Configurar Squid Proxy no transparente



  • Buenas noches a todos.

    Como puedo obligar a los browser de mi red privada (192.168.0.x) a que utilicen el proxy (automaticamente) para navegar, sin la necesidad de configurarlos manualmente (IP y puerto 3128), sin usar Transparent proxy ?

    Nota: si configuro el browser manualmente, puedo filtrar páginas, pero si lo pongo automático, no filtra nada. 
    Quiero evitar que una persona con un poquito de malicia, se vaya a la configuracion del browser y ponga el proxy automático y luego navegue como Pedro por su casa.

    Saludos y gracias por su ayuda
    Grenyer



  • ¡Hola!

    Pon una regla que bloquee los destinos TCP 80, 443 y otros habituales de navegación (TCP 8000-8100) para todas las máquinas excepto el proxy.

    De esta forma quien quite el proxy del navegador tampoco podrá salir.

    Yo lo tengo así y va de maravilla.

    Lo único que pueden hacer entonces es emplear alguna web de navegación anónima, pero si en el squid tienes filtrado (squidGuard o similar) la bloqueas allí y punto.

    Saludos,

    Josep Pujadas



  • Si podrías poner un ejemplo de la regla o un pantallaso, te agradecería.



  • ¡Hola!

    Si no pones a squid+squidGuard en modo transparente o tienes un proxy en LAN fuera de pfSense, las reglas en LAN deberían ser:

    TCP proxy * * 80 * *
    TCP proxy * * 443 * *
    TCP proxy * * 8000-8100 * *
    TCP/UDP proxy * * 53 * *

    o si pfSense no hace de DHCP+DNS:

    TCP proxy * * 80 * *
    TCP proxy * * 443 * *
    TCP proxy * * 8000-8100 * *
    TCP/UDP LanNet * * 53 * *

    Siendo proxy un alias para la IP de tu proxy externo.

    Siempre es recomendable dejar hacer sólo lo previsto. Con el ejemplo, los equipos sólo podrían hacer navegación web vías proxy. Nada más.

    Nota: ¡Ojo con 8000-8100! Lo he puesto ahí porque hay servicios web en ese rango pero también proxyies de navegación anónima que permiten a los usuarios saltarse squid+squidGuard con pocas restricciones.

    Saludos,

    Joep Pujadas



  • No hay reglas para squid transparente. Es un redireccionamiento hacia el servicio.

    ¿Qué significa poner a squid+squidGuard en modo transparente?
    Pues que toda petición con destino TCP 80 (navegación http) que ve la interfase LAN sea enviada al servicio proxy (squid+squidGuard).
    Por tanto, las reglas que pones en LAN seguramente no tienen efecto porque el redireccionamiento debe ser incondicional. Tendría que mirar el manual de PF (Packet Filter) para comprobarlo…

    http://forum.pfsense.org/index.php/topic,33342.msg173396.html#msg173396

    Si LAN hace de DHCP lo "normal" es que pfSense haga de DNS. En este caso no es necesario salir a Internet port TCP/UDP 53.



  • Gracias bellera, yo quisiera hacer al pfsense en modo transparente, me explico
    tengo un par de equipos con ip estática en el rango del pfsense (LAN) + squid con la opción de proxy transparente.
    No quisiera poner en los navegadores la opcion de proxy, quisiera que sean transparente.. son las reglas que escribes a continuacion?
    bellera:

    ¡Hola!
    Si no pones a squid+squidGuard en modo transparente o tienes un proxy en LAN fuera de pfSense, las reglas en LAN deberían ser:

    TCP proxy * * 80 * *
    TCP proxy * * 443 * *
    TCP proxy * * 8000-8100 * *
    TCP/UDP proxy * * 53 * *

    Otra pregunta, si pongo que la lan haga de dhcp, ya no sirven esas reglas?
    tengo un cacao en la cabeza de tanto probar.



  • Insisto…
    No hay reglas para squid transparente. Es un redireccionamiento hacia el servicio.

    Otra pregunta, si pongo que la lan haga de dhcp, ya no sirven esas reglas?

    No tiene nada que ver. DHCP es asignación automática de IP y lo asociado a la IP (DNS, WINS…)



  • gracias por responder,
    yo tengo redireccionado tal como pones en los ejemplos, sin embargo no me funciona.



  • Si pones squid en modo transparente con el configurador web no hay que redireccionar nada.

    Si lo pones colgado de una interfase hay que redireccionar "a mano", mediante NAT Outbound Port Forward

    Arriba, en Documentación pone:

    Tutorial squid y squidGuard en pfSense
    http://forum.pfsense.org/index.php?topic=22273.0

    Forzar el uso de squid externo a pfSense
    http://forum.pfsense.org/index.php?topic=15571.0
    http://forum.pfsense.org/index.php?topic=21083.0

    Encontrar el proxy externo, WPAD (Web Proxy Autodiscovery Protocol)
    http://forum.pfsense.org/index.php?topic=29452.0
    http://foro.jotahacker.es/hacker-basico/descubrimiento-automatico-de-proxy-web-wpad-t463.0.html



  • Gracias bellera, como siempre, muy amable de tu parte!

    voy a ir por los links que has dado, creo que con este: http://forum.pfsense.org/index.php/topic,15571.0.html
    resuelvo mi problema.

    Saludos


Log in to reply