Como bloquear el uso de proxys



  • Buenos días quería saber si hay alguna forma de bloquear el uso de proxys ya que en mi red hay algunas personas que se saltan los bloqueos usando foxproxy o complementos parecidos en firefox o webproxys



  • Pasando a través de tu proxy, y obligando sólo a la ip puerto para la salida a la Red.



  • ya instale squid 3 y la puse en transparente… ahora como obligo a q la red salga solo por ahi? una regla? como seria?



  • Que reglas tienes en la red?
    Intenta dar algo más de información



  • Tengo 2 wans y 1 lan… En las reglas de la lan lo único que tengo 1 regla que dice que todas las pc salgan por la wan 1 y otra regla que dice que determinadas maquinas salgan por la wan 2.... eso me funcionaba hasta que instale el squid... ahora todas las pc me salen por la wan que sea default... Puede ser?



  • Intenta poner capturas de pantalla de las reglas. De todas formas te adelanto que squid en modo transparente sólo sirve para http y no para https, tendrías que ponerlo en modo no transparente.



  • Aca mando unas capturas… y q forma tengo para tambien bloquear https (que no sea por los grupos de ip, asi tengo bloqueado facebook pero si bloqueo asi youtube me bloquea google tmb)







    ![Reglas lan.jpg](/public/imported_attachments/1/Reglas lan.jpg)
    ![Reglas lan.jpg_thumb](/public/imported_attachments/1/Reglas lan.jpg_thumb)



  • Saludos mi estimado. Alli por lo que veo no tienes echo un nat para redirigir el trafico de tu lan de servicios hacia el proxy transparente mas bien le estas dando acceso a todo con esa ultima regla y sobre bloquear https se puede hacer con squid ya dicho varias veces solo que no es sencillo de realizar.
    Estamos a tu orden



  • Hola , entiendo y he probado que seleccionando la casilla de "proxy transparente" no se requiere ninguna regla de nat para redirigir el trafico de la LAN hacia el cache, ya que el mismo pfsense inserta una regla de manera automatica al darle aplicar a las opciones del proxy cache.

    en mi caso creo que es :

    rdr on msk0 proto tcp from any to !(msk0) port 80 -> 127.0.0.1 port 3128

    Yo no se mucho sobre el tema , asi que ojala pudieran explicar.

    Lo que no esta correcto en las reglas es la regla de pass de any to any , ya que esto le da acceso directo a las PCs , aunque tambien creo que las reglas de cache se aplican primero, asi que el trafico web debe de pasar por el cache, pero las otras aplicaciones se van derechito a la nube.

    No esta por demás colocar una regla de deny para la salida.  y como buena practica solo dar salida a los usuarios a los puertos y aplicaciones requeridas ( outbound filtering )



  • No estás obligando a que el tráfico pase por squid, además que el tráfico https no lo hace squid en modo transparente, ya se ha dicho muchas veces en el foro y documentación.



  • Si esa regla del squid montado en pfsense se coloca automaticamente porque no aparece en el printe de pantalla que ha hecho el compañero??? Seria interesante saber que tiene configurado realmente ya que el nat de redireccion del trafico implementa una regla en lan al ser aplicada y se puede observar sin tener que ir modo consola a chequear que el nat este realizado correctamente



  • Osea que lo que me conviene para el proxy es hacer un server aparte con squid y no voy a tener problema con las 2 wans q tengo y sus reglas….

    Estube viendo un sistemita llamado webmin que me permite instalar squid y administrarlo mediante una web (no soy bueno con la terminal) es bueno el webmin?
    En caso de poner un servidor proxy  la estructura me quedaria

    internet ---> modem ----> Pfsense ----> squid ----> Red
    o
    internet ---> modem ----> squid ----> Pfsense ----> Red
    ?
    tambien quiero poner un servidor de dominios en el mismo servidor q ponga squid... habria inconvenientes?



  • Hola amnarl ,la regla no aparece por que esta se inserta directamente sobre las reglas del firewall por el codigo de la aplicacion, como pasa con muchas otras cosas en la GUI.

    No puedo verla en dos de los sistemas qe tengo. podrias colocar aqui una pantalla en donde aparece ? al parecer algo estoy haciendo mal.

    Entiendo que el trafico https, no pasa por el cache en modo transparente. ya lo hemos vivido creo que casi todos.

    saludos



  • @nicolasxp5:

    Buenos días quería saber si hay alguna forma de bloquear el uso de proxys ya que en mi red hay algunas personas que se saltan los bloqueos usando foxproxy o complementos parecidos en firefox o webproxys

    La única manera efectiva que conozco es squid + squidGuard y en lista negra propia de squidGuard incluir palabras como proxy, anonim

    También hay patrones que emplean estos proxys para enmascarar los destinos pedidos:

    Google detecting and preventing anonymous proxy usage lleva a documentos del Sans Institute donde hay patrones que se pueden bloquear mediante squidGuard.



  • Si amigo la mejor maneras es squid fuera de pfsense hasta virtualizado sirve tiene mejor rendimiento y separas los servicios como se encuentran en entornos profesionales. Mejorando el performance de la red



  • Disculpen ya tengo un servidor proxy en otro pc dentro de mi red como configuro el pfsense para que use el proxy?????



  • hice un esquema de la red como la estoy configurando, me gustaría que ustedes que están un poco mas en el tema me dan su opinión, disculpen tantas preguntas pero es que me interesa mucho poder llegar a mejorar la red y que quede lo mas optima posible

    ![esquema red.jpg](/public/imported_attachments/1/esquema red.jpg)
    ![esquema red.jpg_thumb](/public/imported_attachments/1/esquema red.jpg_thumb)