SquidGuard не фильтрует выбранные категории
-
День добрый. Задача была зарезать нерадивым пользователям определенного VLAN'а доступ к соц сетям. Перепробовал много способов, но эти
сволочинехорошие люди нашли лазейку в виде анонимайзеров.
Наткнулся в сети на статью о squidGuard. Установил сам модуль squid, затем squidGuard, настройку сделал по этой http://iskatel.hut4.ru/index.php/ru/pfsense/85-stati/packages/pfsense-packages-squidguard?limitstart=0 статье, но Дзен меня не посетил=( pfSense по прежнему разрешает доступ к вк, ок, фейсбуку.
Могу выложить скрины своих настроек. Буду ОЧЕНЬ благодарен за помощь в настройке и поиске косяков(
(скрины через Snagit делал, посему получилось чуть с артефактом. Чтобы тему не растягивать, выкладываю ссылками)
www.ap-page.ru/file/1.png
www.ap-page.ru/file/2.png
www.ap-page.ru/file/3.png
www.ap-page.ru/file/4.png -
1. В прозрачном режиме Squid работа с группами может быть недоступна.
2. Запретите использование IP адресов в адресной строке (пользователи могут ходить по IP)
3. В большинстве случаев понять, что происходит, можно из логов Squid.Картинки удобнее прикреплять к посту в Attachments and other options.
-
Так они у меня через проксики повадились в соц. сетях сидеть.
А логи смотрел, но там вроде нет ничего, что могло бы помочь.
Буду крайне благодарен, за помощь в разрешении данной проблемы( -
Так они у меня через проксики повадились в соц. сетях сидеть.
А логи смотрел, но там вроде нет ничего, что могло бы помочь.
Буду крайне благодарен, за помощь в разрешении данной проблемы(Покажите логи где именно они пролазят в соцсети/анонимайзеры.
-
Покажите логи где именно они пролазят в соцсети/анонимайзеры.
Blocked вкладка почему то пустует, хотя везде проставлено ведение логов. Filter GUI log
не выдает ничего значимого…он даже не видит этого:18.05.2015 13:54:59 [squid_reconfigure] Add new redirector options to Squid config.
18.05.2015 13:54:59 [squid_reconfigure] Remove old redirector options from Squid config.
18.05.2015 13:54:59 [sg_reconfigure] Save squidGuard config to '/usr/local/etc/squidGuard/squidGuard.conf'.
18.05.2015 13:54:59 [sg_redirector_base_url] Select redirector base url (http://192.168.2.245:80/sgerror.php?url=403%20404%20error&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
18.05.2015 13:54:59 [sg_create_config] Add Default
18.05.2015 13:54:59 [sg_create_config] Add ACL's: gbulan;
18.05.2015 13:54:59 [sg_redirector_base_url] Select redirector base url (http://192.168.2.245:80/sgerror.php?url=403%20%26%231042%3B%20%26%231076%3B%26%231072%3B%26%231085%3B%26%231085%3B%26%231086%3B%26%231077%3B%20%26%231074%3B%26%231088%3B%26%231077%3B%26%231084%3B%26%231103%3B%20%26%231089%3B%26%231090%3B%26%231088%3B%26%231072%3B%26%231085%3B%26%231080%3B%26%231094%3B%26%231072%3B%20%26%231085%3B%26%231077%3B%20%26%231076%3B%26%231086%3B%26%231089%3B%26%231090%3B%26%231091%3B%26%231087%3B%26%231085%3B%26%231072%3B&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
18.05.2015 13:54:59 [sg_create_config] Add rewrites: safesearch;
18.05.2015 13:54:59 [sg_create_config] Add destinations: MySite;
18.05.2015 13:54:59 [sg_create_config] Added: blk_BL_adv; blk_BL_aggressive; blk_BL_alcohol; blk_BL_anonvpn; blk_BL_automobile_bikes; blk_BL_automobile_boats; blk_BL_automobile_cars; blk_BL_automobile_planes; blk_BL_chat; blk_BL_costtraps; blk_BL_dating; blk_BL_downloads; blk_BL_drugs; blk_BL_dynamic; blk_BL_education_schools; blk_BL_finance_banking; blk_BL_finance_insurance; blk_BL_finance_moneylending; blk_BL_finance_other; blk_BL_finance_realestate; blk_BL_finance_trading; blk_BL_fortunetelling; blk_BL_forum; blk_BL_gamble; blk_BL_government; blk_BL_hacking; blk_BL_hobby_cooking; blk_BL_hobby_games-misc; blk_BL_hobby_games-online; blk_BL_hobby_gardening; blk_BL_hobby_pets; blk_BL_homestyle; blk_BL_hospitals; blk_BL_imagehosting; blk_BL_isp; blk_BL_jobsearch; blk_BL_library; blk_BL_military; blk_BL_models; blk_BL_movies; blk_BL_music; blk_BL_news; blk_BL_podcasts; blk_BL_politics; blk_BL_porn; blk_BL_radiotv; blk_BL_recreation_humor; blk_BL_recreation_martialarts; blk_BL_recreation_restaurants; blk_BL_recreation_sports; blk_BL_recreation_travel; blk_BL_recreation_wellness; blk_BL_redirector; blk_BL_religion; blk_BL_remotecontrol; blk_BL_ringtones; blk_BL_science_astronomy; blk_BL_science_chemistry; blk_BL_searchengines; blk_BL_sex_education; blk_BL_sex_lingerie; blk_BL_shopping; blk_BL_socialnet; blk_BL_spyware; blk_BL_tracker; blk_BL_updatesites; blk_BL_urlshortener; blk_BL_violence; blk_BL_warez; blk_BL_weapons; blk_BL_webmail; blk_BL_webphone; blk_BL_webradio; blk_BL_webtv; .
18.05.2015 13:54:59 [sg_create_config] Add blacklist entries
18.05.2015 13:54:59 [sg_create_config] Add sources: gbulan
18.05.2015 13:54:59 [sg_create_config] Add times: WorkTime
18.05.2015 13:54:59 [squidguard_rebuild_db] Start rebuild DB.Filter log так же ничего не дает интересного:
18.05.2015 13:54:59 squidGuard ready for requests (1431942899.630)
18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.596)
18.05.2015 13:54:59 squidGuard ready for requests (1431942899.629)
18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.596)
18.05.2015 13:54:59 squidGuard ready for requests (1431942899.628)
18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.593)
18.05.2015 13:54:59 squidGuard ready for requests (1431942899.627)
18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.592)
18.05.2015 13:54:59 squidGuard ready for requests (1431942899.626)
18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.590)скинуть еще Proxy config и Filter config ?
-
Лучше прокси (Squid) лог покажите, если он у Вас включен/
Включать в настройках Squid
Посмотреть можно в SquidGuard на вкладке логов (именно логи прокси). -
Чудо свершилось, заработало все. Но появился еще вопрос. Чтобы добавить список сайтов к блокируемым (хочу первые 3-4 страницы сайтов из поисковой выдачи забанить по запросу "анонимайзеры вк"), я так полагаю надо их ручками дописать в локальную версию архива http://www.shallalist.de/Downloads/shallalist.tar.gz ?
-
Чудо свершилось, заработало все. Но появился еще вопрос. Чтобы добавить список сайтов к блокируемым (хочу первые 3-4 страницы сайтов из поисковой выдачи забанить по запросу "анонимайзеры вк"), я так полагаю надо их ручками дописать в локальную версию архива http://www.shallalist.de/Downloads/shallalist.tar.gz ?
См. Target.
-
Спасибо, получилось…Но я так понимаю Сквид фильтрует http траффик, а у меня пользователи на вк сидят по https, пробовал в таргете завести полностью урл (вместе с хттпс) вылезла ошибка(
Пока юзеры свободно сидят в вк. -
для vk создай на Firewall: Rules LAN два правила первое кому можно
Pass IPv4 * 01vk * 87.240.128.0/18 * * none Rule: on vk.com 87.240.128.0
( 01vk это алиас с перечислением кому можно
и второе остальным нельзяBlock IPv4 * * * 87.240.128.0/18 * * none Rule: Blocked vk.com 87.240.128.0
-
для vk создай на Firewall: Rules LAN два правила первое кому можно
Pass IPv4 * 01vk * 87.240.128.0/18 * * none Rule: on vk.com 87.240.128.0
( 01vk это алиас с перечислением кому можно
и второе остальным нельзяBlock IPv4 * * * 87.240.128.0/18 * * none Rule: Blocked vk.com 87.240.128.0
анонимайзеры обходят эти правила
надо как то именно https зарезать -
Block IPv4 * * * * 443 * none
-
https://forum.pfsense.org/index.php?topic=86007.msg475867#msg475867
https://forum.pfsense.org/index.php?topic=91793.0 -
для версии 2.2.2 поставил squid 353 dansguard
на сайте ssl start сгенерировал сертификат
установил его в pfsense
в интерфейсе squd сделал транспарент указал порты на которых работать например 8080 и 8081
в дансе указал работать на порту 3128 указал искать squid на 127.0.0.1 8080
во вкладке rules выбрал lan открыл порт 3128 и все. нормально фильтруется и блокируется.
Порт прописать ручками или GPO или просто сделать редирект портов 80 и 443 на 3128.
только вот для банка оставил IE и указал что этому ип можно ходить на эти ип банка. а пользователю поставил лису и сказал это для интернета это для банка(ов). -
Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)
-
что мешает поставить нормальный контент-фильтр с обновлением раз в неделю?
все прекрасно блокируется и не нужно головной боли ни по ip/http/https
сегодня есть этот диапазон ип а через месяц? или 2? -
Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)
Не глупите с IP.
Рабочее решение :
https://forum.pfsense.org/index.php?topic=86007.msg475867#msg475867
https://forum.pfsense.org/index.php?topic=91793.0 -
Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)
Не глупите с IP.
Рабочее решение :
https://forum.pfsense.org/index.php?topic=86007.msg475867#msg475867
https://forum.pfsense.org/index.php?topic=91793.0пока мучился с установкой и настройкой squid+squidguard+lightsquid, но как выяснилось эта связка https не фильтрует, вот теперь и думаю перейти на squid3+squidguard-squid3? проверить что с этого выйдет.
До этого, по подседказ зарезал вк, ок, лицокнига и инстаграмм, траффик с http режет squid, https - режется через rules -
Кто может сталкивался с таким…
В sqidGuard настроил время, чтобы сидели с 8 до 12 и с 13 до 17, прикрутил это к groups acl и вот такая загвоздка.... Пока я утром не приду и в главной вкладке не щелкну Apply, юзеры спокойно бороздят соц. сети. -
В sqidGuard настроил время, чтобы сидели с 8 до 12 и с 13 до 17, прикрутил это к groups acl и вот такая загвоздка.
Вы после изменения\создания этих настроек всегда возвращаетесь в корневой пункт меню настроек squidguard и нажимаете Apply ?
Это необходимо делать всегда после правки настроек squidguard. -
и в главной вкладке не щелкну Apply, юзеры спокойно бороздят соц. сети.
а сам squidGuard в Status: Services активен-запущен? или в состоянии стоп?
