4. SquidGuard не фильтрует выбранные категории

SquidGuard не фильтрует выбранные категории

  • R

    День добрый. Задача была зарезать нерадивым пользователям определенного VLAN'а доступ к соц сетям. Перепробовал много способов, но эти сволочи нехорошие люди нашли лазейку в виде анонимайзеров.
    Наткнулся в сети на статью о squidGuard. Установил сам модуль squid, затем squidGuard, настройку сделал по этой http://iskatel.hut4.ru/index.php/ru/pfsense/85-stati/packages/pfsense-packages-squidguard?limitstart=0 статье, но Дзен меня не посетил=( pfSense по прежнему разрешает доступ к вк, ок, фейсбуку.
    Могу выложить скрины своих настроек. Буду ОЧЕНЬ благодарен за помощь в настройке и поиске косяков(
    (скрины через Snagit делал, посему получилось чуть с артефактом. Чтобы тему не растягивать, выкладываю ссылками)
    www.ap-page.ru/file/1.png
    www.ap-page.ru/file/2.png
    www.ap-page.ru/file/3.png
    www.ap-page.ru/file/4.png

    0
  • D

    1. В прозрачном режиме Squid работа с группами может быть недоступна.
    2. Запретите использование IP адресов в адресной строке (пользователи могут ходить по IP)
    3. В большинстве случаев понять, что происходит, можно из логов Squid.

    Картинки удобнее прикреплять к посту в Attachments and other options.

    0
  • R

    Так они у меня через проксики повадились в соц. сетях сидеть.
    А логи смотрел, но там вроде нет ничего, что могло бы помочь.
    Буду крайне благодарен, за помощь в разрешении данной проблемы(

    0
  • D

    @Rabbit:

    Так они у меня через проксики повадились в соц. сетях сидеть.
    А логи смотрел, но там вроде нет ничего, что могло бы помочь.
    Буду крайне благодарен, за помощь в разрешении данной проблемы(

    Покажите логи где именно они пролазят в соцсети/анонимайзеры.

    0
  • R

    @dvserg:

    Покажите логи где именно они пролазят в соцсети/анонимайзеры.

    Blocked вкладка почему то пустует, хотя везде проставлено ведение логов. Filter GUI log
    не выдает ничего значимого…он даже не видит этого:

    18.05.2015 13:54:59 [squid_reconfigure] Add new redirector options to Squid config.
    18.05.2015 13:54:59 [squid_reconfigure] Remove old redirector options from Squid config.
    18.05.2015 13:54:59 [sg_reconfigure] Save squidGuard config to '/usr/local/etc/squidGuard/squidGuard.conf'.
    18.05.2015 13:54:59 [sg_redirector_base_url] Select redirector base url (http://192.168.2.245:80/sgerror.php?url=403 404 error&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
    18.05.2015 13:54:59 [sg_create_config] Add Default
    18.05.2015 13:54:59 [sg_create_config] Add ACL's: gbulan;
    18.05.2015 13:54:59 [sg_redirector_base_url] Select redirector base url (http://192.168.2.245:80/sgerror.php?url=403 %26%231042%3B %26%231076%3B%26%231072%3B%26%231085%3B%26%231085%3B%26%231086%3B%26%231077%3B %26%231074%3B%26%231088%3B%26%231077%3B%26%231084%3B%26%231103%3B %26%231089%3B%26%231090%3B%26%231088%3B%26%231072%3B%26%231085%3B%26%231080%3B%26%231094%3B%26%231072%3B %26%231085%3B%26%231077%3B %26%231076%3B%26%231086%3B%26%231089%3B%26%231090%3B%26%231091%3B%26%231087%3B%26%231085%3B%26%231072%3B&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
    18.05.2015 13:54:59 [sg_create_config] Add rewrites: safesearch;
    18.05.2015 13:54:59 [sg_create_config] Add destinations: MySite;
    18.05.2015 13:54:59 [sg_create_config] Added: blk_BL_adv; blk_BL_aggressive; blk_BL_alcohol; blk_BL_anonvpn; blk_BL_automobile_bikes; blk_BL_automobile_boats; blk_BL_automobile_cars; blk_BL_automobile_planes; blk_BL_chat; blk_BL_costtraps; blk_BL_dating; blk_BL_downloads; blk_BL_drugs; blk_BL_dynamic; blk_BL_education_schools; blk_BL_finance_banking; blk_BL_finance_insurance; blk_BL_finance_moneylending; blk_BL_finance_other; blk_BL_finance_realestate; blk_BL_finance_trading; blk_BL_fortunetelling; blk_BL_forum; blk_BL_gamble; blk_BL_government; blk_BL_hacking; blk_BL_hobby_cooking; blk_BL_hobby_games-misc; blk_BL_hobby_games-online; blk_BL_hobby_gardening; blk_BL_hobby_pets; blk_BL_homestyle; blk_BL_hospitals; blk_BL_imagehosting; blk_BL_isp; blk_BL_jobsearch; blk_BL_library; blk_BL_military; blk_BL_models; blk_BL_movies; blk_BL_music; blk_BL_news; blk_BL_podcasts; blk_BL_politics; blk_BL_porn; blk_BL_radiotv; blk_BL_recreation_humor; blk_BL_recreation_martialarts; blk_BL_recreation_restaurants; blk_BL_recreation_sports; blk_BL_recreation_travel; blk_BL_recreation_wellness; blk_BL_redirector; blk_BL_religion; blk_BL_remotecontrol; blk_BL_ringtones; blk_BL_science_astronomy; blk_BL_science_chemistry; blk_BL_searchengines; blk_BL_sex_education; blk_BL_sex_lingerie; blk_BL_shopping; blk_BL_socialnet; blk_BL_spyware; blk_BL_tracker; blk_BL_updatesites; blk_BL_urlshortener; blk_BL_violence; blk_BL_warez; blk_BL_weapons; blk_BL_webmail; blk_BL_webphone; blk_BL_webradio; blk_BL_webtv; .
    18.05.2015 13:54:59 [sg_create_config] Add blacklist entries
    18.05.2015 13:54:59 [sg_create_config] Add sources: gbulan
    18.05.2015 13:54:59 [sg_create_config] Add times: WorkTime
    18.05.2015 13:54:59 [squidguard_rebuild_db] Start rebuild DB.

    Filter log так же ничего не дает интересного:

    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.630)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.596)
    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.629)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.596)
    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.628)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.593)
    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.627)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.592)
    18.05.2015 13:54:59 squidGuard ready for requests (1431942899.626)
    18.05.2015 13:54:59 Info: recalculating alarm in 21901 seconds
    18.05.2015 13:54:59 squidGuard 1.4 started (1431942899.590)

    скинуть еще Proxy config и Filter config ?

    0
  • D

    Лучше прокси (Squid) лог покажите, если он у Вас включен/
    Включать в настройках Squid
    Посмотреть можно в SquidGuard на вкладке логов (именно логи прокси).

    0
  • R

    Чудо свершилось, заработало все. Но появился еще вопрос. Чтобы добавить список сайтов к блокируемым (хочу первые 3-4 страницы сайтов из поисковой выдачи забанить по запросу "анонимайзеры вк"), я так полагаю надо их ручками дописать в локальную версию архива http://www.shallalist.de/Downloads/shallalist.tar.gz ?

    0
  • D

    @Rabbit:

    Чудо свершилось, заработало все. Но появился еще вопрос. Чтобы добавить список сайтов к блокируемым (хочу первые 3-4 страницы сайтов из поисковой выдачи забанить по запросу "анонимайзеры вк"), я так полагаю надо их ручками дописать в локальную версию архива http://www.shallalist.de/Downloads/shallalist.tar.gz ?

    См. Target.

    0
  • R

    Спасибо, получилось…Но я так понимаю Сквид фильтрует http траффик, а у меня пользователи на вк сидят по https, пробовал в таргете завести полностью урл (вместе с хттпс) вылезла ошибка(
    Пока юзеры свободно сидят в вк.

    0
  • N

    для vk создай на Firewall: Rules  LAN два правила первое кому можно

    Pass  IPv4 *  01vk *  87.240.128.0/18  *  *  none      Rule: on vk.com 87.240.128.0

    ( 01vk это алиас с перечислением кому можно
    и второе остальным нельзя

    Block  IPv4 *  *  *  87.240.128.0/18  *  *  none      Rule: Blocked vk.com 87.240.128.0

    0
  • R

    @NegoroX:

    для vk создай на Firewall: Rules  LAN два правила первое кому можно

    Pass  IPv4 *  01vk *  87.240.128.0/18  *  *  none      Rule: on vk.com 87.240.128.0

    ( 01vk это алиас с перечислением кому можно
    и второе остальным нельзя

    Block  IPv4 *  *  *  87.240.128.0/18  *  *  none      Rule: Blocked vk.com 87.240.128.0

    анонимайзеры обходят эти правила
    надо как то именно https зарезать

    0
  • D

    Block  IPv4 *  *  *  *  443  *  none

    0
  • W

    https://forum.pfsense.org/index.php?topic=86007.msg475867#msg475867
    https://forum.pfsense.org/index.php?topic=91793.0

    0
  • V

    для версии 2.2.2 поставил squid 353 dansguard
    на сайте ssl start сгенерировал сертификат
    установил его в pfsense
    в интерфейсе squd сделал транспарент указал порты на которых работать например 8080 и 8081
    в дансе указал работать на порту 3128 указал искать squid на 127.0.0.1 8080
    во вкладке rules выбрал lan открыл порт 3128 и все. нормально фильтруется и блокируется.
    Порт прописать ручками или GPO или просто сделать редирект портов 80 и 443 на 3128.
    только вот для банка оставил IE и указал что этому ип можно ходить на эти ип банка. а пользователю поставил лису и сказал это для интернета это для банка(ов).

    0
  • R

    Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)

    0
  • V

    что мешает поставить нормальный контент-фильтр с обновлением раз в неделю?
    все прекрасно блокируется и не нужно головной боли ни по ip/http/https
    сегодня есть этот диапазон ип а через месяц? или 2?

    0
  • W

    @Rabbit:

    Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)

    Не глупите с IP.

    Рабочее решение :

    https://forum.pfsense.org/index.php?topic=86007.msg475867#msg475867
    https://forum.pfsense.org/index.php?topic=91793.0

    0
  • R

    @werter:

    @Rabbit:

    Диапазон ВКшных айпишников подсказали, а есть ли у кого диапазоны других популярных соц. сетей: ок, фейсбук, твиттер и инстаграмм ( правило все же решило вопрос с HTTPS на вк, но теперь они по хттпс лезут в ОК, фейстук, инстаграмм)

    Не глупите с IP.

    Рабочее решение :

    https://forum.pfsense.org/index.php?topic=86007.msg475867#msg475867
    https://forum.pfsense.org/index.php?topic=91793.0

    пока мучился с установкой и настройкой squid+squidguard+lightsquid, но как выяснилось эта связка https не фильтрует, вот теперь и думаю перейти на squid3+squidguard-squid3? проверить что с этого выйдет.
    До этого, по подседказ зарезал вк, ок, лицокнига и инстаграмм, траффик с http режет squid, https - режется через rules

    0
  • R

    Кто может сталкивался с таким…
    В sqidGuard настроил время, чтобы сидели с 8 до 12 и с 13 до 17, прикрутил это к groups acl и вот такая загвоздка.... Пока я утром не приду и в главной вкладке не щелкну Apply, юзеры спокойно бороздят соц. сети.

    0
  • W

    В sqidGuard настроил время, чтобы сидели с 8 до 12 и с 13 до 17, прикрутил это к groups acl и вот такая загвоздка.

    Вы после изменения\создания этих настроек всегда возвращаетесь в корневой пункт меню настроек squidguard и нажимаете Apply ?
    Это необходимо делать всегда после правки настроек squidguard.

    0
  • N

    и в главной вкладке не щелкну Apply, юзеры спокойно бороздят соц. сети.
    а сам squidGuard в Status: Services  активен-запущен?  или в состоянии стоп?

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy