Problemi con squid + squidguard



  • Buongiorno a tutti.

    Purtroppo (e lo dico con un pizzico di rammarico) devo installare un content filter sulla mia macchina pfsense.

    Ho pensato di iniziare con lo step squid e poi squidguard.

    Seguo normali tutorial di configurazione ma una volta installato e settato tutto quanto, ho qualche problemuccio.

    • squid in transparent mode non mi permette di usare la posta gmail su thunderbird. Praticamente all'invio mi viene detto che non posso inviare
    • in transparent mode i siti DENIED vengono aperti, mentre se specifico indirizzo:porta nel browser vengono correttamente filtrati
    • usando il proxy impostato manualmente nel browser tutti gli indirizzi interni della mia rete (es. computer.interno.miodominio.it) non funzionano. Funzionano solo indicando l'ip

    Non mi pare di aver fatto niente di trascendentale, ma tant'è.
    Grazie a chi vorrà provare a darmi una mano.


  • LAYER 8

    squid configurato in trasparente blocca solo le comunicazioni verso http e non https

    ma per prima cosa cerchiamo di capire se è il programma adatto.
    cosa hai necessità di filtrare?
    esistono altri sistemi per bloccare / filtrare come ad esempio pfblockerng o anche suricata/snort ha alcune regole che possono bloccare certi siti



  • Ciao.
    Ti chiedo scusa della tarda risposta, scusami davvero, ho avuto un po' di problemucci nel frattempo.

    Io devo riuscire a filtrare siti porno, chat 'strane' etc. Insomma tutta quella spazzatura che un utente potrebbe mettersi a vedere in orario di lavoro.

    Ho necessità di loggare queste cose.

    Ovviamente più il sistema è leggero e meglio è. Da 'vecchio' utente linux pensavo a squid + squidguard, ma se hai altri suggerimenti sono più che bene accetti.


  • LAYER 8

    ok allora usa pfblockerng-devel nei pacchetti aggiuntivi, ha una lista di indirizzi che si aggiorna costantemente dove devi mettere le spunte per attivare i blocchi suddiviso in categorie come appunto siti porno / warez / armi etc etc



  • @kiokoman said in Problemi con squid + squidguard:

    pfblockerng-devel

    Ciao.
    Grazie per avermi risposto.

    Trovo questa guida: https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/

    ma quando arrivo alla parte

    Configuring DNSBL EasyList

    io non riesco proprio a trovarla nel mio menu. Mentre è presente se installo il pacchetto 'liscio'

    Tu hai altra guida da suggerirmi per la configurazione? Anche perchè provata la pagina yahoo.com come indicano nel tutorial di cui sopra, io vedo tutti gli ad...

    Grazie.


  • LAYER 8

    boh, sinceramente mi sembrava abbastanza semplice e non ho seguito nessuna guida. basta mettere le spunte e attivare

    Immagine2.jpg
    Immagine3.jpg Immagine4.jpg Immagine5.jpg Immagine1.jpg

    ti devi solo assicurare di avere DNS Resolver attivo e che i client usino come dns l'ip di pfsense



  • Ciao, perdonami... dubbio...
    Devo usare la macchina pfsense come server dns?


  • LAYER 8

    eh si



  • Ah! E' impossibile allora...

    Mi sa che devo rivedere l'opzione squid+squidguard ed impostazione proxy sui client tramite group policy se in trasparente non filtra https...


  • LAYER 8

    impossibile perchè ? usi bind su un altro server?



  • No, ho bisogno di usare i due dns w2012 di active directory.


  • LAYER 8

    ok non ho idea per windzoz ma su bind è possibile impostare le richieste dns verso pfsense quindi i client continuano ad usare bind che a sua volta risolve i nomi esterni usando dns resolver di pfsense



  • @CC88 said in Problemi con squid + squidguard:

    No, ho bisogno di usare i due dns w2012 di active directory.

    Dovrebbe essere possibile anche per il dns di windows.

    Guardo.
    Intanto grazie per l'enorme disponibilità.



  • Boh...

    Ho abilitato il dns forwarding sui server windows.

    ho abilitato il dns resolver su pfsense. Sul mio portatile ho forzato il dns a puntare all'ip di pfsense:
    alt text

    Ma su pfsense, dopo aver configurato ed abilitato pfBlockerNG:
    alt text



  • Ok. Tolto la spunta su Enabled sia in General che in DNSBL e rimessa, il servizio ora è partito. I due server windows reindirizzano correttamente le richieste.

    Grazie per avermi aiutato, sei stato preziosissimo.

    Grazie ancora.



  • Mah...

    Non capisco sinceramente ... libero me lo blocca, youporn va tutto bene, nonostante abbia bloccato...

    alt text


  • LAYER 8

    hai messo le spunte per i siti porno immagino?
    e hai bloccato volontariamente tutto www.libero.it ?
    non riesco a verificare sul mio finchè non torno a casa da lavoro



  • @kiokoman said in Problemi con squid + squidguard:

    hai messo le spunte per i siti porno immagino?
    e hai bloccato volontariamente tutto www.libero.it ?
    non riesco a verificare sul mio finchè non torno a casa da lavoro

    ciao. Libero.it non l'ho bloccato volontariamente.

    Ho la spunta su:

    • pubblicità
    • aggressività
    • hacking
    • modelle
    • siti per adulti

    Leggevo comunque in giro che per questo tipo di filtering (porno etc) sarebbe meglio pensare a squid + squidguard.


  • LAYER 8

    c'e' proprio la voce

    Porn
    [ Large ] Sites about all kinds of sexual content ranging from bare bosoms to hardcore porn.

    non saprei dirti in merito a squidguard sinceramente, se vuoi prova a chiedere nella sezione inglese



  • @kiokoman said in Problemi con squid + squidguard:

    c'e' proprio la voce

    Porn
    [ Large ] Sites about all kinds of sexual content ranging from bare bosoms to hardcore porn.

    Eh si, ma nonostante il resto lo riesca a filtrare alcune cose no. Youporn va sicuramente perchè il lookup del dns non punta al server pfsense.

    non saprei dirti in merito a squidguard sinceramente, se vuoi prova a chiedere nella sezione inglese

    provo a vedere come e quanto si può intervenire sui client via policy per impostarlo forzatamente... dalle prove che avevo fatto squidguard era parecchio efficiente, ma avrei avuto piacere di poterlo usare in transparent mode.


  • LAYER 8

    dopo che hai messo le spunte alle categorie devi scaricarle e aggiornarle andando su "update" e premendo "run"
    ho appena provato e youporn è sicuramente bloccato e presente in quella lista. o i tuoi server windows stanno rispondendo con quello che hanno in cache



  • Grazie.

    Il download lo avevo fatto... Provo a vedere come fare un flush della cache. Ti ringrazio per aiutarmi.


  • LAYER 8

    si fa anche presto a verificare, prova a fare nslookup direttamente nella console di pfsense che ti dovrebbe rispondere 10.10.10.1 e poi da un pc in rete, se ti risponde diversamente è in cache nel pc o nei tuoi server o c'e' qualcosa che nn va nel dns di windows



  • Niente credo di aver fatto tutto ma non ci arrivo (output da console di pfsense):

    Server: 127.0.0.1
    Address: 127.0.0.1#53

    Non-authoritative answer:
    www.youporn.com canonical name = youporn.com.
    Name: youporn.com
    Address: 66.254.114.79

    Mentre per libero:

    Server: 127.0.0.1
    Address: 127.0.0.1#53

    Name: www.libero.it
    Address: 10.10.10.1


  • LAYER 8

    prova a riavviare pfsense e a riscaricare le liste

    [2.4.4-RELEASE][root@pfSense.localdomain]/root: nslookup youporn.com
    Server:         127.0.0.1
    Address:        127.0.0.1#53
    
    Name:   youporn.com
    Address: 10.10.10.1
    
    [2.4.4-RELEASE][root@pfSense.localdomain]/root: nslookup www.libero.it
    Server:         172.16.0.100
    Address:        172.16.0.100#53
    
    Non-authoritative answer:
    www.libero.it   canonical name = d31d9gezsyt1z8.cloudfront.net.
    Name:   d31d9gezsyt1z8.cloudfront.net
    Address: 99.86.163.87
    Name:   d31d9gezsyt1z8.cloudfront.net
    Address: 99.86.163.64
    Name:   d31d9gezsyt1z8.cloudfront.net
    Address: 99.86.163.102
    Name:   d31d9gezsyt1z8.cloudfront.net
    Address: 99.86.163.42
    ;; Got SERVFAIL reply from 127.0.0.1, trying next server
    

    libero non e' inserito nei dnsbl c'e' qualcosa che non va nella tua installazione

    stai usando pfblockerng-devel vero ?



  • Ciao.

    Si, la versione devel.

    A me fa esattamente il contrario di te... E si, avevo già riavviato tutto quanto...


Log in to reply