ACL Squid (pfSense)

epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
800
Hola a todos, tengo una consulta para pfSensev2.7 y como bloquear paginas con Squid, tengo instalado los paquetes:

Squid Proxy Server
SquidGuard Proxy Filter

necesito crear 3 grupos:
Grupo1: Sin bloqueo de navegación
Grupo2: Todas las Web bloqueadas, menos las indicadas

Según lo que busque estaba pensando en crear unos archivos dentro del server "/var/squid/acl" llamados por ejemplo "dominios_permitidos_grupo2" y otro archivo con las direcciones ip de los computadores "ips" y en la sección de "Services -> Squid Proxy Server -> General -> Show Advanced Options -> Custom Options (Before Auth)"

agregar: directamente o en squid.conf del pfsense

acl dominios_permitidos url_regex -i "/var/squid/acl/dominios_permitidos_grupo2"
acl ips src "/var/squid/acl/ips"
http_access allow dominios_permitidos ips
http_access deny all
Haz clic para expandir...

Como podria agregar ahi a un grupo de usuarios para que no tengan el bloqueo de nada?
 
Sort by date Sort by votes
unreal4u

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.468
Están en la misma red ambos? Yo uso pfblockerng para bloquear ads pero tengo toda la configuración separado en distintas redes: los equipos de los devs por ejemplo tienen adblocker mientras que marketing tienen 'chipe libre' digamos. Tb estas dos redes no se mezclan, no es posible que alguien de marketing se pueda meter a una máquina de un dev y vice versa.

Dentro de custom options en unbound tengo:
Código: 
server:
    access-control-view: 172.16.10.0/24 bypasspfblocker
    access-control-view: 172.16.25.0/24 applypfblocker
    access-control-view: 172.16.50.0/24 bypasspfblocker

view:
    name: "bypasspfblocker"
    view-first: yes
view:
    name: "applypfblocker"
    view-first: yes

server:include: /var/unbound/pfb_dnsbl.*conf

Saludos.
 
Upvote 0
Miguelwill

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.279
Es fácil xD
Na, hay que habilitar las acl en squid, y en squidguard activar los grupos para el filtrado (voy en la micro, en YouTube hay varios tutos)
 
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
800
unreal4u dijo:
Están en la misma red ambos? Yo uso pfblockerng para bloquear ads pero tengo toda la configuración separado en distintas redes: los equipos de los devs por ejemplo tienen adblocker mientras que marketing tienen 'chipe libre' digamos. Tb estas dos redes no se mezclan, no es posible que alguien de marketing se pueda meter a una máquina de un dev y vice versa.

Dentro de custom options en unbound tengo:
Código: 
server:
    access-control-view: 172.16.10.0/24 bypasspfblocker
    access-control-view: 172.16.25.0/24 applypfblocker
    access-control-view: 172.16.50.0/24 bypasspfblocker

view:
    name: "bypasspfblocker"
    view-first: yes
view:
    name: "applypfblocker"
    view-first: yes

server:include: /var/unbound/pfb_dnsbl.*conf

Saludos.
Haz clic para expandir...
si, estan todos en la misma red, no hay segmentación.
 
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
800
Miguelwill dijo:
Es fácil xD
Na, hay que habilitar las acl en squid, y en squidguard activar los grupos para el filtrado (voy en la micro, en YouTube hay varios tutos)
Haz clic para expandir...

en realidad ya solo quiero tener 2 grupos, uno llamado "gerencia" que pueda navegar por donde se le plazca y otro grupo llamado "usuarios" que tengan bloqueadas TODAS las paginas menos "ejemplo.com", "pagina.com", "web.cl", "test.mx" y "prueba.cl".

tengo instalado el Squid proxy y el SquidGuard... como podría logra esto?, he tratado pero no me resulta... no se si hacerlos todo desde la GUI de pfsense o creando archivos por de bajo.
 
Upvote 0
Miguelwill

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.279
primero :
en squidguard debes crear una Categoria, en esa categoria le pones los sitios que tendran autorizados explicitamente
luego, en grupos (esto igual en squidGuard) debes crear los 2 grupos:

1.- grupo de gerencia: aca pones la lista de IPs de los equipos liberados, y en la lista de categorias, le pones todo allow
2.- grupo de usuarios : aca pones el rango de red (CIDR, por ej, 192.168.10.0/24 ), y en la lista de sitios, deny all, y en la categoria que creaste antes, le pones Whytelist

segundo:
en la pestaña Common ACL: activa el log al final y dejala como esta (deberia decir target rules: !all ), y el redirect mode en "in error page"
en cada caso, darle guardar

al final en "General Setting" , presionar el boton "apply"

en esta pestaña tambien puedes habilitar el gui log y log rotation, y arriba en el ticket de "Enable" si lo habilitas, este agregara las opciones avanzadas en Squid proxy server para que use a SquidGuard como filtro

(cualquier cambio en squidGuard: guardar y despues aplicar)


sobre Squid proxy server:
como ajuste basico debes agregar en la pestaña ACL los rangos locales , ya que asi este les permitira conectar y pedir sitios (el filtrado lo hara squidguard)
en esa misma pestaña al final hay una seccion de puertos, si usas el proxy explicitamente en algunos equipos, querras agregar puertos http o ssl para autorizarlos en el proxy.

finalmente el log de trafico y filtrado lo pudes ver en la pestaña "Real time"

en ese video hace un repaso rapido de la activacion, incluso mete una blacklist publica (esa misma dejo de estar disponible, pero hay algunas alternativas)

 
Última modificación:
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
800
Miguelwill dijo:
primero :
en squidguard debes crear una Categoria, en esa categoria le pones los sitios que tendran autorizados explicitamente
Haz clic para expandir...

Entre a "SquidGuard Proxy Filter" y ahi a la pestaña de "Target Categories" configure estas 2 opciones solamente:
Name: web_autorizados
Domain List:
chilexpress.cl mega.cl tvn.cl

target.png


Miguelwill dijo:
luego, en grupos (esto igual en squidGuard) debes crear los 2 grupos:

1.- grupo de gerencia: aca pones la lista de IPs de los equipos liberados, y en la lista de categorias, le pones todo allow
2.- grupo de usuarios : aca pones el rango de red (CIDR, por ej, 192.168.10.0/24 ), y en la lista de sitios, deny all, y en la categoria que creaste antes, le pones Whytelist
Haz clic para expandir...

También en SquidGuard me metí a la pestaña "Group ACL" complete solamente estos 2 campos y cree 2 grupos (Gerencia y Usuarios):
Name: Gerencia
Client(rource): 192.168.1.10 192.168.1.11

Name: Usuarios
Client(rource): 192.168.1.100 192.168.1.101

grupos_acl.png


Miguelwill dijo:
segundo:
en la pestaña Common ACL: activa el log al final y dejala como esta (deberia decir target rules: !all ), y el redirect mode en "in error page"
en cada caso, darle guardar
Haz clic para expandir...

Ok.
Target Rules: all
Redirect mode: int error page (enter error message)
Logs: activados

Miguelwill dijo:
al final en "General Setting" , presionar el boton "apply"

en esta pestaña tambien puedes habilitar el gui log y log rotation, y arriba en el ticket de "Enable" si lo habilitas, este agregara las opciones avanzadas en Squid proxy server para que use a SquidGuard como filtro

(cualquier cambio en squidGuard: guardar y despues aplicar)
Haz clic para expandir...

Ok,
se activan los Log se guarda y se aprieta "Apply" para que tome todos los cambios anteriores.

Miguelwill dijo:
sobre Squid proxy server:
como ajuste basico debes agregar en la pestaña ACL los rangos locales , ya que asi este les permitira conectar y pedir sitios (el filtrado lo hara squidguard)
en esa misma pestaña al final hay una seccion de puertos, si usas el proxy explicitamente en algunos equipos, querras agregar puertos http o ssl para autorizarlos en el proxy.
Haz clic para expandir...

Agregue solamente la subred y guarde:
Allowed Subnet: 192.168.1.0/24

acl_proxy.png


Miguelwill dijo:
finalmente el log de trafico y filtrado lo pudes ver en la pestaña "Real time"
Haz clic para expandir...
Ok,

Miguelwill dijo:
en ese video hace un repaso rapido de la activacion, incluso mete una blacklist publica (esa misma dejo de estar disponible, pero hay algunas alternativas)

Haz clic para expandir...
El video es mas basico, no genera grupos.



-----

Lo que no entendí es donde puse los grupos "gerencia" y "usuarios" para que el Proxy sepa quien puede navegar y quien no??? o eso lo debo configurar en la pestaña "Advanced Options" de squid y poner las acl ??
 
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
800
le di un par de vueltas mas y creo que lo logre... gracias por tu datos @Miguelwill !! xD

PERO, tengo una duda... porque sera que el squid me bloquea por ejemplo google o gmail, siendo que estoy con una ip del grupo "gerencia" ??
 
Última modificación:
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
800
ya esta.. cuando se trabaja con squid proxy hay que dejar que el DHCP le asigne IP los equipos, si uno le pone ip statica al PC de forma manual google, gmail y algunos sitios comienza a fallar.
 
Última modificación:
Upvote 0
Miguelwill

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.279
(sorry la demora en responder, esta semana estuve algo ocupado xD )
sobre la ip, si se va a dejar en whitelist o grupo con sitios liberados, es mejor dejar las ip fijas a la mac en el dhcp (o fijas en el pc)

sobre los grupos, veo que estan bien, el grupo privilegiado debe quedar arriba para que el match lo realice antes de llegar al filtro del resto del rango de red.
ajustaste las categorias aceptadas en cada grupo de usuarios ?
lo que aparece en la lista que sale en la imagen , mas abajo de las ip o rango (target rules):

Screenshot+from+2012-06-19+17:02:04.png
 
Upvote 0
You must log in or register to reply here.
Subir