Problema con Squidguard y Redireccionamiento de puertos RC3



  • Saludos a todos, espero me puedan ayudar.

    Tengo el siguiente escenario (las direcciones son ficticias).

    192.168.1.0/24 <–---LAN----->  PFSENSE <-----WAN1----->189.XX.YY.ZZ

    El pfsense tiene 2 interfaces WAN una con IP fija (189.XX.YY.ZZ) y la otra PPPoE (dinamica) pero creo eso no interfiere con mi problema.

    Desde dentro de la LAN puedo acceder bien a los puertos redireccionados en la WAN1

    Ej. si tengo un servidor en http://189.XX.YY.ZZ:8080/Aplicacion , puedo entrar desde afuera y desde adentro, habilitando NAT Reflection.

    Mi problema viene cuando uso el proxy (squid + squidguard) instalados en el pfsense, en modo no transparente con autenticacion local.

    He creado 2 grupos de ACL GROUPS (TIER1 y TIER2), ambos funcionan a la hora de bloquear por categoria (shallalist) si uso REDIRECT MODE = ext url redirect, todos los modos int y none me arrojan timeout.

    Si deseo entrar a mi aplicacion http://189.XX.YY.ZZ:8080/Aplicacion , por alguna razon esta cae dentro del COMMON ACL, donde tengo un deny all, y redirect a otra pagina web (asi me di cuenta).

    Me pueden ayudar a saber por que al intentar entrar a mi aplicacion, el acceso a la IP cae dentro del COMMON ACL?
    Otra cosa que sucede es que si habilito un TARGET CATEGORY con la IP de mi aplicacion, no funciona ni el ALLOW ni el WHITELIST, solo funciona el DENY con el redirect.

    Aqui un extracto de la configuracion del filtro

    logdir /var/squidGuard/log
    dbhome /var/db/squidGuard

    ACL FOR COMMON USERS

    src TIER2 {
    user  lipu
    log block.log
    }

    FOR ADMINS

    src TIER1 {
    user  rmelendez
    log block.log
    }

    dest blk_BL_adv {
    domainlist blk_BL_adv/domains
    urllist blk_BL_adv/urls
    log block.log
    }
    ...
    ....
    ....
    ...
    dest TARGET {
    domainlist TARGET/domains
    log block.log
    }

    rew safesearch {
    s@(google../search?.q=.)@&safe=active@i
    s@(google..
    /images.q=.)@&safe=active@i
    s@(google../groups.q=.)@&safe=active@i
    s@(google..
    /news.q=.)@&safe=active@i
    s@(yandex../yandsearch?.text=.)@&fyandex=1@i
    s@(search.yahoo..
    /search.p=.)@&vm=r&v=1@i
    s@(search.live../.q=.)@&adlt=strict@i
    s@(search.msn..
    /.q=.)@&adlt=strict@i
    s@(.bing..*/.q=.)@&adlt=strict@i
    log block.log
    }

    acl  {

    ACL FOR COMMON USERS

    TIER2  {
    pass !blk_BL_porn TARGET all
    redirect http://192.168.1.30/cacti
    log block.log
    }

    FOR GODS

    TIER1  {
    pass !blk_BL_webmail TARGET all
    redirect http://192.168.1.27
    log block.log
    }

    default  {
    pass TARGET none
    redirect http://192.168.1.30/nagios
    log block.log
    }
    }

    Como pueden ver hay un pass de TARGET y un deny all, pero me manda timeout si deseo acceder a la aplicacion. si le pongo un deny TARGET me funciona el redirect.

    Alguna guia?

    atte.
    Ricardo


Log in to reply