Limitaciones de squidGuard
-
Escribo este post para puntualizar algunos aspectos de squidGuard, el cual uso con squid en FreeBSD (sistema operativo en el que basa pfSense) desde por allá el año 2000…
Es una herramienta de filtrado potente y estable como añadido a squid pero desgraciadamente no tiene nuevas versiones desde hace tiempo.
Actualmente estoy migrando un squid2+squidGuard no transparente sobre FreeBSD a un squid3+squidGuard transparente en pfSense.
La posibilidad de poder interceptar el tráfico https con squid3 me hizo decidir por el cambio. También el hecho de tener a squid "escuchando" en varias interfases del enrutador/cortafuegos pfSense. La topología de red cambia mucho, pero que mucho con eso. Se simplifican notablemente las instalaciones.
El caso cigüeña
Volviendo a squidGuard, uno de los problemas que he encontrado es que no hay soporte para los caracteres internacionales. Es decir, no podemos crear reglas para palabras como cigüeña.
Es más, si lo hacemos con el configurador web de pfSense, al grabar los datos se produce un error y pfSense restaura la configuración anterior. Y si se importan listas negras conteniendo palabras como cigüeña tampoco funcionan.
Discutido en http://forum.pfsense.org/index.php?topic=73761.msg403681#msg403681 (en inglés).
Orden en las listas de destinos
Otro problema, este ya del paquete squidGuard para pfSense, es que no se respeta el orden de las listas de destinos del configurador web cuando se escribe la línea pass de squidGuard.conf.
En squidGuard se pueden hacer cosas como:
pass autorizados !denegados filtrados !listas_negras all
y el resultado siempre es:
pass autorizados filtrados !denegados !listas_negras all
Es decir, siempre pone delante todas las listas autorizadas y detrás las denegadas. Y esto a pesar del orden que hayamos puesto en el configurado web.
Eso impide emplear filtrados como exclusiones de listas_negras.
Al final tuve que hacer un apaño consistente en que el configurador web no escriba squidGuard.conf automáticamente.
Discutido en http://forum.pfsense.org/index.php?topic=73759.msg404367#msg404367 (en inglés)
Algún día tendré que mirarme a fondo DansGuardian, a ver si ofrece mejoras con respecto a lo que hace squidGuard.
Para squidGuard con squid3-dev ir a http://forum.pfsense.org/index.php?topic=73740.0
-
Buenos dias mi nombre es victor suarez y estoy familiarizandome con pfsese trabajo en el area de una universidad privada, mi caso es el siguiente tengo un proxy con pfsense para la parte administrativa no transparante y todo me funciona prerfecto, y estamos tratando de montar un servidor para servicio de wifi modo no transaparente realica mi configuracion de squid y squidguard cuando conceto una laptop al wifi el proxy realiza el bloqueo a ciertas paginas restringidas, pero el problema es cuando nos conectamos desde un dispositivo android y navegamos con el google chrome se salta el proxy.
Me gustaria q me dieran alguna sugerencia para solucionar el problema, y de ante mano gracias …
-
En opciones avanzadas de la conexión WiFi de los Android se puede indicar el proxy.
Si los equipos se saltan el proxy es porque hay reglas en pfSense que permiten la navegación directa.
Por tanto no deberían admitirse destinos para TCP 80, TCP 443 u otros puertos de navegación posibles gestionados por el proxy.
Espero haberme explicado.