Qué hacer con mi configuración? (squid+squidGuard)
-
Hola a todos en el foro, tengo un problemita y una duda:
Tengo servidor montado con pfsense 2.0.1 y despues actualizadoa 2.0.2.
Lo tengo configurado con el tutorial de @Periko, haciendo pasar a los usuarios unicamente por el puerto de squid, si borran su configuración del navegador no tienen salida a ningun lado. Pido disculpas por poner el link del tutorial, pero se me hace extremadamente bueno y no lo ví en la documentación creo: http://pheriko.blogspot.mx/2012/03/pfsense-2-configurar-squid.html
Tengo instalado squidguard con 3 grupos: usuarios con bloqueo, usuarios con medio bloqueo y los usuarios sin nada de bloqueo.
Tenia habilitada la funcion de squidguard de no dejar navegar por medio de ip, y con esto ultrasurf ni freegate, ni ningun proxy bypass puede trabajar jejejeje. Tenía un problema con las descargas de hotmail, ya que hace peticiones a servidores por medio de ip y mis usuarios no podian descargar, así que me di la tarea de dar de alta una por una las ip que me iban saliendo de hotmail en una target list de squidguard y si funciona, pero como todo, tenia la necesidad de dar de alta el rango CIDR de hotmail de un jalon o rango de red tipo xx.xx.xx.xx - xx.xx.xx.xx en una target category list de squidguard, pero no las acepta… >:(
Trate de configurar reglas en el firewall con un alias y dentro de este tener el o los rangos CIDR de hotmail y dando opciones de pass, pero el squidguard bloquea todo antes de dejar pasar al fw y nomas no funciona.
Asi que tuve que deshabilitar esa regla y pues el ultra surf ahorita lo tienen 3 o 4 usuarios funcionando sin problema, ya que se brinca todo.
Ok, se me ocurrió lo siguiente, solo que no sé si funcione dentro de la configuración que tengo ahora:
Cerrar el puerto 443 para todos y hacer un alias solo con las páginas que quiero dejar pasar a través de 443 por ejemplo bancos, correos, y páginas del trabajo.
El chiste es evitar la navegación por ip, solo que no sé si exista esa función en squid solamente...
Creo que tengo otra duda, pero ahorita no la recuerdo, ya que no la apunte, pero conforme vaya recibiendo respuestas o soluciones o guias, las ire posteando.
Espero me haya explicado bien.
Saludos y espero sus valiosos comentarios
???
-
saludos, mira estaré buscado en el foro pero creo que ya leí una solución, solo que no recuerdo cuando ni quien lo realizo, pero parece ser que ya hay una propuesta, te informare.
-
Ok, grax… Saludos
-
en la pestaña del squid guardian hay una opción que evita la navegación por ip
-
Eso si lo se dementekuatiko, la tenia activada, pero hay sitios como hotmail que sus descargas de archivos adjuntos la hacen por medio de dirección ip, y ya llevo dadas de altas algunas, pero siempre tengo que estar una por una, y hay veces que el mismo usuario llega a utilizar diferente ip de acuerdo a la sesión del día. Y tengo que dar de alta una por una y son aprox como 80 usuarios… :o
Entonces planteo esta situación para ver de que otra forma puedo habilitar la navegación, por puerto 80, pero cerrando el 443 y hacer un alias solo con las ip en tipo CIDR o algo similar a las que el fw va a dejar usar el puerto 443.
Todo esto en conjunto con alguna regla que no permita la navegación si el usuario borra su configuración del proxy en su navegador... Debe de haber alguna forma, pero no ubico cómo hacerlo. ???
-
Bueno, supongo que no les puedes decir a tantos usuarios que no empleen hotmail.com y reenvíen su correo a un servicio más serio (gmail.com, yahoo.com…)
Intenta analizar si en estas URLs hay alguna cadena que las identifique y ponla en una lista blanca de expresiones que se ejecute antes que el in-addr de squidGuard.
http://www.squidguard.org/Doc/extended.html
No sé si el configurador web admite malabares como el que te digo. Pero se puede hacer. Siempre he manejado squid+squidGuard desde consola, en una máquina a parte.
Recuerda que en lo alto de este foro tienes el apartado de Documentación, con una entrada que dice Filtrar por IPs de destino, si quieres intentar averiguar los rangos de hotmail.com. Con Microsoft resulta complicado, pues subcontratan continuamente a terceros.
-
Excelente comentario Bellera, de nuevo agradezco tu apoyo.
Fijate que tengo por ahi varios rangos de red de microsoft, solo es ir dandolos de alta mediante el arin.net para saber el rango CIDR… Pero es una luz al final del camino.
Voy a checar lo que me dices sobre cómo hacer que se ejecute una regla de squid, antes del in-addr del squidguard.
Leo los posts que me comentas y retacho despues de hacer pruebas, vale?
Saludos de nuevo.
-
saludo, http://forum.pfsense.org/index.php/topic,45358.0.html, como lo indica el Master Bellera, espero sea lo que buscas.
-
Gracias por el aporte c_setup
-
saludos, espero sea la solucion que buscas, en espera de saber si te funciono. ::)
-
No me funciono… ya que siguen conectandose pasando por el puerto 443...
-
saludos, pozolero estaré haciendo pruebas en mi red interna con un equipo extra a fin de poder entender como configurar el pfsense.
-
Ok, avisame si te funciono