Sarg y Acces Denied en Squidguard



  • Hola, tengo un pfSense recién instalado (2.1.5 64bits) con los módulos Squid3-dev, Squidguard-Squid3 y Sarg.

    Todo funciona correctamente salvo que en los reportes de Sarg no me aparecen los accesos denegados por Squidguard. Tengo activada la opción "Log denied pages by squidguard" en Proxy Server. En este sitio viene el código corregido que hay que pegar en el fichero sgerror.php, pero no encuentro la línea que se indica en el punto 3.

    ¿Alguien me echa una mano?

    Gracias.



  • A ver…

    Entiendo que lo que te proponen:

    http://www.gopulls.com/blog/category/uncategorized/

    es meter un iframe en la página de respuesta.

    https://github.com/pfsense/pfsense-packages/blob/master/config/squidGuard/sgerror.php

    Creo que tiene que ir después de la línea 216

    $str[] = '';
    

    Es una ventana dentro del resto del código html generado, http://www.w3schools.com/tags/tag_iframe.asp

    Si no te gusta como queda puedes cambiarla de sitio.



  • Gracias bellera,

    Edité el sgerror.php como indicas y sí que se muestra el iframe en la página pero aún así en los reportes del Sarg no aparecen los bloqueos de Squidguard en la categoría "Denied accesses" (lo que bloquea Squid sí que sale). Puedo verlos buscando la IP de la máquina -aunque no como bloqueado- pero lo que necesito es ver todos los bloqueos de las categorías que tengo configuradas en Squidguard, sean de la IP que sean.

    Si esto no se puede hacer con Sarg, ¿hay alguna otra aplicación de reportes que sirva para el propósito y que no sea Lightsquid?

    Salu2



  • mm si mal no recuerdo sarg tiene problemas con los reportes de squidguard.
      Si ya funcionan me avisas, saludos!!!



  • @Maekar:

    lo que necesito es ver todos los bloqueos de las categorías que tengo configuradas en Squidguard, sean de la IP que sean.

    Te adjunto sarg.conf sacado de http://sourceforge.net/projects/sarg/ para que puedas ver todo lo que hace.

    El configurador web lo que hace es generar un sarg.conf

    Si sarg tiene problemas en pfSense quizás sea por no generar correctamente sarg.conf

    sarg.conf incorrecto cuelga a veces la aplicación y no se generan los informes.

    sarg.conf.txt



  • Pero sí se generan correctamente los reportes, el problema es que las páginas bloqueadas por Squidguard no figuran en la categoría de accesos denegados de dichos reportes, solo salen los bloqueos de Squid. En cambio, si busco el historial de una IP sí aparece como que se ha metido en esas páginas. En Squid hay una opción para integrar los bloqueos de Squidguard, lo que no sé es si esto que describo es el comportamiento normal o si los bloqueos de Squidguard se deberían loguear igual que los hace Squid y así figurar en Sarg como accesos denegados en lugar de como tráfico normal. No sé si se entiende lo que quiero decir.

    Salu2



  • Esto lo tenía funcionando en un proxy externo. Miraré si lo tengo documentado…

    Recuerdo que, efectivamente, había que cuadrar los logs de squidGuard y sarg.conf. Pero diría que sólo era indicar en sarg.conf el formato y ubicación del log de squidGuard.



  • Buenas, sigo sin conseguirlo.

    En la sección Proxy Server de la GUI la opción de loguear squidGuard dice lo siguiente: This option only will work if you include this code on your sgerror.php file to force client browser send a second request to squid with denied string on url.

    Entiendo que cuando squidGuard bloquea una página, se hace una segunda petición a squid para que figure también en el log de squid. Eso parece estar funcionando porque en Sarg tengo configurado que lea el log de squid y cuando se generan reportes me figuran también las páginas que han sido denegadas por squidGuard.

    El problema es que dichos accesos en los reportes de Sarg no son etiquetados como "denegados", de modo que cuando estoy viendo un reporte, en la sección "denied accesses" solo aparecen los bloqueos de squid y no los de squidGuard (que como he dicho sí los puedo ver como tráfico normal si entro en el desglose de una IP).

    Puede parecer una tontería pero normalmente el usuario que es bloqueado al entrar en una página pornográfica (por poner un ejemplo) suele intentarlo con otras hasta que da con una que no está categorizada, por lo que hacer un seguimiento de los usuarios que reciben bloqueos me ayuda a depurar las listas y a sancionar a dichos usuarios reincidentes. Y con una red de más de 500 usuarios no puedo ir mirando individualmente cada IP para buscar estas cosas.

    Lo único que puedo hacer de momento es observar dichos bloqueos en el propio log de squidGuard, pero me gustaría poder trabajar directamente con los reportes de Sarg, así que si alguien lo consigue o tiene alguna pista de cómo hacerlo se lo agradecería.

    Salu2