Squidguard non filtra i contenuti selezionati della blacklist



  • Buongiorno a tutti, sono alle prese con un problema che riguarda il web filtering con il package Squidguard e il proxy Squid, come ho indicato nel titolo del topic non riesco a filtrare i contenuti che seleziono dalla blacklist impostando "deny" su di essi.
    Preciso fin da ora che sono alle prime armi con questo software e chiedo cortesemente a chi legge questo topic di avere molta pazienza se non utilizzo un linguaggio prettamente tecnico :)

    Spiego rapidamente come ho installato e configurato il mio pfSense (chissà che il problema non sia li alla fine  :-\ )

    Ho installato pfSense 2.1.5 su VirtualBox, nelle impostazioni di rete della macchina virtuale, ho impostato le 2 schede di rete per l'interfaccia LAN e quella WAN, la prima di tipo "scheda con bridge" -> en0:ethernet, la seconda "scheda con bridge" -> en1: wi-fi (AirPort); (in molti tutorial ho visto che questa seconda scheda viene impostata come "rete interna", qualora io decida di selezionare questa opzione, non sarò in grado successivamente di accedere alla web GUI digitando l'IP dell'interfaccia LAN, sinceramente non ho capito il perché)

    Dopo di che ho installato pfSense impostando l'indirizzo IP dell'interfaccia WAN e l'indirizzo IP dell'interfaccia LAN (senza DHCP), su questo indirizzo, a differenza di moltissimi altri utenti che testavano pfSense nei tutorial, non ho potuto lasciare l'indirizzo noto 192.168.1.1, poiché se digitavo questo nel browser mi appariva il "cafonissimo" Alice gate voip 2 (anche su questo punto non ho capito il perché), ad ogni modo ne ho impostato uno con subnet da 24 disattivando poi il DCHP, e fin qui sembra nessun problema.

    Avvio con successo la GUI di pfSense digitando l'indirizzo dell'interfaccia LAN nel browser, e arrivo alle seguenti configurazioni:

    Interfaccia LAN: tipo static IPv4, indirizzo IPv4 (quello dell'interfaccia con cui mi sono loggato nella GUI), nessun IPv4 Upstream Gateway impostato e le opzioni "Block private networks" e "Block bogon networks" non spuntate

    Interfaccia WAN: tipo static IPv4, indirizzo IPv4 (quello che ho assegnato in fase di installazione), IPv4 Upstream Gateway: 192.168.1.1 (default gataway della mia LAN) l'opzione "Block private networks" è disattivata mentre "Block bogon networks"è spuntata.

    Su Status->Gataways, il gataway che ho impostato nella sezione WAN risulta online
    Nella sezione System-> Static routes ho associato la network 192.168.1.0/32 al gataway sopracitato, l'interfaccia (terza colonna) risulta WAN (avevo provato ad associargli la network 192.168.1.0/24, ma due messaggi di errore mi dicevano: This network conflicts with address configured on interface WAN + lo stesso ma on interface LAN).

    Infine nella sezione Diagnostic: Routing tables (tabella IPv4) è presente la network 192.168.1.0/32, associata al gataway selezionato, Flag:ugs, refs e use a zero, netif: em0 ed expire "=>".

    Ho scaricato i packages Squid (versione 2.7.9 pkg v.4.3.4) e Squidguard (versione 1.4_4 pkg v.1.9.6), ho impostato il Proxy server nella seguente maniera:

    Tab General:

    Proxy interface: LAN
    Allow users on interface: Si
    Trasparent proxy: Si
    Enable logging: Si
    Log store directory: (impostazione di default)
    Log rotate: 30
    (nella sezione "Bypass proxy for these source IPs" e "Bypass proxy for these destination IPs" avevo tentato anche l'inserimento della network 192.168.1.0/24, ma il risultato di non filtraggio alla fine resta sempre quello :( )

    Tab Access Control:

    Allowed subnets: 192.168.1.0/24
    Dopo aver ciccato su save ad ogni impostazione il servizio risulta avviato.

    Le impostazioni del Proxy Filter invece sono:

    Enable: Si
    Enable log: Si
    Enable log rotation: Si
    Clean Advertising: Si
    Blacklist: Si
    Blacklist URL: http://www.shallalist.de/Downloads/shallalist.tar.gz

    Ho scaricato la blacklist nell'apposita sezione, poi nel tab Common ACL, ho selezionato i contenuti da filtrare (esempio porn -> deny) mentre "Default access [all]" è impostato su "allow".
    Le opzioni "Do not allow IP-Address in URL" e "Log" sono spuntate.

    Clicco di nuovo su save e apply, digito su google la parola "porn" scegliendo il primo sito che mi capita e non risulta filtrato… vale per questa categoria così come per qualsiasi categoria che filtro... tutte le procedure elencate le ho seguite da decine e decine di video tutorial su youtube con la sola differenza che a loro funziona e a me no :(, ho anche provato a togliere i privilegi all'utente "admin", quali ad esempio "view all pages" (non ricordo il nome di preciso) ma nulla da fare.......

    Consigli? sono disperata :(((((



  • Nonostante abbia riletto 2 volte il tuo post faccio davvero fatica a capire ciò che hai scritto…

    Stai parlando di una rete privata, scrivi gli IP che hai utilizzato magari è un po' più chiaro...

    Ora mi è sembrato di capire che tu hai installato pfsense su una macchina virtuale su un NoteBook e vuoi usare l'interfaccia Wi-Fi come Wan di pfsense e l'interfaccia LAN come rete LAN di pfsense.

    Quindi, sulle impostazioni delle schede di rete del tuo Windows devi disabilitare il protocollo TCP/IP V 4 e 6 per la scheda Wi-Fi (infatti sarà solo pfsense a utilizzare l'interfaccia Wi-Fi) e impostare il gateway dell'interfaccia LAN con l'IP del lato LAN di pfsense.

    Faccio un esempio:

    Virtualbox 2 schede con bridge come hai descritto

    Pfsense, lato wan: va bene il dhcp, sarà il router Telecom a passargli le informazioni, se non funziona puoi settare un IP della tua rete, ad esempio 192.168.1.30/24 gw 192.168.1.1

    Pfsense lato LAN: conviene settare una classe di indirizzi diversa per maggiore chiarezza, ad esempio 192.168.0.1/24 che sarà il tuo nuovo router per il NoteBook

    Scheda wifi lato Windows: disabilitare protocolli TCP/IP

    Scheda LAN lato Windows: impostare un indirizzò qualunque della nuova classe , ad esempio 192.168.0.2/24 gw 192.168.0.1

    In questo modo il tuo NoteBook per navigare dovrà passare per pfsense.

    Hai fatto così ???



  • Ciao Eligio grazie mille per aver risposto :)
    Scusa se sono stata poco chiara cercherò di spiegarmi in termini più consoni, confesso di essere una principiante  :-\

    Allora, utilizzo il pfSense installato su VirtualBox in cui la scheda ethernet (em0) è per l’interfaccia WAN, la scheda wi-fi (em1) è per l’interfaccia LAN,
    L’interfaccia LAN ha come indirizzo: 192.168.1.7/24 mentre la WAN ha come indirizzo: 192.168.1.6/24
    Le informazioni che ho sulla mia rete domestica sono:

    Indirizzo IP modem: 192.168.1.1 Machera di sottorete: 255.255.255.0
    Stato NAPT: attivo
    Indirizzo IP iniziale: 192.168.1.2 Indirizzo IP finale: 192.168.1.254

    Per quanto riguarda il notebook su cui giro il pfSense:
    L' indirizzo IP del mio notebook nella LAN quando sono connessa ad ethernet è: 192.168.1.5 (che poi è anche quello al quale accedo come admin alla GUI di pfSense), maschera: 255.255.255.0  e gataway: 192.168.1.1
    L'indirizzo IP del mio notebook nella LAN quando sono connessa tramite wi-fi invece è: 192.168.1.2 (ad ogni modo ho sia il wi-fi e sia l’ethernet attivi, e sono connessa alla LAN domestica con entrambe le schede), maschera 255.255.255.0 e gataway 192.168.1.1

    Il sistema operativo del notebook non è windows ma OS X (ad ogni modo se è il caso di disabilitare i TCP/IP sul wi-fi posso farlo ugualmente)

    Per quanto riguarda il resto della spiegazione che mi hai dato, no non ho fatto le procedure che mi hai descritto  :-\



  • Ok, ci sono, ho seguito le tue indicazioni (al rovescio però, perché il wi-fi era per l'interfaccia LAN ed ethernet per la WAN) e funziona tutto PERFETTAMENTE!!!! grazie mille Eligio, mi hai risolto un problema grosso come una casa, immaginavo fosse un problema legato alla configurazione "fuori pfsense", grazie ancora!!  :-*



  • Perfetto !!!

    Non importa se sei una principiante o no, l'importante è che ti è chiaro ciò che fai…

    Il tuo errore sostanziale è che una tua ricerca su internet non sapevi se passava dalla LAN tramite osx, se passava dal Wi-Fi tramite osx o se passava su pfsense.

    Tu, invece, devi creare un percorso univoco dove sei tu a decidere dove dovranno passare i pacchetti.

    Hai fatto la configurazione inversa rispetto alle mie indicazioni, ciò non conta, tu puoi fare quello che preferisci, l'importante è che ci sia un percorso univoco e che segue una logica precisa!

    Brava e se ha bisogno di altro chiedi pure...

    Ciao Eligio.