerco y elimine los datos de tu proxy de su navegador le va a salir la pantalla de acceso denegado.

Listo problema resuelto.

Si algo de lo que dije esta erroneo o mi procedimiento esta mal aplicado me lo hacen saber de favor, cualquier cosa quedamos a sus ordenes, saludos!!!

lucianog

Estimado Periko:

No tengo mas que palabras de agradecimiento por la explicación tan clara y precisa con la que me haz desasnado en esta cuestión.

Muchisimas gracias por tu aporte, tu tiempo y las molestias que te haz tomado.

Un abrazo

Luciano

maximendez

Buenas, quisiera dar mi aporte a esto a ver si estamos haciendo lo mismo pero de diferente manera. Yo también tengo el paquete squid en pfsense y lo que hago es usar la política de DENEGAR por defecto todo los protocolos y puertos y solo dejo habilitados los puerto de correo 110 y 25 y el 53 de DNS. De esta manera nada sale a no ser que se configure el navegado para que pase por el proxy y solo los usuarios autorizados tiene acceso a esto, como dato interesante también tengo instalado el paquete lightsquid que genera reportes de los sitios visitados con las fechas y horas y los nombre de usuarios, es muy útil para auditar la actividad en la red.
Espero les sirva.
Saludos

Maximiliano Méndez.

progresowifi

06/05/2009, buenos dias,

anoche probe la configuracion que se muestra en la imagen arriba mostrada, una vez echa dicha configuracion os equipos de mi red dejaron de tener acceso a internet, rapidamente configure el navegador de internet diciendole que utilizara el proxy, lo cual mejoro notablemente el tiempo de espera para abrir completamente una pagina, luego note que configurando el proxy en el navegador mi portal cautivo deja de funcionar, osea todos los equipos pueden tener acceso a internet incluso los que no tengo registrado con su mac en portal cautivo, he solucionado un problema pero se me ha creado otro, como controlo los equipos por portal cautivo, si deja de funcionar cuando redirecciono al navegador a utilizar el proxy…

periko

Hola progresowifi.

Mira estuve probando pfsense 1.2.3-RC1 en especial este tema que mencionas, he leido que varios si les ha funcionado tener ambos ejecutandose, a otros no.

En mi caso tengo 3 tarjetas de red:

WAN - LAN -OPT

Lan – Squid modo transparente.

OPT -- Captive Portal Usuarios Locales.

Tu caso quiero pensar que tienes ambos ambos sistemas en la misma IP?

Si es el caso, la regla que puse arriba, dice que todo trafico que llegue a la gateway via puerto 80/443 la mande el puerto 3128 y esta aplica antes de llegar a reglas del FW, en tu caso el CP trabaja en el puerto 8000, pero los clientes que llegan por esa misma IP atraves del navegador nunca van a tocar el CP por logica.

Entonces lo que podrias hacer es poner una tarjeta extra y separar las 2 redes.

192.168.10.1/24 LAN Proxy
  192.168.20.1/24 OP1 CP

Yo lo tengo asi y todo esta funcionando, quien mas tiene para aportar a este problema de progresowifi?

Saludos!!!

progresowifi

Ahora si es verdad que estoy confundido…. muestrame algunas imagenes..

periko

Mira como esta el rollo este.

Cuando inicie este post era para sacar mi duda hacerca de como hacer para que toda la comunicacion a el puerto 80/443 pasara por el proxy a fuerzas.. por que, me di cuenta de que si un usuario borrara la configuracion del proxy, ya con esto se brincaba a squid, lo cual no es bueno. La idea es que no importa que ellos hicieran esto, siempre enrutar el trafico a el puerto 3128 de squid, asi si borraban la config de su browser, pfsense les negaba el acceso.

Asi que con lo que mostre en las imagenes hago esto.

Aqui tenia 2 tarjetas de red: Lan + Wan todo bien, pero ahora tu quieres meter el captive portal a funcionar en la misma tarjeta de la gateway o LAN.

Captive Portal usa el puerto 8000 para recibir a todos los clientes que se quieren comunicar atraves de el, usando la misma tarjeta tienes 2 servicios para una sola IP, ejm:

Gateway(LAN) IP 192.168.10.1  Squid Puerto 3128
                                            CP  Puerto 8000

Captive portal, se lees hasta abajo de su configuracion te recomiendan que la tarjeta que uses para recibir toda la comunicacion debe tener el DHCP habilitado, lo cual ya lo tienes, quiero pensar?

Tu tenias antes de probar esta configuracion que muestro, el squid + cp trabajando sin problemas correcto?

No hay problema, aqui funcionan sin problemas, pero si aplicas la configuracion para forzar el uso de squid en la red, aqui ya no funciona, ya que la regla de Nateo de redirecionamiento no le va a permitir a CP trabajar, por que antes de llegar la comunicacion a CP, la va a mandar a squid y nunca va a tocar CP por logica.

Entoces lo que hago yo es lo siguiente, coloco 1 switch extra, mas 1 NIC, a esa nic le pongo otra red 192.168.20.1/24
  y le habilito el DHCP.

Ahora si, activo el CP para esta nueva NIC y listo, tengo los clientes que usan squid en una red y los que usan CP en otra con usuarios locales, y todos salen  a Internet.

Ahora si quisieras hacer que ambas redes se hablaran para compartir archivos o programas, debemos crear ciertas reglas, de lo contrario ninguna de las 2 redes va a poder tocarse, pero si compartir la misma conexion a Internet.

Si estoy correcto con mi teoria de tu caso?

Si meti la pata me dicen, saludos!!!

lucianog

@periko:

….....

Cuando algun chistosito en tu red quiera brincarse el cerco y elimine los datos de tu proxy de su navegador le va a salir la pantalla de acceso denegado.

.........

Estimado Periko, anda perfecto!!! ahora la pregunta es:

Como hacer esto sin tener que configurar el proxy en los navegadores de los equipos clientes? Es posible?

Saludos

Luciano

lucianog

Evidentemente era muy de madrugada y mi mente no estaba andando tan bien como mi pfsense.

El tema es que si quiero mantener la autenticación de usuarios, el squid del pfSense no soporta el modo transparente + autenticación de usuarios en simultáneo.

O una cosa o la otra.

Saludos y disculpas.

Luciano