Bloquear youtube https modo transparente



  • Hola.
    Quería pedir si alguien puede darme una mano para bloquear el https de youtube. Tengo el proxy en modo transparente.
    Y resulta que con las categorías, etc. de shallalist… bloqueo, etc. pero no me bloquea youtube en https (que es el que me interesa).

    Qué podría hacer?
    Saludos y gracias

    pd.:por cierto, vi que quizás se podía hacer por dns... pero... ejem... no sé cómo......



  • Lo que tienes que hacer, que fue lo que me funciono es en firewall/rules no hagas la regla de 443 HTTPS, solo el de 80, entonces buscas los rangos de las IPs de dominio a los cuales si permitiras el acceso y a ese pool le inidcas en la regla que permita cualquier puerto any,any . Con esto habilitara el https solo para los sitios que tu elijas como bancos, etc… espero te sirva saludos.



  • Saludos mi estimado, maneja squid sobre pfsense?? y el bloqueo que desea establecer es fijo para todo los clientes? quedo atento de su comentarios para ayudarle



  • Menu

    Services -> DNS Forwarder

    La ultima opcion: Domain Overrides

    Creas una regla, ej.

    facebook.com  127.0.0.5

    Y listo, no abre facebook…

    No es la mejor opcion, pero funciona.

    Saludos!



  • y podria ser esto selectivo por ip?. lo pregunto por que ami si me funciono pero corre para toda la red y tengo algunos equipos que no tienen que estar bloqueados.

    un cordial saludo



  • Los equipos tendrían que tomar otro DNS que no fuera pfSense.

    En otras palabras, no tendrían que usar el DHCP de pfSense y configurar en ellos una IP fija más DNS externo.

    Y en LAN poner una regla que deje ir a destinos UDP 53 para esos equipos. Y sólo para esos, de lo contrario algún usuario avispado te configurará manualmente el equipo también…



  • gracias bellera por su respuesta, podria usted guiarme a configurar esa regla?
    atento a su respuesta



  • Algo así:

    > IPv4 TCP LAN net        * *  80 * * Cualquier destino http
    > IPv4 TCP LAN net        * * 443 * * Cualquier destino https
    > IPv4 UDP resolver_fuera * *  53 * * Cualquier DNS externo
    

    siendo resolver_fuera un alias de IPs con las máquinas que pueden ir a resolver fuera.



  • voy a probar y le comento como me fue, pero luego de hacer la consulta anterior probé en un pc con windows y me basto con cambiar los dns en esa maquina para poder tener salida a https pero no http. la idea es que si una maquina no tiene una regla para salir no lo pueda hacer. alomejor estoy haciendo algo mal. voy a probar las reglas que me sugieres y le comento.
    muchas gracias por su ayuda

    edit: adjunto imagen de la config del firewall
    https://drive.google.com/file/d/0B2PWuHtuXRntcUZwemgxbFJPWkU/edit?usp=sharing



  • Tienes que desactivar las reglas Default

    Están permitiendo todo. Van bien para una instalación inicial, pero si quieres limitar lo que hacen los usuarios deben desactivarse.

    Además, están por delante del resto. Las reglas se ejecutan según orden. Las que están detrás no sirven de nada si por delante hay una que permite todo.



  • Hola.

    Lo que hice yo recientemente fue declarar un alias con las ips de los usuarios que quería el cliente que no estuvieran filtrados y lo que hice fue hacer un desvío de las peticiones del puerto 53 de dbs hacia los servidores de DNs de Google.

    Lo míos se puede hacer haciendo uso de opendns. Filtras a todos mandándolos a opendns y a los privilegiados los mandas a los dbs de Google.

    Funciona bastante bien.



  • gracias por sus respuestas.
    seguí al pie de la letra sus instrucciones y funciono. me base en una configuración que encontré en el foro, que hizo otra persona

    https://drive.google.com/file/d/0B2PWuHtuXRntenROeElYU29sNUE/edit?usp=sharing

    el problema que tengo ahora es que aun puedo cambiar los dns en una maquina y tener salida por https  :-.



  • Un cosa es la resolución de nombres (DNS) y otra la navegación. No debería afectar.

    Las reglas parecen correctas excepto en detalles.

    Por ejemplo, http y https son siempre TCP. Nunca UDP. Y dns siempre suele ser UDP. Pero bueno, eso ya es hilar fino.

    Lo que está menos claro es que autorizas como destino 3128 para proxy.

    ¿Acaso tus máquinas están usando un proxy externo? ¿Está pfSense haciendo de proxy?



  • pfsense esta haciendo de proxy



  • Solo deniega el trafico para todos el trafico DNS que no vaya al pfsense y antes permite el tráfico DNS a los privilegiados a los DNS que quieras usar.

    Saludos



  • no entiendo  :-, podría hacer pasar maquinas de mi red a otro dns establecido (ejemplo google o opendns) y no por pfsense, por medio de una regla ???



  • Lo que puedes hacer es qe a tus usuarios restringidos les des solo acceso al DNS local ( al del pfsense ) y a los privilegiados les permitas acceder a otro DNS como opendns o google DNS.

    • permites el acceso a los privilegiados a 8.8.8.8 ( o cualquier otro )
    • permites el acceso al DNS local a los restringidos
    • Cierras todo el trafico de DNS al internet.

    espero te sirva



  • Solo deniega el trafico para todos el trafico DNS que no vaya al pfsense

    Y esto cómo lo hago?



  • Saludos mi estimado la forma mas segura es bloquear absolutamente todo y empezar como dice el maestro bellera  a autorizar lo necesario por ejemplo podrias crear aliases de los clientes que pueden usar el dns y no habilitar el dns para toda la subred, lo ves??? esta seria la forma mas certera y segura de establacer los filtros necesarios para controlar la seguridad. Estamos a tu orden


Log in to reply