SquidGuard не фильтрует выбранные категории



  • День добрый. Задача была зарезать нерадивым пользователям определенного VLAN'а доступ к соц сетям. Перепробовал много способов, но эти сволочи нехорошие люди нашли лазейку в виде анонимайзеров.
    Наткнулся в сети на статью о squidGuard. Установил сам модуль squid, затем squidGuard, настройку сделал по этой http://iskatel.hut4.ru/index.php/ru/pfsense/85-stati/packages/pfsense-packages-squidguard?limitstart=0 статье, но Дзен меня не посетил=( pfSense по прежнему разрешает доступ к вк, ок, фейсбуку.
    Могу выложить скрины своих настроек. Буду ОЧЕНЬ благодарен за помощь в настройке и поиске косяков(
    (скрины через Snagit делал, посему получилось чуть с артефактом. Чтобы тему не растягивать, выкладываю ссылками)
    www.ap-page.ru/file/1.png
    www.ap-page.ru/file/2.png
    www.ap-page.ru/file/3.png
    www.ap-page.ru/file/4.png



  • 1. В прозрачном режиме Squid работа с группами может быть недоступна.
    2. Запретите использование IP адресов в адресной строке (пользователи могут ходить по IP)
    3. В большинстве случаев понять, что происходит, можно из логов Squid.

    Картинки удобнее прикреплять к посту в Attachments and other options.



  • Так они у меня через проксики повадились в соц. сетях сидеть.
    А логи смотрел, но там вроде нет ничего, что могло бы помочь.
    Буду крайне благодарен, за помощь в разрешении данной проблемы(



  • @Rabbit:

    Так они у меня через проксики повадились в соц. сетях сидеть.
    А логи смотрел, но там вроде нет ничего, что могло бы помочь.
    Буду крайне благодарен, за помощь в разрешении данной проблемы(

    Покажите логи где именно они пролазят в соцсети/анонимайзеры.



  • @dvserg:

    Покажите логи где именно они пролазят в соцсети/анонимайзеры.

    Blocked вкладка почему то пустует, хотя везде проставлено ведение логов. Filter GUI log
    не выдает ничего значимого…он даже не видит этого:

    18.05.2015 13:54:59 [squid_reconfigure] Add new redirector options to Squid config.
    18.05.2015 13:54:59 [squid_reconfigure] Remove old redirector options from Squid config.
    18.05.2015 13:54:59 [sg_reconfigure] Save squidGuard config to '/usr/local/etc/squidGuard/squidGuard.conf'.
    18.05.2015 13:54:59 [sg_redirector_base_url] Select redirector base url (http://192.168.2.245:80/sgerror.php?url=403 404 error&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
    18.05.2015 13:54:59 [sg_create_config] Add Default
    18.05.2015 13:54:59 [sg_create_config] Add ACL's: gbulan;
    18.05.2015 13:54:59 [sg_redirector_base_url] Select redirector base url (http://192.168.2.245:80/sgerror.php?url=403 %26%231042%3B %26%231076%3B%26%231072%3B%26%231085%3B%26%231085%3B%26%231086%3B%26%231077%3B %26%231074%3B%26%231088%3B%26%231077%3B%26%231084%3B%26%231103%3B %26%231089%3B%26%231090%3B%26%231088%3B%26%231072%3B%26%231085%3B%26%231080%3B%26%231094%3B%26%231072%3B %26%231085%3B%26%231077%3B %26%231076%3B%26%231086%3B%26%231089%3B%26%231090%3B%26%231091%3B%26%231087%3B%26%231085%3B%26%231072%3B&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
    18.05.2015 13:54:59 [sg_create_config] Add rewrites: safesearch;
    18.05.2015 13:54:59 [sg_create_config] Add destinations: MySite;
    18.05.2015 13:54:59 [sg_create_config] Added: blk_BL_adv; blk_BL_aggressive; blk_BL_alcohol; blk_BL_anonvpn; blk_BL_automobile_bikes; blk_BL_automobile_boats; blk_BL_automobile_cars; blk_BL_automobile_planes; blk_BL_chat; blk_BL_costtraps; blk_BL_dating; blk_BL_downloads; blk_BL_drugs; blk_BL_dynamic; blk_BL_education_schools; blk_BL_finance_banking; blk_BL_finance_insurance; blk_BL_finance_moneylending; blk_BL_finance_other; blk_BL_finance_realestate; blk_BL_finance_trading; blk_BL_fortunetelling; blk_BL_forum; blk_BL_gamble; blk_BL_government; blk_BL_hacking; blk_BL_hobby_cooking; blk_BL_hobby_games-misc; blk_BL_hobby_games-online; blk_BL_hobby_gardening; blk_BL_hobby_pets; blk_BL_homestyle; blk_BL_hospitals; blk_BL_imagehosting; blk_BL_isp; blk_BL_jobsearch; blk_BL_library; blk_BL_military; blk_BL_models; blk_BL_movies; blk_BL_music; blk_BL_news; blk_BL_podcasts; blk_BL_politics; blk_BL_porn; blk_BL_radiotv; blk_BL_recreation_humor; blk_BL_recreation_martialarts; blk_BL_recreation_restaurants; blk_BL_recreation_sports; blk_BL_recreation_travel; blk_BL_recreation_wellness; blk_BL_redirector; blk_BL_religion; blk_BL_remotecontrol; blk_BL_ringtones; blk_BL_science_astronomy; blk_BL_science_chemistry; blk_BL_searchengines; blk_BL_sex_education; blk_BL_sex_lingerie; blk_BL_shopping; blk_BL_socialnet; blk_BL_spyware; blk_BL_tracker; blk_BL_updatesites; blk_BL_urlshortener; blk_BL_violence; blk_BL_warez; blk_BL_weapons; blk_BL_webmail; blk_BL_webphone; blk_BL_webradio; blk_BL_webtv; .
    18.05.2015 13:54:59 [sg_create_config] Add blacklist entries
    18.05.2015 13:54:59 [sg_create_config] Add sources: gbulan
    18.05.2015 13:54:59 [sg_create_config] Add times: WorkTime
    18.05.2015 13:54:59 [squidguard_rebuild_db] Start rebuild DB.

    Filter log так же ничего не дает интересного:

    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.630)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.596)
    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.629)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.596)
    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.628)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.593)
    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.627)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.592)
    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.626)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.590)

    скинуть еще Proxy config и Filter config ?



  • Лучше прокси (Squid) лог покажите, если он у Вас включен/
    Включать в настройках Squid
    Посмотреть можно в SquidGuard на вкладке логов (именно логи прокси).



  • Чудо свершилось, заработало все. Но появился еще вопрос. Чтобы добавить список сайтов к блокируемым (хочу первые 3-4 страницы сайтов из поисковой выдачи забанить по запросу "анонимайзеры вк"), я так полагаю надо их ручками дописать в локальную версию архива http://www.shallalist.de/Downloads/shallalist.tar.gz ?



  • @Rabbit:

    Чудо свершилось, заработало все. Но появился еще вопрос. Чтобы добавить список сайтов к блокируемым (хочу первые 3-4 страницы сайтов из поисковой выдачи забанить по запросу "анонимайзеры вк"), я так полагаю надо их ручками дописать в локальную версию архива http://www.shallalist.de/Downloads/shallalist.tar.gz ?

    См. Target.



  • Спасибо, получилось…Но я так понимаю Сквид фильтрует http траффик, а у меня пользователи на вк сидят по https, пробовал в таргете завести полностью урл (вместе с хттпс) вылезла ошибка(
    Пока юзеры свободно сидят в вк.



  • для vk создай на Firewall: Rules  LAN два правила первое кому можно

    Pass  IPv4 *  01vk *  87.240.128.0/18  *  *  none      Rule: on vk.com 87.240.128.0

    ( 01vk это алиас с перечислением кому можно
    и второе остальным нельзя

    Block  IPv4 *  *  *  87.240.128.0/18  *  *  none      Rule: Blocked vk.com 87.240.128.0



  • @NegoroX:

    для vk создай на Firewall: Rules  LAN два правила первое кому можно

    Pass  IPv4 *  01vk *  87.240.128.0/18  *  *  none      Rule: on vk.com 87.240.128.0

    ( 01vk это алиас с перечислением кому можно
    и второе остальным нельзя

    Block  IPv4 *  *  *  87.240.128.0/18  *  *  none      Rule: Blocked vk.com 87.240.128.0

    анонимайзеры обходят эти правила
    надо как то именно https зарезать



  • Block  IPv4 *  *  *  *  443  *  none





  • для версии 2.2.2 поставил squid 353 dansguard
    на сайте ssl start сгенерировал сертификат
    установил его в pfsense
    в интерфейсе squd сделал транспарент указал порты на которых работать например 8080 и 8081
    в дансе указал работать на порту 3128 указал искать squid на 127.0.0.1 8080
    во вкладке rules выбрал lan открыл порт 3128 и все. нормально фильтруется и блокируется.
    Порт прописать ручками или GPO или просто сделать редирект портов 80 и 443 на 3128.
    только вот для банка оставил IE и указал что этому ип можно ходить на эти ип банка. а пользователю поставил лису и сказал это для интернета это для банка(ов).



  • Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)



  • что мешает поставить нормальный контент-фильтр с обновлением раз в неделю?
    все прекрасно блокируется и не нужно головной боли ни по ip/http/https
    сегодня есть этот диапазон ип а через месяц? или 2?



  • @Rabbit:

    Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)

    Не глупите с IP.

    Рабочее решение :

    https://forum.pfsense.org/index.php?topic=86007.msg475867#msg475867
    https://forum.pfsense.org/index.php?topic=91793.0



  • @werter:

    @Rabbit:

    Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)

    Не глупите с IP.

    Рабочее решение :

    https://forum.pfsense.org/index.php?topic=86007.msg475867#msg475867
    https://forum.pfsense.org/index.php?topic=91793.0

    пока мучился с установкой и настройкой squid+squidguard+lightsquid, но как выяснилось эта связка https не фильтрует, вот теперь и думаю перейти на squid3+squidguard-squid3? проверить что с этого выйдет.
    До этого, по подседказ зарезал вк, ок, лицокнига и инстаграмм, траффик с http режет squid, https - режется через rules



  • Кто может сталкивался с таким…
    В sqidGuard настроил время, чтобы сидели с 8 до 12 и с 13 до 17, прикрутил это к groups acl и вот такая загвоздка.... Пока я утром не приду и в главной вкладке не щелкну Apply, юзеры спокойно бороздят соц. сети.



  • В sqidGuard настроил время, чтобы сидели с 8 до 12 и с 13 до 17, прикрутил это к groups acl и вот такая загвоздка.

    Вы после изменения\создания этих настроек всегда возвращаетесь в корневой пункт меню настроек squidguard и нажимаете Apply ?
    Это необходимо делать всегда после правки настроек squidguard.



  • и в главной вкладке не щелкну Apply, юзеры спокойно бороздят соц. сети.
    а сам squidGuard в Status: Services  активен-запущен?  или в состоянии стоп?


Log in to reply