Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema con Squidguard y Redireccionamiento de puertos RC3

    Español
    1
    1
    1790
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Solidus_Richard
      last edited by

      Saludos a todos, espero me puedan ayudar.

      Tengo el siguiente escenario (las direcciones son ficticias).

      192.168.1.0/24 <–---LAN----->  PFSENSE <-----WAN1----->189.XX.YY.ZZ

      El pfsense tiene 2 interfaces WAN una con IP fija (189.XX.YY.ZZ) y la otra PPPoE (dinamica) pero creo eso no interfiere con mi problema.

      Desde dentro de la LAN puedo acceder bien a los puertos redireccionados en la WAN1

      Ej. si tengo un servidor en http://189.XX.YY.ZZ:8080/Aplicacion , puedo entrar desde afuera y desde adentro, habilitando NAT Reflection.

      Mi problema viene cuando uso el proxy (squid + squidguard) instalados en el pfsense, en modo no transparente con autenticacion local.

      He creado 2 grupos de ACL GROUPS (TIER1 y TIER2), ambos funcionan a la hora de bloquear por categoria (shallalist) si uso REDIRECT MODE = ext url redirect, todos los modos int y none me arrojan timeout.

      Si deseo entrar a mi aplicacion http://189.XX.YY.ZZ:8080/Aplicacion , por alguna razon esta cae dentro del COMMON ACL, donde tengo un deny all, y redirect a otra pagina web (asi me di cuenta).

      Me pueden ayudar a saber por que al intentar entrar a mi aplicacion, el acceso a la IP cae dentro del COMMON ACL?
      Otra cosa que sucede es que si habilito un TARGET CATEGORY con la IP de mi aplicacion, no funciona ni el ALLOW ni el WHITELIST, solo funciona el DENY con el redirect.

      Aqui un extracto de la configuracion del filtro

      logdir /var/squidGuard/log
      dbhome /var/db/squidGuard

      ACL FOR COMMON USERS

      src TIER2 {
      user  lipu
      log block.log
      }

      FOR ADMINS

      src TIER1 {
      user  rmelendez
      log block.log
      }

      dest blk_BL_adv {
      domainlist blk_BL_adv/domains
      urllist blk_BL_adv/urls
      log block.log
      }
      ...
      ....
      ....
      ...
      dest TARGET {
      domainlist TARGET/domains
      log block.log
      }

      rew safesearch {
      s@(google../search?.q=.)@&safe=active@i
      s@(google..      /images.q=.)@&safe=active@i
      s@(google../groups.q=.)@&safe=active@i
      s@(google..      /news.q=.)@&safe=active@i
      s@(yandex../yandsearch?.text=.)@&fyandex=1@i
      s@(search.yahoo..      /search.p=.)@&vm=r&v=1@i
      s@(search.live../.q=.)@&adlt=strict@i
      s@(search.msn..      /.q=.)@&adlt=strict@i
      s@(.bing..*/.q=.)@&adlt=strict@i
      log block.log
      }

      acl  {

      ACL FOR COMMON USERS

      TIER2  {
      pass !blk_BL_porn TARGET all
      redirect http://192.168.1.30/cacti
      log block.log
      }

      FOR GODS

      TIER1  {
      pass !blk_BL_webmail TARGET all
      redirect http://192.168.1.27
      log block.log
      }

      default  {
      pass TARGET none
      redirect http://192.168.1.30/nagios
      log block.log
      }
      }

      Como pueden ver hay un pass de TARGET y un deny all, pero me manda timeout si deseo acceder a la aplicacion. si le pongo un deny TARGET me funciona el redirect.

      Alguna guia?

      atte.
      Ricardo

      1 Reply Last reply Reply Quote 0
      • First post
        Last post