Ayuda para forzar uso del proxy



  • Hola!
    Les escribo para ver si por favor me pueden ayudar en el problema que tengo.
    Les cuento, tengo instalado en una maquina pfsense 2.1.5-RELEASE y lo que necesito es denegar el acceso a internet a quien no use el proxy.
    El proxy que uso es squid3-dev y squidGuard-squid3 . Esto es en modo NO trasparente.
    Ya tengo configurado en squidguard reglas para bloquear sitios etc y esto funciona a la perfeccion.

    He estado leyendo y al parecer tengo que redireccionar el trafico que entra por el puerto 80 hacia el puerto 3128 pero no se como se hace esto. Lo intente pero me quedo sin navegación.

    Por favor si alguien me puede ayudar.

    Saludos



  • "Postea" la imagen de tu Firewall/Rules/LAN  tu problema está allí, seguros tienes una regla para que cualquier cosa de la lan hacia la lan tenga acceso… y eso es un problema... si eliminas esa regla, debes permitir de LanNet hacia Lan_Address  puertos 3128 TCP y 53 UDP  por lo menos.

    en una regla podrías colocar un alias de puerto y seleccionar TCP/UDP en la regla, de lo contrario creas dos reglas  una TCP con puerto 3128 y otra UDP con puerto 53

    TCP 3128 = Proxy Squid
    UDP    53 = DNS  sino vas a tener que navegar todo por IP :D

    Saludos.



  • Hola!
    muchas gracias por tu respuesta!!
    Esta es una imagen de mi configuracion.
    http://s9.postimg.org/crqjq7bu7/captura_firewall.png

    IPv4 * * * * * * none Default allow LAN to any rule
    Estas las cree yo para intentar
        (Permiten)
    IPv4 TCP/UDP 192.168.1.1 3128 * 80 (HTTP) * none
    IPv4 TCP/UDP 192.168.1.1 3128 * 443 (HTTPS) * none
    (Deniegan)
            IPv4 TCP/UDP 192.168.1.1 *         * 80 (HTTP) * none  
            IPv4 TCP/UDP 192.168.1.1 * * 443 (HTTPS) * none

    muchas gracias ojalas puedas ayudarme



  • La primera regla elimina todas las demás, ya que todas las peticiones entrarán por esa… la primera debes eliminarla, y las otras están mal, no necesitas "redireccionar" puerto, solo las que te indiqué.

    Si tienes DMZ deberás crar reglas entre esas interfaces....

    Saludos.



  • Hola!
    muchas gracias.
    Parece que ya esta funionando. Cuando estoy sin proxy me dice "no hay conexion a internet"etc . Pero cuando navego con proxy me aparece el mensaje en Google Chrome "No se puede establecer conexion con el servidor Proxy" y aun asi sigo sin navegacion.
    Te dejo una captura del firewall
    http://s10.postimg.org/8qpb4vpbt/captura_firewall_2.png

    Muchas gracias por tus respuestas



  • Prueba con firefox y configura el proxy en sus herramientas, crhome cambió su modo de manejo del proxy, al menos en linux que es lo que uso, y para poder usar proxy con chrome en linux debes hacer algo como:

    crhome-stable –proxy-server="http=IP:Puerto"

    Saludos



  • muchas gracias.

    Pero lo probé y no funciona.
    Cuando desactivo la primera regla me quedo sin navegacion y cuando estoy con proxy no hay ping ni conexion a internet ni tampoco puedo entrar a la configuración de pfsense. Cuando estoy sin proxy es cuando puedo entrar a configuracion de pfsense pero tampoco tengo internet.



  • Tienes una muy mala configuración en tus reglas… deberías poder entrar a pfsense anyway, es una regla por defecto que viene en pfsense y dice:

    Anti-Lockout Rule ;-)

    Proto    Source      Port    Destination   Port                       Gateway    Queue    Schedule    Description

    1      *              *                *     LAN Address   Puerto_pfSense                                *                  *          Anti-Lockout Rule

    2  ICMP          *              *                    *                            *                                                *                  *          Permitir PING
        Echo Request

    3  UDP          *              *                    *                  53                                                          *                    *          Pdermites consultas DNS

    4  TCP  LanNetwork  *          LanAddress        3128                                                    *                    *        Squid

    Regla 1  es para que te permita ingresar a tu pfSense en caso de que toques una regla y te equivoques y termines perdiendo la administración, el puerto que dice pfSense es el puerto que tengas configurado para acceder al GUI, 80 o 443  o el que hayas especificado.

    Regla 2  te permitirá que desde cualquier lado puedas hacer ping a cualquier lado

    Regla 3  Si no tienes permisos para consultas DNS, no podras ver nunca una página por nombre ej. google.com  yahoo.com  facebook.com  etc

    Regla 4  Todas las máquinas de la Red pueden llegar al pfSense por el puerto 3128 (Proxy)  para ello debes configurar el proxy en el navegador, sino por más que quieras, nunca navegarás, no es solo pfSense, sino tus terminales.

    Llegado a este punto, antes de meterte a configurar equipos de redes, deberías entender primero sobre redes, protocolos, etc, porque de acuerdo a tus comentarios se ve que no tienes mucha idea de lo que haces, sin importar si es pgSense o IsaServer por dar un ejemplo.

    Normalmente te mandaría a leer muchos tutoriales, es la mejor manera de aprender, que estar siguiendo cookbooks, pero lo hago para que te animes a seguir, para próximas dudas deberías de empezar con:

    Tengo problemas con esto, ya hice esto esto y esto que me leí de estos tutoriales y manuales y no me funciona... entonces es allí cuando recibirás más ayuda.

    Saludos.



  • Hola muchas gracias.
    Ya se soluciono gracias a tu ayuda. Tenia mal configurada la regla del puerto 3128 como UDP pero era TCP.
    Muchas gracias.

    La verdad es que llevaba 3 dìas tratando esto y lo intenté todo en foros etc por eso acudí acá.
    Muchas gracias por tu ayuda espero que esto también le sirva a otros usuarios.

    Muchas gracias!



  • Se me pasó por alto revisar la imagen, y confirmo lo que digo, no tienes idea de lo que estás haciendo, y no es pfSense, sino tus conceptos de redes…

    Tus reglas dirían algo como:

    La máquina 192.168.1.1 cuando salga por el puerto 3128 con destino a a cualquier lado y solicitando el puerto 80, déjalo pasar.
    La máquina 192.168.1.1 cuando salga por el puerto 3128 con destino a a cualquier lado y solicitando el puerto 443, déjalo pasar.

    Pero inmediatamente después, las mismas reglas te dicen que las bloquees, pero obviamente tomará la primera....

    Lo que tienes que decirle al firewall es:

    Cualquier máquina (LanNetwork) cuando salga por cualquier puerto con destino a pfSense (LanAddress) solicitando el puerto 3128, déjalas pasar.

    Saludos.



  • Si, no tenía idea lo que hacía. Pero ahora ya entendí un poco.
    Muchas gracias



  • Saludos mi estimado eso es sencillo de hacer solo debe armar una reglas en su subred de servicio con destino al proxy por el puerto que usa de hecho creo que en otro post explique como se haria si estan usando limiters . Lo unico que veo que no esta tomando en cuenta es que deberia dejar primero las reglas del dns y acceso a server web si lo posee por encima de la regla hacia el proxy, esto para dar prioridad al trafico de acceso a estos dos lo cual acelera la respuesta en la navegacion. Ejemplo

    Si tenemos aliasses de clientes por planes : Plan 512, plan 1024, etc estas son las reglas

    Y la subred de servicios se llama lannet

    1.Source: lannet puertos any o pàra mayor seguridad especifico (dns) con destination serverweb  puerto (dns)

    2.Source: lannet  puertos any o pàra mayor seguridad especifico (web) con destination servidorweb puerto (web)

    3.Source: plan512-plan1024  puertos any  con destination plan512-plan1024 puerto (proxy) "Aca son dos reglas una por cada plan"
    Y es el sitio donde se aplica los limiters

    Estamos a la orden Luego de necesitarlo podria colocar algunas en casos que los clientes necesiten usar routers en su punto final etc



  • @tlzsystem:

    Si, no tenía idea lo que hacía. Pero ahora ya entendí un poco.
    Muchas gracias

    saludos, podrías subir las imágenes de como quedaron tus reglas??? o si solo cambiaste el protocolo de UDP A TCP que subiste anteriormente en las imagenes.



  • @amnarl:

    …. Lo unico que veo que no esta tomando en cuenta es que deberia dejar primero las reglas del dns y acceso a server web si lo posee por encima de la regla hacia el proxy, esto para dar prioridad al trafico de acceso a estos dos lo cual acelera la respuesta en la navegacion. Ejemplo

    1.Source: lannet puertos any o pàra mayor seguridad especifico (dns) con destination serverweb  puerto (dns)

    2.Source: lannet  puertos any o pàra mayor seguridad especifico (web) con destination servidorweb puerto (web)

    3.Source: plan512-plan1024  puertos any  con destination plan512-plan1024 puerto (proxy) "Aca son dos reglas una por cada plan"
    Y es el sitio donde se aplica los limiters

    Estamos a la orden Luego de necesitarlo podria colocar algunas en casos que los clientes necesiten usar routers en su punto final etc

    Hay errores (mitos) que voy a comentar sobre el post citado:

    Sobre la prioridad de las reglas:  La velocidad en que se maneja las reglas a nivel de hardware es imperceptible, son nano segundos por así decirlo, pero dependiendo del hardware y el canal puede ser un millón de veces más rápido aún  :D
    Tener la regla de consultas DNS más abajo de las del proxy no es problema, una consulta DNS jamás va a mirar la regla del proxy como para "perder tiempo", sin embargo yo las uso "arriba" o mejor dicho, en el principio de las reglas, por cuestión de costumbre sobre los servicios básicos.
    La segunda observación tendría algo de lógica, solo si tus navegadores están mal configurados (o si no has ajustado bien las reglas de un directorio activo al momento de configurar el navegador) ya que tus dominios locales y toda tu red interna, incluyendo la DMZ deben estar exceptuadas del uso de proxy, y navegar directamente a través de las rutas manejadas por los Switches.

    Sobre los puntos 1 y 2

    1.- Debes especificar solo el protocolo UDP, DNS hace solo consultas usando el protocolo UDP, se usa TCP cuando un DNS quiere hablar con otro para replicar sus zonas, pero eso es entre servidores DNS. Si dejas habalr TCP por el puerto 53, te puedes conseguir con un listillo se que brinque tu fw aprovechando esa brecha… (No es tema de este post, ni de esta lista; pero ya lo he hecho :D )

    2.- La sugerencia es que en el origen por "seguridad" se use el puerto web, hasta la fecha, desde que trabajo en redes, nunca he tenido la suerte de ver una apertura de conexión por el puerto 80, generalmente se usan puertos por encima de los 1024 para abrir una conexión, presumo que a amnarl le ha funcionado; pero yo no configuraría una restricción de puertos para apertura de conexión  ;) solo debes limitar la conexión al IP/Aliases destino y puerto destino, osea el socket que está escuchando el servicio al que quieres llegar, por ejemplo, 80 y 443 para web, este último en el caso de que el webserver use SSL . y acá también puedes acotar la regla diciéndole que el protocolo es TCP.

    Espero haber aclarado los puntos, desde mi más humilde conocimiento en redes.

    Saludos.

    Lema: Es mejor enseñar a pescar, que darles el pescado, porque cuando no estés morirán de hambre.
    Un Chef tiene el conocimiento para hacer un plato, un cocinero solo sigue sus recetas, emprende a ser Chef  ;)



  • Muy buenos sus aportes compañero rodria a veces uno coloca informacion creyendo que el lector tiene conocimiento y realmente es bueno definir explicitamente detalles como  lo que indicas del dns Usted y yo manejamos bien claro que la comunicacion dns en ese tipo de escenario para mayor seguridad es UDP  de hecho el maestro bellera en su apuntes algo antiguos pero funcionales asi lo describe…........

    Lo de la velocidad que usted indica por el orden de las reglas no fue en ningun momento ese el apunte de mi post sino mas bien el hecho de dejar bien claro que la regulacion o aplicacion de limiters es sobre la regla especifica de acceso al proxy. Ademas afianzado en dar orden en el asunto recordar que hay que tener cuidado en aplicar reglas ya que el orden es importante en algunos casos en los cuales las reglas son parecidas y establecen limitaciones o bloqueos varios o diferentes....

    En todo caso Agradecido de tomarse la molestia en postear la informacion descripta anteriormente y espero que el compañero al final pueda entender de todo esto la solucion a su problema



  • woaw…. siempre se aprende (y se reafirman conocimientos).  Gracias compañeros por estos puntos de vista.


Log in to reply