Problemi con squid + squidguard

CC88 · Sep 24, 2019, 2:19 PM

Buongiorno a tutti.

Purtroppo (e lo dico con un pizzico di rammarico) devo installare un content filter sulla mia macchina pfsense.

Ho pensato di iniziare con lo step squid e poi squidguard.

Seguo normali tutorial di configurazione ma una volta installato e settato tutto quanto, ho qualche problemuccio.

squid in transparent mode non mi permette di usare la posta gmail su thunderbird. Praticamente all'invio mi viene detto che non posso inviare
in transparent mode i siti DENIED vengono aperti, mentre se specifico indirizzo:porta nel browser vengono correttamente filtrati
usando il proxy impostato manualmente nel browser tutti gli indirizzi interni della mia rete (es. computer.interno.miodominio.it) non funzionano. Funzionano solo indicando l'ip

Non mi pare di aver fatto niente di trascendentale, ma tant'è.
Grazie a chi vorrà provare a darmi una mano.

kiokoman · Sep 24, 2019, 6:25 PM

squid configurato in trasparente blocca solo le comunicazioni verso http e non https

ma per prima cosa cerchiamo di capire se è il programma adatto.
cosa hai necessità di filtrare?
esistono altri sistemi per bloccare / filtrare come ad esempio pfblockerng o anche suricata/snort ha alcune regole che possono bloccare certi siti

CC88 · Oct 24, 2019, 8:28 AM

Ciao.
Ti chiedo scusa della tarda risposta, scusami davvero, ho avuto un po' di problemucci nel frattempo.

Io devo riuscire a filtrare siti porno, chat 'strane' etc. Insomma tutta quella spazzatura che un utente potrebbe mettersi a vedere in orario di lavoro.

Ho necessità di loggare queste cose.

Ovviamente più il sistema è leggero e meglio è. Da 'vecchio' utente linux pensavo a squid + squidguard, ma se hai altri suggerimenti sono più che bene accetti.

kiokoman · Oct 24, 2019, 9:19 AM

ok allora usa pfblockerng-devel nei pacchetti aggiuntivi, ha una lista di indirizzi che si aggiorna costantemente dove devi mettere le spunte per attivare i blocchi suddiviso in categorie come appunto siti porno / warez / armi etc etc

CC88 · Oct 24, 2019, 10:11 AM

@kiokoman said in Problemi con squid + squidguard:

pfblockerng-devel

Ciao.
Grazie per avermi risposto.

Trovo questa guida: https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/

ma quando arrivo alla parte

Configuring DNSBL EasyList

io non riesco proprio a trovarla nel mio menu. Mentre è presente se installo il pacchetto 'liscio'

Tu hai altra guida da suggerirmi per la configurazione? Anche perchè provata la pagina yahoo.com come indicano nel tutorial di cui sopra, io vedo tutti gli ad...

Grazie.

kiokoman · Oct 24, 2019, 12:21 PM

boh, sinceramente mi sembrava abbastanza semplice e non ho seguito nessuna guida. basta mettere le spunte e attivare

ti devi solo assicurare di avere DNS Resolver attivo e che i client usino come dns l'ip di pfsense

CC88 · Oct 24, 2019, 1:14 PM

Ciao, perdonami... dubbio...
Devo usare la macchina pfsense come server dns?

kiokoman · Oct 24, 2019, 1:14 PM

eh si

CC88 · Oct 24, 2019, 1:16 PM

Ah! E' impossibile allora...

Mi sa che devo rivedere l'opzione squid+squidguard ed impostazione proxy sui client tramite group policy se in trasparente non filtra https...

kiokoman · Oct 24, 2019, 1:17 PM

impossibile perchè ? usi bind su un altro server?

CC88 · Oct 24, 2019, 1:19 PM

No, ho bisogno di usare i due dns w2012 di active directory.

kiokoman · Oct 24, 2019, 1:21 PM

ok non ho idea per windzoz ma su bind è possibile impostare le richieste dns verso pfsense quindi i client continuano ad usare bind che a sua volta risolve i nomi esterni usando dns resolver di pfsense

CC88 · Oct 24, 2019, 1:22 PM

@CC88 said in Problemi con squid + squidguard:

No, ho bisogno di usare i due dns w2012 di active directory.

Dovrebbe essere possibile anche per il dns di windows.

Guardo.
Intanto grazie per l'enorme disponibilità.

CC88 · Oct 24, 2019, 1:48 PM

Boh...

Ho abilitato il dns forwarding sui server windows.

ho abilitato il dns resolver su pfsense. Sul mio portatile ho forzato il dns a puntare all'ip di pfsense:

Ma su pfsense, dopo aver configurato ed abilitato pfBlockerNG:

CC88 · Oct 24, 2019, 1:56 PM

Ok. Tolto la spunta su Enabled sia in General che in DNSBL e rimessa, il servizio ora è partito. I due server windows reindirizzano correttamente le richieste.

Grazie per avermi aiutato, sei stato preziosissimo.

Grazie ancora.

CC88 · Oct 24, 2019, 2:04 PM

Mah...

Non capisco sinceramente ... libero me lo blocca, youporn va tutto bene, nonostante abbia bloccato...

kiokoman · Oct 24, 2019, 2:48 PM

hai messo le spunte per i siti porno immagino?
e hai bloccato volontariamente tutto www.libero.it ?
non riesco a verificare sul mio finchè non torno a casa da lavoro

CC88 · Oct 24, 2019, 2:59 PM

@kiokoman said in Problemi con squid + squidguard:

hai messo le spunte per i siti porno immagino?
e hai bloccato volontariamente tutto www.libero.it ?
non riesco a verificare sul mio finchè non torno a casa da lavoro

ciao. Libero.it non l'ho bloccato volontariamente.

Ho la spunta su:

pubblicità
aggressività
hacking
modelle
siti per adulti

Leggevo comunque in giro che per questo tipo di filtering (porno etc) sarebbe meglio pensare a squid + squidguard.

kiokoman · Oct 24, 2019, 3:21 PM

c'e' proprio la voce

Porn
[ Large ] Sites about all kinds of sexual content ranging from bare bosoms to hardcore porn.

non saprei dirti in merito a squidguard sinceramente, se vuoi prova a chiedere nella sezione inglese

CC88 · Oct 25, 2019, 6:32 AM

@kiokoman said in Problemi con squid + squidguard:

c'e' proprio la voce

Porn
[ Large ] Sites about all kinds of sexual content ranging from bare bosoms to hardcore porn.

Eh si, ma nonostante il resto lo riesca a filtrare alcune cose no. Youporn va sicuramente perchè il lookup del dns non punta al server pfsense.

non saprei dirti in merito a squidguard sinceramente, se vuoi prova a chiedere nella sezione inglese

provo a vedere come e quanto si può intervenire sui client via policy per impostarlo forzatamente... dalle prove che avevo fatto squidguard era parecchio efficiente, ma avrei avuto piacere di poterlo usare in transparent mode.