SOLUCIONADO-Cliente android se saltaSquid3/SquidGuard/forcesafesearch.google.com



  • Hola.

    He implementado en pfSense 2.2.6 amd64, squi3+squidGuard

    Y para bloquear imágenes y videos con contenido adulto en busquedas de google, he implementado lo descrito en el procedimiento de google:

    https://support.google.com/websearch/answer/186669

    Turn on SafeSearch VIP
    To force SafeSearch for your network, you’ll need to update your DNS configuration. Set the DNS entry for www.google.com (and any other Google ccTLD country subdomains your users may use) to be a CNAME for forcesafesearch.google.com

    Lo he hecho con Host y Domains Overrides en el servicio DNS resolver, redirigiendo google.com y .es a su Virtual IP de forcesafesearch.google.com

    Para los PCs de la LAN windows (xp,7,8,8.1) bloquea perfectamente las categorias deny o blacklist de squidGuard y las busquedas de imágenes en google, etc

    Pero para los clientes vía wifi de la LAN con Android conectados a un pc de la lan que hace de Acces Point (el tráfico de los android va encapsulado en la IP de ese PC), no hay manera… se saltan los bloqueos

    ¿Alguien sabe algo al respecto?

    Salu2



  • Prueba quitando www. en la lista de dominios.

    Debería ser google.com y no www.google.com

    A ver si es eso.



  • Hola.

    Gracias por la idea.

    Lo que ocurre es que en lo PCs clientes de la LAN con esa conf, les basta para tener el safesearch de google ok.
    Y los Android, a parte de que su tráfico va encapsulado en una sola IP de un PC de la LAN

    androids… ))) wifi ((( nic wifi PC -- PC-- Nic Ethernet compartida --- switch --- pfSense --- wan

    , y creo que están usando tuneles/VPNs y usan DNS remoto, pero probaré también con el Domain overrides google.com y .es

    Salu2



  • Hola.

    Lo que hice:

    Quité de Domain overrides a Google, manteniendo los Host Overrides de Google y añadiendo todos los dominios de google a forcesafesearch.google.com (lo tengo publicado en: https://www.javcasta.com/configuracion-avanzada-forcesafesearchgoogle-con-pfsense/ , como se hace)

    Nota: los domain overrides sirven para indicar al pfSense que servidor o servidores autorizados hay para un dominio local o no y hacerle o redirigir las consultas de y a ese dominio, p.e si existe un DC en la LAN con dominio midominio.local, se crearia un Domain overrides para el apuntando al DNS server del DC.

    Obligué a pasar todo el tráfico web (htt y https) vía proxy (se hace con el wpad.dat o proxy.pac y denegando en las reglas de la lan del pfsense el tráfico no autorizado), las consultas DNS desde la lan, solo permito que se hagan al pfSense.

    Solo permito tráfico fuera del proxy a puertos con servicios seguros (sftp o ssh tcp22, secure smtp tcp587, etc)

    Y deniego todo lo demás (permirto también icmp , pero solo los echo request y echo replies para la lan)

    Y muy importante, creo un Host overrides para mi dominio wpda.midominio.local a puntando a la ip lan del pfSense
    Y creo un wpda.dat que haga que todo vaya vía proxy excepto para acceder al pfSense o a una ip local o de la lan (esto es por si tienes un servidor web en la lan o en una vpn)…

    Y configuro squidGuard que deniegue anonvpn, en pfBlockerNG que deniegue anon_proxy (en pestaña Country > Proxy & Satellite), lo configuro al pfBlocker para que bloquee Tor, y poco más ...

    Ya veremos que se les ocurre a los usuarios de Android de la lan para evadirse otra vez :)

    Salu2



  • interesante.

    saludos. ;)



  • Muchísimas gracias por el aporte, ha sido de gran ayuda.

    Salu2



  • Hola.

    Me alegro :)

    Salu2