Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Proxy [consulta]

    Scheduled Pinned Locked Moved Español
    15 Posts 2 Posters 4.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      linksanguinario
      last edited by

      Hola a todos, soy nuevo por aquí.

      Mi consulta es la siguiente: ¿Cual seria la mejor forma para cumplir con estos objetivos?

      Proxy transparente
      bloquear todas las paginas http y https
      tener grupos de usuarios
      abrir ciertas paginas http y/o https a ciertos grupos

      De no ser posible transparente: ya tengo experiencia con squid + squidguard

      Espero sus respuestas o tutoriales gracias

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        Con squid3-devel puedes hacer SSL Bump en modo transparente, pues está previsto en el configurador.

        https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

        Pero no puedes gestionar usuarios, a menos que los identifiques por su IP.

        Umm… Estoy mirando bien squid3-devel. El apartado de autenticación está activo en modo transparente. Hay que probar/confirmar...

        The following input errors were detected:
        
            Authentication cannot be enabled while transparent proxy mode is enabled
        

        Pues definitivamente, no.

        1 Reply Last reply Reply Quote 0
        • L
          linksanguinario
          last edited by

          Gracias, por su respuesta.

          He estado haciendo todo tipos de pruebas, con la ultima version de pfsense y squid-dev, De momento voy por aqui, comparto mis resultados para los que estén en la misma situación que yo.

          Efectivamente se puede hacer proxy transparente de https en squid dev, no es mas que un "men in the middle"
          debes generar un certificado, desde el mismo administrador web, en services > cert manager
          configurar y habilitar https/ssl en la configuración global de squid, y adjuntar el certificado(probablemente te aparezca automáticamente si ya lo creaste por la aplicación)
          para bloquear todo, coloque en las blacklist los dominios bien conocidos. ejemplo .com .org .edu, etc… y en las whitelist coloque las paginas que quiero permitir, ejemplo google.com
          al momento de conectarse a google.com por https saldrá el certificado que creaste y deberás aceptarlo

          por hacer:
          filtrar grupos por ips, y/o listas de accesos para algunas paginas si otras no, como lo haríamos con squidguard
          bypass para sacar ciertos servicios por debajo del proxy transparente
          tengo 2 metro-cobre que quiero unir al mismo pfsence asi que me gustaría hacer balanceo de carga
          ver si puedo de alguna forma cargar el certificado a los navegadores para evitar aceptarlo en cada pagina https
          activar el clamav en el squid-dev

          1 Reply Last reply Reply Quote 0
          • L
            linksanguinario
            last edited by

            ok ya levanté clam-av con squid-dev transparente

            sigan estos pasos
            https://forum.pfsense.org/index.php?topic=72872.0

            es una tontería, en resumen, no lo inicien, primero vayan a consola y ejecuten freshclam para actualizar, luego si lo activan en la pestaña antivirus del proxy-server

            1 Reply Last reply Reply Quote 0
            • belleraB
              bellera
              last edited by

              Seguí ayer el post que indicas y si no entendí mal el uso de clamav es inestable, pues (al parecer) se cuelga el servicio icap necesario.

              Estaría bien poder contrastar eso con entornos de producción. También estoy trabajando el tema, tal como se puede ver arriba, en 
              Últimas aportaciones a Documentación.

              También saber un poco qué recursos consume la inspección del contenido por parte de clamav.

              Porque una cosa es inspeccionar las URLs (squid  + squidGuard) y otra todo el contenido…

              1 Reply Last reply Reply Quote 0
              • L
                linksanguinario
                last edited by

                Puede que sea inestable con el clamav, lo informare si empiezo a tener problemas

                bug con squid-dev +clamav, no se puede hacer un restart del squid, sin antes desactivar el clamav "enable" de la opcion antivirus en proxy-server  :-\

                en cuanto a lo del certificado para los navegadores facil…
                se van a system > cert manager > y le dan al botón export ca cert,
                luego en cualquier navegador van a preferencias > certificados > servidor > importar
                listo así no les preguntara cada vez por el certificado que no es de confianza(a no ser que tengan certificados genuinos y no requieran este paso)

                1 Reply Last reply Reply Quote 0
                • belleraB
                  bellera
                  last edited by

                  @linksanguinario:

                  en cuanto a lo del certificado para los navegadores facil…
                  se van a system > cert manager > y le dan al botón export ca cert,
                  luego en cualquier navegador van a preferencias > certificados > servidor > importar
                  listo así no les preguntara cada vez por el certificado que no es de confianza(a no ser que tengan certificados genuinos y no requieran este paso)

                  Por supuesto, documentado en https://forum.pfsense.org/index.php?topic=73007.msg402538#msg402538

                  **Estamos haciendo, sin querer, bastante http://es.wikipedia.org/wiki/Env%C3%ADo_cruzado

                  Modificado el final del hilo para centrarlo en ANTIVIRUS CLAMAV - squid3-dev**

                  1 Reply Last reply Reply Quote 0
                  • belleraB
                    bellera
                    last edited by

                    Parece que Clamav no funciona (por el momento) con squid3-dev en arquitecturas de 64 bit (amd64):

                    https://forum.pfsense.org/index.php?topic=73426.msg402098#msg402098

                    1 Reply Last reply Reply Quote 0
                    • L
                      linksanguinario
                      last edited by

                      @bellera:

                      Parece que Clamav no funciona (por el momento) con squid3-dev en arquitecturas de 64 bit (amd64):

                      https://forum.pfsense.org/index.php?topic=73426.msg402098#msg402098

                      No lo he provado aun. esta habilitado como les dije anteriormente pero hay que des-habilitarlo cuando se va a hacer un restart del squid…

                      otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

                      pude hacer una pagina informativa con la etiqueta deny_info y la coloque en "custom configuration" del squid
                      ejemplo: deny_info http://x.x.x.x/bloqueado.html blacklist

                      Lastimosamente es un poco tedioso bloquear todo y abrir una por una, tienen que estar revisando el access.log para determinar cosas como puertos adicionales, de paginas de bancos o servicios que realmente necesitan esos puertos para ssl, pero bueno los retos son la parte mas emocionante de este trabajo!  ;)

                      Listo:
                      proxy transparente http y https
                      certificado creado a traves del pfsense
                      certificado configurado en los navegadores
                      actualización del clamav
                      funcionamiento con el clamav(integrado)
                      blacklist (todos los dominios de nivel superior, los saque de la icann/iana)
                      whitelist (solo los dominios que quiero liberar: ejemplo .google.com)

                      por hacer:
                      probar si el clamav tiene algún conflicto con el squid, o no funciona, o cuelga los procesos

                      Puedo dar fe de que el squid transparente para http y https funciona (el antivirus aun no), estuvo todo el fin de semana corriendo y nadie me informo de lentitud o interrupción del servicio (lo tengo de prueba para un pequeño grupo de informática)

                      1 Reply Last reply Reply Quote 0
                      • L
                        linksanguinario
                        last edited by

                        prueba (prueba de forwarding)

                        1 Reply Last reply Reply Quote 0
                        • belleraB
                          bellera
                          last edited by

                          @linksanguinario:

                          otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

                          Supongo que querías decir squidGuard.

                          Hay que darle a Save para guardar la configuración.

                          Y después a Apply para aplicarla. Y no es instantáneo, pues tiene que compilar listas modificadas, cerrar los procesos squidGuard en curso y abrir los nuevos.

                          Puedes verlo en Proxy filter SquidGuard: Log page: Filter log

                          Los procesos squidGuard son hijos de squid. Por tanto, si reinicias squid tienes el mismo resultado pero con cortes en la navegación.

                          Todo esto es un comportamiento "natural" en squid + squidGuard.

                          1 Reply Last reply Reply Quote 0
                          • belleraB
                            bellera
                            last edited by

                            @linksanguinario:

                            Puedo dar fe de que el squid transparente para http y https funciona (el antivirus aun no), estuvo todo el fin de semana corriendo y nadie me informo de lentitud o interrupción del servicio (lo tengo de prueba para un pequeño grupo de informática)

                            ¡Ok, me alegro!

                            Yo lo tengo en casa y estoy escribiendo desde detrás de él (http y https). Voy ajustando cosas, pues tengo que asegurar muchas cosas antes de meterlo en producción con 400 usuarios de promedio diario.

                            1 Reply Last reply Reply Quote 0
                            • L
                              linksanguinario
                              last edited by

                              @bellera:

                              @linksanguinario:

                              otro detalle es que no sirve simplemente agregar paginas al whitelist del squid y solo darle "save", hay que hacer un restart del servicio.

                              Supongo que querías decir squidGuard.

                              No, me he llevado malas experiencias usando squidguard con las ultimas versiones de squid, tienen mucho tiempo desde que no le dan soporte al squidguard oficial. la ultima vez intente compilar squid 3.4.4 de la pagina oficial con squidguard 1.5 de la pagina oficial tambien, y simplemente ya no funcionan uno con el otro. Las etiquetas que envia squidguard, el squid las ve como con contenido basura pues hubo ciertos cambios… finalizando el cuento hay un parche por ahí para hacerlo funcionar, pero bueno.

                              Asi que solo use la sección ACL del squid-dev!, donde dice blacklist y witelist… Limitantes de momentos no poder crear grupos tan facilmente como en squidguard pero en cuanto de con la solución se los diré…

                              Indiferentemente como este proxy es trasparente solo para los usuarios globales sin mayores privilegios, no creo que haga falta debido a que aquellos que si tienen privilegios salen por otro enlace metro(squid+squidguard), sin embargo ya he leido varios tutoriales y manuales de como hacer grupos parecidos al squidguard en el squid solo.

                              Mi idea era básicamente eliminar la necesidad de configurar proxy en el 90% de las pc o darles privilegios de mas cosa que pasa muy a menudo, si solo necesitan acceso básico a internet... y solo configurar proxy en el 10% del personal directivo o con privilegios de acceso por cuestiones de trabajo. Todo para tener mas control! (no parece pero cuando tienes cientos o miles de ip's eventualmente hay un desorden...)

                              1 Reply Last reply Reply Quote 0
                              • belleraB
                                bellera
                                last edited by

                                la ultima vez intente compilar squid 3.4.4 de la pagina oficial con squidguard 1.5 de la pagina oficial tambien, y simplemente ya no funcionan uno con el otro. Las etiquetas que envia squidguard, el squid las ve como con contenido basura pues hubo ciertos cambios…

                                Sí, ya había oído que squidGuard 1.5 no es estable. Supongo que, por eso, se usa la 1.4:

                                [2.1-RELEASE][admin@pfsense.localdomain]/root(10): squid -v
                                Squid Cache: Version 3.3.10
                                configure options:  '--with-default-user=squid' '--bindir=/usr/pbi/squid-i386/sbin' '--sbindir=/usr/pbi/squid-i386/sbin' '--datadir=/usr/pbi/squid-i386/etc/squid' '--libexecdir=/usr/pbi/squid-i386/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/pbi/squid-i386/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS  fake getpwnam LDAP NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--enable-icmp' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--enable-eui' '--disable-ipfw-transparent' '--enable-pf-transparent' '--disable-ipf-transparent' '--enable-follow-x-forwarded-for' '--disable-ecap' '--enable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--prefix=/usr/pbi/squid-i386' '--mandir=/usr/pbi/squid-i386/man' '--infodir=/usr/pbi/squid-i386/info/' '--build=i386-portbld-freebsd8.3' 'build_alias=i386-portbld-freebsd8.3' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/pbi/squid-i386/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/pbi/squid-i386/lib -pthread -Wl,-rpath=/usr/lib:/usr/pbi/squid-i386/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/pbi/squid-i386/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience
                                [2.1-RELEASE][admin@pfsense.localdomain]/root(11): squidGuard -v
                                SquidGuard: 1.4 Sleepycat Software: Berkeley DB 4.1.25: (December 19, 2002)
                                

                                Espero funcione. Llevo desde el viernes pegado al ordenador con esto y parece totalmente estable.

                                squidGuard al fin y al cabo lo único que tiene que devolver es nada o la nueva URL.

                                Si puedes, explica un poco lo que decías, a ver si puedo "estresar" la instalación de pruebas.

                                1 Reply Last reply Reply Quote 0
                                • belleraB
                                  bellera
                                  last edited by

                                  squid3-devel con clamav (i386)
                                  http://egoncalves.com.br/pfsense/pfsense-squid3-dev-clamav-i386/
                                  Para 64 bit (amd64), parece que no funciona, https://forum.pfsense.org/index.php?topic=72872.msg400869#msg400869

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.