Squid3:Aplicar distintos bloqueos de sitios web para cada VLAN es posible,?



  • Hola comunidad, un saludo.  :'(
    Tengo lo siguiente en mi red, poseo un router pfsense y un switch, en este switch hay 4 vlan y en en pfsense estan las 4 vlans funcionando, navego por internet y todo, se me pidio bloquear paginas web a traves de squid 3, lo cual lo logré, para mi red tengo 3 interfaces en el router una WAN, una LAN y una OPT 1, en la interfaz OPT 1 es donde tengo aplicado las vlans, la LAN es un red aparte.
    LAN:192.168.5.0 OPT1:192.168.7.0 vlan2:192.168.6.0 vlan3:192.168.8.0 vlan4:192.168.9.0. en mi red aplico el squid sobre la vlan 2 y la vlan 3, el proxy solo actua en estas vlan eso funciona bien, ademas ocupo squid 3 y squid guard 3.
    Aqui viene mi duda y si me puede guiar, entregar ayuda, ideas de como hacerlo lo agradecería para orientarme mas.
    Se quiere que ciertos usuarios (los jefes) puedan navegar por todos los sitios de internet, a otros usuarios se les quiere bloquear youtube y facebook y a otros usuarios bloquear por ejemplo wikipedia. mi idea es separar por vlan a cada grupo de usuarios, por ejemplo una vlan para jefes y las otras vlan para los otros usuarios, el gran problema es como yo personalizo las reglas de squid, para que se aplique el bloqueo de ciertos sitios para una vlan, que la otra vlan se le apliquen otras reglas para bloquear ciertos sitios y para la otra vlan se le deje acceso libre. por ejemplo a una vlan le dejaria libre acceso de trafico, pero a las otras vlans como las separo en cuanto a reglas personalizadas de bloqueos de sitios, ¿es esto siquiera posible? , alguien lo ha hecho, tienen otras alternativas, de antemano muchas gracias.



  • Mira, squid no conocera tus vlans, el las va a ver como subredes, al parecer veo que ya hay comunicacion entre todas?
    Squid solo necesita poder hablar con cada una de ellas y con eso es suficiente para poder administrar las conexiones.

    Ahora, los controles de acceso o ACL es una de sus herramientas mas apreciadas.

    Desgraciadamente el GUI no tienen los campos necesarios para poder crear ACL's personalizadas, ahi que entrar a la config squid.inc y ahi crear todas.

    O sea abrir la consola, editar el archivo base de squid en pfsense y asi cada que reinicies el GUI arrastrara toda esa config.

    Es como se hace en linux/bsd, pero aqui no solo editando el squid.inc funcionara, ya que cuando arranca el sistema usa este archivo para
    genererar el squid.conf.

    Te recomiendo un respaldo de los archivos de squid del sistema base:

    squid.xml
    squid.inc

    Antes de arrancar su edicion.

    Hay un truco que yo solia hacer, generaba mi squid.conf y agregaba un batch de arranque, cuando el sistema arrancaba, yo agregaba un ese batch para que fuera el ultimo en arrancar y lo que hacia era remplazar el archivo squid.conf con mi version, y si modificaba algo, era mi version no la de pfsense.

    Eso si no podia tocar el GUI por que me lo hechaba a perder, entonces tienes mucha tarea por hacer.

    Saludos.


Log in to reply