Proxy [consulta]



  • Hola a todos, soy nuevo por aquí.

    Mi consulta es la siguiente: ¿Cual seria la mejor forma para cumplir con estos objetivos?

    Proxy transparente
    bloquear todas las paginas http y https
    tener grupos de usuarios
    abrir ciertas paginas http y/o https a ciertos grupos

    De no ser posible transparente: ya tengo experiencia con squid + squidguard

    Espero sus respuestas o tutoriales gracias



  • Con squid3-devel puedes hacer SSL Bump en modo transparente, pues está previsto en el configurador.

    https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

    Pero no puedes gestionar usuarios, a menos que los identifiques por su IP.

    Umm… Estoy mirando bien squid3-devel. El apartado de autenticación está activo en modo transparente. Hay que probar/confirmar...

    The following input errors were detected:
    
        Authentication cannot be enabled while transparent proxy mode is enabled
    

    Pues definitivamente, no.



  • Gracias, por su respuesta.

    He estado haciendo todo tipos de pruebas, con la ultima version de pfsense y squid-dev, De momento voy por aqui, comparto mis resultados para los que estén en la misma situación que yo.

    Efectivamente se puede hacer proxy transparente de https en squid dev, no es mas que un "men in the middle"
    debes generar un certificado, desde el mismo administrador web, en services > cert manager
    configurar y habilitar https/ssl en la configuración global de squid, y adjuntar el certificado(probablemente te aparezca automáticamente si ya lo creaste por la aplicación)
    para bloquear todo, coloque en las blacklist los dominios bien conocidos. ejemplo .com .org .edu, etc… y en las whitelist coloque las paginas que quiero permitir, ejemplo google.com
    al momento de conectarse a google.com por https saldrá el certificado que creaste y deberás aceptarlo

    por hacer:
    filtrar grupos por ips, y/o listas de accesos para algunas paginas si otras no, como lo haríamos con squidguard
    bypass para sacar ciertos servicios por debajo del proxy transparente
    tengo 2 metro-cobre que quiero unir al mismo pfsence asi que me gustaría hacer balanceo de carga
    ver si puedo de alguna forma cargar el certificado a los navegadores para evitar aceptarlo en cada pagina https
    activar el clamav en el squid-dev



  • ok ya levanté clam-av con squid-dev transparente

    sigan estos pasos
    https://forum.pfsense.org/index.php?topic=72872.0

    es una tontería, en resumen, no lo inicien, primero vayan a consola y ejecuten freshclam para actualizar, luego si lo activan en la pestaña antivirus del proxy-server



  • Seguí ayer el post que indicas y si no entendí mal el uso de clamav es inestable, pues (al parecer) se cuelga el servicio icap necesario.

    Estaría bien poder contrastar eso con entornos de producción. También estoy trabajando el tema, tal como se puede ver arriba, en 
    Últimas aportaciones a Documentación.

    También saber un poco qué recursos consume la inspección del contenido por parte de clamav.

    Porque una cosa es inspeccionar las URLs (squid  + squidGuard) y otra todo el contenido…



  • Puede que sea inestable con el clamav, lo informare si empiezo a tener problemas

    bug con squid-dev +clamav, no se puede hacer un restart del squid, sin antes desactivar el clamav "enable" de la opcion antivirus en proxy-server  :-\

    en cuanto a lo del certificado para los navegadores facil…
    se van a system > cert manager > y le dan al botón export ca cert,
    luego en cualquier navegador van a preferencias > certificados > servidor > importar
    listo así no les preguntara cada vez por el certificado que no es de confianza(a no ser que tengan certificados genuinos y no requieran este paso)



  • @linksanguinario:

    en cuanto a lo del certificado para los navegadores facil…
    se van a system > cert manager > y le dan al botón export ca cert,
    luego en cualquier navegador van a preferencias > certificados > servidor > importar
    listo así no les preguntara cada vez por el certificado que no es de confianza(a no ser que tengan certificados genuinos y no requieran este paso)

    Por supuesto, documentado en https://forum.pfsense.org/index.php?topic=73007.msg402538#msg402538

    **Estamos haciendo, sin querer, bastante http://es.wikipedia.org/wiki/Envío_cruzado

    Modificado el final del hilo para centrarlo en ANTIVIRUS CLAMAV - squid3-dev**



  • Parece que Clamav no funciona (por el momento) con squid3-dev en arquitecturas de 64 bit (amd64):

    https://forum.pfsense.org/index.php?topic=73426.msg402098#msg402098



  • @bellera:

    Parece que Clamav no funciona (por el momento) con squid3-dev en arquitecturas de 64 bit (amd64):

    https://forum.pfsense.org/index.php?topic=73426.msg402098#msg402098

    No lo he provado aun. esta habilitado como les dije anteriormente pero hay que des-habilitarlo cuando se va a hacer un restart del squid…

    otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

    pude hacer una pagina informativa con la etiqueta deny_info y la coloque en "custom configuration" del squid
    ejemplo: deny_info http://x.x.x.x/bloqueado.html blacklist

    Lastimosamente es un poco tedioso bloquear todo y abrir una por una, tienen que estar revisando el access.log para determinar cosas como puertos adicionales, de paginas de bancos o servicios que realmente necesitan esos puertos para ssl, pero bueno los retos son la parte mas emocionante de este trabajo!  ;)

    Listo:
    proxy transparente http y https
    certificado creado a traves del pfsense
    certificado configurado en los navegadores
    actualización del clamav
    funcionamiento con el clamav(integrado)
    blacklist (todos los dominios de nivel superior, los saque de la icann/iana)
    whitelist (solo los dominios que quiero liberar: ejemplo .google.com)

    por hacer:
    probar si el clamav tiene algún conflicto con el squid, o no funciona, o cuelga los procesos

    Puedo dar fe de que el squid transparente para http y https funciona (el antivirus aun no), estuvo todo el fin de semana corriendo y nadie me informo de lentitud o interrupción del servicio (lo tengo de prueba para un pequeño grupo de informática)



  • prueba (prueba de forwarding)



  • @linksanguinario:

    otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

    Supongo que querías decir squidGuard.

    Hay que darle a Save para guardar la configuración.

    Y después a Apply para aplicarla. Y no es instantáneo, pues tiene que compilar listas modificadas, cerrar los procesos squidGuard en curso y abrir los nuevos.

    Puedes verlo en Proxy filter SquidGuard: Log page: Filter log

    Los procesos squidGuard son hijos de squid. Por tanto, si reinicias squid tienes el mismo resultado pero con cortes en la navegación.

    Todo esto es un comportamiento "natural" en squid + squidGuard.



  • @linksanguinario:

    Puedo dar fe de que el squid transparente para http y https funciona (el antivirus aun no), estuvo todo el fin de semana corriendo y nadie me informo de lentitud o interrupción del servicio (lo tengo de prueba para un pequeño grupo de informática)

    ¡Ok, me alegro!

    Yo lo tengo en casa y estoy escribiendo desde detrás de él (http y https). Voy ajustando cosas, pues tengo que asegurar muchas cosas antes de meterlo en producción con 400 usuarios de promedio diario.



  • @bellera:

    @linksanguinario:

    otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

    Supongo que querías decir squidGuard.

    No, me he llevado malas experiencias usando squidguard con las ultimas versiones de squid, tienen mucho tiempo desde que no le dan soporte al squidguard oficial. la ultima vez intente compilar squid 3.4.4 de la pagina oficial con squidguard 1.5 de la pagina oficial tambien, y simplemente ya no funcionan uno con el otro. Las etiquetas que envia squidguard, el squid las ve como con contenido basura pues hubo ciertos cambios… finalizando el cuento hay un parche por ahí para hacerlo funcionar, pero bueno.

    Asi que solo use la sección ACL del squid-dev!, donde dice blacklist y witelist… Limitantes de momentos no poder crear grupos tan facilmente como en squidguard pero en cuanto de con la solución se los diré…

    Indiferentemente como este proxy es trasparente solo para los usuarios globales sin mayores privilegios, no creo que haga falta debido a que aquellos que si tienen privilegios salen por otro enlace metro(squid+squidguard), sin embargo ya he leido varios tutoriales y manuales de como hacer grupos parecidos al squidguard en el squid solo.

    Mi idea era básicamente eliminar la necesidad de configurar proxy en el 90% de las pc o darles privilegios de mas cosa que pasa muy a menudo, si solo necesitan acceso básico a internet... y solo configurar proxy en el 10% del personal directivo o con privilegios de acceso por cuestiones de trabajo. Todo para tener mas control! (no parece pero cuando tienes cientos o miles de ip's eventualmente hay un desorden...)



  • la ultima vez intente compilar squid 3.4.4 de la pagina oficial con squidguard 1.5 de la pagina oficial tambien, y simplemente ya no funcionan uno con el otro. Las etiquetas que envia squidguard, el squid las ve como con contenido basura pues hubo ciertos cambios…

    Sí, ya había oído que squidGuard 1.5 no es estable. Supongo que, por eso, se usa la 1.4:

    [2.1-RELEASE][admin@pfsense.localdomain]/root(10): squid -v
    Squid Cache: Version 3.3.10
    configure options:  '--with-default-user=squid' '--bindir=/usr/pbi/squid-i386/sbin' '--sbindir=/usr/pbi/squid-i386/sbin' '--datadir=/usr/pbi/squid-i386/etc/squid' '--libexecdir=/usr/pbi/squid-i386/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/pbi/squid-i386/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS  fake getpwnam LDAP NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--enable-icmp' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--enable-eui' '--disable-ipfw-transparent' '--enable-pf-transparent' '--disable-ipf-transparent' '--enable-follow-x-forwarded-for' '--disable-ecap' '--enable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--prefix=/usr/pbi/squid-i386' '--mandir=/usr/pbi/squid-i386/man' '--infodir=/usr/pbi/squid-i386/info/' '--build=i386-portbld-freebsd8.3' 'build_alias=i386-portbld-freebsd8.3' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/pbi/squid-i386/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/pbi/squid-i386/lib -pthread -Wl,-rpath=/usr/lib:/usr/pbi/squid-i386/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/pbi/squid-i386/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience
    [2.1-RELEASE][admin@pfsense.localdomain]/root(11): squidGuard -v
    SquidGuard: 1.4 Sleepycat Software: Berkeley DB 4.1.25: (December 19, 2002)
    

    Espero funcione. Llevo desde el viernes pegado al ordenador con esto y parece totalmente estable.

    squidGuard al fin y al cabo lo único que tiene que devolver es nada o la nueva URL.

    Si puedes, explica un poco lo que decías, a ver si puedo "estresar" la instalación de pruebas.




Log in to reply