Pfsense + squidguard



  • Привет всем!

    Прошу помощи в настройке данной связки!Как заставить работать(блок радио\сайтов\портов и т.д.)?Желательно с примерами,пускай банальными!





  • @artemvst:

    http://thin.kiev.ua/router-os/50-pfsense/530-pfsense-squid.html

    Не работает.Делал все точно по мануалу!Перепроверил раз 20,если не больше.
    Скинул бы логи,не в курсе где лежат.

    ============================================================

    SquidGuard configuration file

    This file generated automaticly with SquidGuard configurator

    (C)2006 Serg Dvoriancev

    email: dv_serg@mail.ru

    ============================================================

    logdir /var/squidGuard/log
    dbhome /var/db/squidGuard

    testtime

    time testtime {
    weekly mon 10:00-19:00
    weekly tue 10:00-19:00
    weekly wed 10:00-19:00
    weekly thu 10:00-19:00
    weekly fri 10:00-19:00
    }

    src WorkTime {
    ip    192.168.137.0/24
    log block.log
    }

    FileAccessDeny

    dest FileAccessDeny {
    domainlist FileAccessDeny/domains
    expressionlist FileAccessDeny/expressions
    urllist FileAccessDeny/urls
    redirect http://192.168.137.1:80/sgerror.php?url=403 &a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    log block.log
    }

    rew safesearch {
    s@(google../search?.q=.)@&safe=active@i
    s@(google..
    /images.q=.)@&safe=active@i
    s@(google../groups.q=.)@&safe=active@i
    s@(google..
    /news.q=.)@&safe=active@i
    s@(yandex../yandsearch?.text=.)@&fyandex=1@i
    s@(search.yahoo..
    /search.p=.)@&vm=r&v=1@i
    s@(search.live../.q=.)@&adlt=strict@i
    s@(search.msn..
    /.q=.)@&adlt=strict@i
    s@(.bing..*/.q=.)@&adlt=strict@i
    log block.log
    }

    acl  {

    WorkTime  within testtime {
    pass !FileAccessDeny all
    redirect http://192.168.137.1:80/sgerror.php?url=403 404&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    log block.log
    } else {
    pass all
    redirect http://192.168.137.1:80/sgerror.php?url=403 404&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    log block.log
    }

    default  {
    pass !FileAccessDeny none
    redirect http://192.168.137.1:80/sgerror.php?url=403 &a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    log block.log
    }
    }

    Да,блочу вк.ком



  • Фото правил FileAccessDeny покажите.



  • @dvserg:

    Фото правил FileAccessDeny покажите.






  • _if

    Expressions:
    (./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware



  • @dr.gopher:

    _if

    Expressions:
    (./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

    Да ересь это все. Не поможет. Через анонимайзеры все будет ок.



  • @dr.gopher:

    _if

    Expressions:
    (./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

    Все равно не работает…Пускает на сайт,позволяет делать любые операции.



  • (.*.(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv)($|?))|player|radio|flashvideo|shokware



  • Без времени еще попробуйте протестируйте.



  • @artemvst:

    @dr.gopher:

    Expressions:
    (./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

    Да ересь это все. Не поможет. Через анонимайзеры все будет ок.

    Ну почемуже?
    1. Закрываете возможность доступа по ip
    2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
    3. В блеклисе выбираете категории [blk_BL_anonvpn]  denny

    И оочень трудно найти не забаненый анонимайзер.



  • dr.gopher,благодарю за помощь!

    Суть проблемы была в следующем.В разделе Services -> Proxy server не был настроен.Вот.. :)

    Теперь задался вопросом.Возможно ли использовать в pfsense авторизацию логин <-> пароль,что бы резать посещаемость определенным пользователям по мимо глобальных правил?И возможно ли отгружать статистику траффика по пользователям(кто и где был\сколько выкачал,закачал)?

    Спасибо за внимание!



  • Если только по http, то все делается средствами Squid (авторизация) + LightSquid/Sarg
    Если про все вообще - то CaptivePortal. Но общую статистику придется что-то на подобии http://forum.pfsense.org/index.php/topic,21394.0.html делать

    Глобальные правила, кстати, на доступ к прокси не влияют.



  • А кто-нибудь забивал в Expressions: русские слова? у меня почему-то при добавлении их, отваливается все правило. Банит только домены целиком(которые перечислены в Domains list )



  • А не нужно их туда забивать. Нужно использовать коды вида %хх ( q=%D1%81%D0%B2%D0%B5%D1%82 ).



  • Я предполагал что там пишуться теги, которые он потом будет банить! Или я не прав? как мне забанить допустим слово "какашка"?:)Вот если туда вписать "kakashka" правило будет срабатывать!



  • Нет, это URL фильтр. Вам нужен Dansguardian.



  • А эта как я понял контент фильтрует!Спасибо, с этим разобрался:). А проблем со временем не было.Я имею ввиду в проксифильтре? У меня стоит время для работы правил (8-19),а они работают все время?



  • @dr.gopher:

    @artemvst:

    @dr.gopher:

    Expressions:
    (./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

    Да ересь это все. Не поможет. Через анонимайзеры все будет ок.

    Ну почемуже?
    1. Закрываете возможность доступа по ip
    2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
    3. В блеклисе выбираете категории [blk_BL_anonvpn]   denny

    И оочень трудно найти не забаненый анонимайзер.

    Так и есть. НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.



  • @artemvst:

    НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.

    Тогда можно вообще ничего не делать! Один фиг когда то умрем.  ;)



  • @dr.gopher:

    @artemvst:

    И оочень трудно найти не забаненый анонимайзер.

    Так и есть. НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.

    Решения "настроил и отдыхай" для фильтрации не существует.
    Вы можете запретить все и открывать по требованию, либо разрешить все и ограничить известные ресурсы.
    В любом случае это постоянная работа администратора.

    Я обычно всем предлагаю последний вариант + постоянный мониторинг популярных сайтов (отчеты LS/Sarg). И не нужно стараться контралировать все (это параноя - сам прошел). Если сотрудника пару раз сходил на какой-то ресурс через неизвестный анонимайзер, то это не страшно. Другое дело, если он сидит через него постоянно. Тогда у Вас адрес этого анонимайзера попадает в популярные и Вы можете внести его в черный список.

    Ну и не забываем о регулярных обновлениях блэклиста.



  • @dvserg:

    Ну и не забываем о регулярных обновлениях блэклиста.

    А автоматизировать реально обновление баз?



  • @dr.gopher:

    @dvserg:

    Ну и не забываем о регулярных обновлениях блэклиста.

    А автоматизировать реально обновление баз?

    Последняя глобальная переделка была заточена и под это тоже.
    Но / (с) Димон / "чета я очкую пацаны..".
    Есть несколько моментов, которые останавливают от добавления такой опции.
    При большом желании - есть скрипт, который не сложно добавить в Cron.



  • @dvserg:

    При большом желании - есть скрипт, который не сложно добавить в Cron.

    Я готов потестить.



  • @dr.gopher:

    @dvserg:

    При большом желании - есть скрипт, который не сложно добавить в Cron.

    Я готов потестить.

    Он уже есть - формируется в '/temp' после ручной загрузки. Можно скопировать куда-нить и запускать. В англоязычной ветке была тема.


Log in to reply