Configuracion de Squid y Familia
-
Ante todo saludos y agradecimientos por tanta colaboracion que se aprecia de los diferentes miembros del foro.
Resumo mi situacion actual, tengo un equipo con pfsense el cual esta haciendo el trabajo de firewall, hice una busqueda por el foro y youtube. Sin tener mayor resultado que las guias de Bellera del 2009, con versiones viejas del squid y squid guard, que a la hora de configurar dan una idea pero no aclaran mucho las dudas con los features nuevos de cada servicio, tomando como referencia esas guias, realice unas pruebas con proxy en modo transparente, hice otra forzando, pero a la final para que me filtre bien tengo que configurar en cada navegador de internet la direccion IP y el puerto de salida del proxy (en este caso mi pfsense), ahora encontre una forma de restringir las paginas del facebook y de youtube, entre otras con la creacion de reglas en el pfsense con la ayuda de esta guia http://www.youtube.com/watch?v=DjDooUig3_M
-
No puedo tomar la opcion de configurar manualmente los navegadores para que pasen por el filtrado proxy de squid, ya que tengo "usuarios avanzados con mala intencion", que borran las configuraciones realizadas.
-
Descarto la opcion de la creacion de reglas en el proxy de pfsense porque no quiero cargar de reglas y reglas para cada direccion IP de las URL prohibidas para la navegacion en la empresa, aparte que tampoco es valido ya que hay paginas (URL) que cambian de direcciones IP a menudo.
Agradexco de antemano la ayuda que me puedan dar y aclaratorias para la resolucion de este inmortal problema que a todos nos llega tarde o temprano.
Dejo URL con las guias probadas.
guias youtube
http://www.youtube.com/watch?v=5vnnBl-5K9k
http://www.youtube.com/watch?v=53QU5i66xbU
Guias
Belleraen este forohttp://forum.pfsense.org/index.php/topic,47249.0.html
http://forum.pfsense.org/index.php/topic,44492.msg235654.html#msg235654
http://forum.pfsense.org/index.php?topic=22273.0Proxy transparente
http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#Concepts_of_Interception_Caching
-
-
Sin tener mayor resultado que las guias de Bellera del 2009
Al César lo que es del César. Nunca publiqué guía alguna sobre pfSense + Squid.
Mi único tutorial es http://www.bellera.cat/josep/pfsense/indice.html y corresponde a mayo-2007, tras haber empezado con pfSense en otoño de 2006.
El resto son intervenciones en este foro y materiales publicados por otros compañeros del mismo.
Los materiales seleccionados están en lo alto de esto foro, dentro de la entrada Documentación y algunos de ellos son del 2012.
ahora encontre una forma de restringir las paginas del facebook y de youtube, entre otras con la creacion de reglas en el pfsense con la ayuda de esta guia http://www.youtube.com/watch?v=DjDooUig3_M
No lo miré todo, por tiempo. Parece correcto pero es mejorable. Veáse entrada en Documentación de cómo obtener los rangos de IPs usados por compañías, filtrar por IPs de destino.
No puedo tomar la opcion de configurar manualmente los navegadores para que pasen por el filtrado proxy de squid, ya que tengo "usuarios avanzados con mala intencion", que borran las configuraciones realizadas.
Si tienes reglas en pfSense que no permitan la salida a internet sin pasar por el proxy los usuarios dejarán de quitarlo pues no podrán navegar.
-
No entiendo cual es básicamente el problema, quieres que te hagan un manual nuevo de squid o quieres preguntar algo puntual sobre alguna opción que desconozcas. Ahora me parece extraño que digas que tienes usuarios mal intencionados que se pueden sacar el proxy del navegador. ya que si hacen esto, simplemente no navegan. al menos que no tengas tu fw puesto como cualquier maquina de la red. Ahora antes de preguntar, creo que seria apropiado que investigaras como debería ir tu fw o proxy dentro de tu red. ya que creo que no tienes una idea clara de como implementar este.
saludos
-
Gracias por el apoyo de antemano, cuando me refiero a usuarios mal intencionados me refiero a usuarios que quitan la configuracion para no trabajar, de la configuracion actualmente lo tengo con el squid y el squidguard, pero no me se la regla que desde el navegador de cada maquina que es puerto 80 y 443 pase por mi squid sin hacerle la configuracion al navegador de cada maquina directamente, lo que preciso es mas o menos algo asi
que mi usuario que consulte en su navegador por el puerto 80 sea redireccionado a mi squid = 3128, para que este sea filtrado.
De antemano muchas gracias
-
que mi usuario que consulte en su navegador por el puerto 80 sea redireccionado a mi squid = 3128, para que este sea filtrado.
Esto es poner a squid en modo transparente y entonces no tendrás filtrado de las peticiones encriptadas (https, TCP 443).
Llevo con squid+squidGuard desde el 2000 y con pfSense desde el 2006. Te sugiero pongas reglas que impidan navegación directa y obligues así a los usuarios a tener puesto el proxy en el navegador. No hay otra solución mejor.
El proxy transparente es pan para hoy y hambre para mañana, pues ni filtra https ni admite control por usuario/contraseña.
Tu mismo referenciaste http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#Concepts_of_Interception_Caching
-
Si deseas que squid haga su trabajo, olvidate del "modo-transparente" tiene limitantes y te las acaban de mencionar, mejor tu forza atraves de pfsense-fw que todo cruce por ahi y habilita wpad para que todos los navegadores tomen los parametros del proxy automatico.
Ahora si los usuarios se meten y modifican los parametros del navegador es otro historia, por que aun que lo hagas todo automatizado, no hay como atacar a esos usuarios si no es con politicas y respaldo de la empresa con sanciones como descansos sin goce de sueldo por poner en riesgo la informacion de la empresa asi de facil.
Suerte!!!
-
Coloco los avances que eh hecho hasta ahora, como en mi caso tengo una empresa con 6 sucursales use 2 para las pruebas, en una tengo usando el pfsense-fw blokeando las ip de facebook y twitter, no puedo blokear youtube, porque usa las mismas ip's que google, al blokear se blokea ambas, para mitigar las conexiones puse el squid modo transparente para filtrar las URL, categorias y contenido. en 3 dias de pruebas viendo el logserver, observe que no pudieron accesar a ninguna pagina de red social, pero a youtube si pudieron 2 ip's de mi red interna (usuarios)
en la segunda sede, hice el laboratorio de blokear en el pfsense-fw el puerto 80 y obligar a todos a usar la configuracion del firewall manual en cada navegador, para que salieran por el squid y squidguard, asi me ah funcionado perfectamente, aunque eh notado que el squitguard no blokea todas las paginas en la lista de categorias que uso para esta sede, nose si tengo algun parametro errado o obviando algo para que sea mas fuertes las restricciones,
Recordando nuevamente todo el agradecimiento por el apoyo y la ayuda brindada con este problema, al final de la resolucion de este escenario posteare una guia para que en futuros casos sea una ayuda importante para todos nosotros.
guia de referencia que ubique atravez de todo poderoso "Google" utilizada para la configuracion de la segunda sede…
http://drivemeca.blogspot.com/2012/06/como-filtrar-contenido-con-squidguard.html
Credito:Manuel Cabrera Caballero
-
Hay un excelente tutorial del compañero perico que por cierto es muy, muy bueno con respecto a configurar squid en modo no transparente, porque como bien comenta Bellera, el proxy transparente te sirve ahora, pero a la larga te dará muchos dolores de cabeza…
Aqui está la documentación disponible, aparte de la que te puedes encontrar en el foro:
http://forum.pfsense.org/index.php/topic,23409.0.html
Te recomiendo leer los de Bellera, y también los de Periko... Yo tengo configurado mi pfsense con el manual que tiene periko y funciona perfectamente para una oficina de 100 usuarios o más...
Saludos
