Netgate Store

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - Hermosillo

Pages: [1] 2
1
Español / Re: Impedir navegación web sin proxy
« on: March 10, 2018, 10:59:56 am »
Hola,

Hay que bloquear trafico por puerto 80 y 443 desde la LAN hacia afuera, pero asegurándote primero que el trafico en realidad si pase por el puerto del proxy (3128 por default) si no te quedarás sin navegar con o sin proxy.

Saludos!

2
Español / Re: Squid no hace caso a mis ACLs
« on: March 07, 2018, 12:48:17 pm »
Hola,

No sé como esté tu demás configuración del squid, pero sospecho que es por que no tienes interceptado el puerto 443(HTTPS) que muchos sitios usan, en especial bancos y así. Squid por default filtra solo en puerto 80, para filtrar por puerto 443 necesitas activar man-in-the-middle o configurar un wpad, ambos con bastante información que leer y entender ya que cada caso tiene sus peculiaridades. A mi me ayudó bastante esta página para configurar el wpad:

https://nguvu.org/pfsense/pfSense-WPAD-PAC-proxy-configuration/

3
Español / Re: Problema con Squid Proxy Server
« on: February 27, 2018, 09:45:49 am »
El proxy no trabaja por la LAN?


Saludos.

Sí a mi también se me hace raro que solo esté seleccionada la interfaz loopback, que según yo es la localhost o ip del mismo pfsense, creo debe estar seleccionada la interfaz LAN pero no te sabría decir la lógica del porqué, solo sé que se debe seleccionar LAN por que ahí están los equipos a los que está ligado el proxy squid.

4
Español / Re: Squid Guard Ayuda la common ACl se aplica sobre la group ACL
« on: February 26, 2018, 06:41:39 pm »
Hola, yo no he intentado por usuario pero viendo las instrucciones dice que debes poner 'nombreusuario' comillas sencillas incluidas. Lo haces así?. Sin embargo, directamente debajo del cuadro de texto clientes, dice que pongas "username" con comillas dobles. Así que hay que probar con los dos tipos de comilla a ver cual pega.

Como te digo, no he intentado por usuario pero por IP si me funciona los groups ACL. Introduzco la ip fija del equipo que quiero meter al grupo, le aplico políticas diferentes y si lo respeta.

Saludos!

5
Cache/Proxy / Re: Blocked page by Squid Proxy is not Squid's default page
« on: February 26, 2018, 12:41:38 pm »
The problem is when I check WebGUI redirect, Squid replaces default block page with 400 Bad Request.
If you enable webgui redirect, all requests for the pfsense ip will go through port 80 (HTTP), I guess nginx does not like it when HTTPS traffic goes through there.

Changing HTTPS TO HTTP is not insecure?
 
Yes, but I don't know how else to get pfsense to show the error page on HTTP sites with squidguard. If I select HTTPS, I get your first error image.

I need guidance too.

6
Cache/Proxy / Re: Blocked page by Squid Proxy is not Squid's default page
« on: February 23, 2018, 12:31:09 pm »
how to even get the behavior on the second pic? I thought HTTPS sites couldn't show the squid error page.

For the first problem:

try to modify the option protocol inside webConfigurator located in System/Advanced/Admin Access. Change it to HTTP (not advised but I don't know how else to bypass it)

7
Español / Re: Error en informes de LightSquid Proxy Transparent
« on: February 23, 2018, 12:08:31 pm »
Es interesante la cuestión planteada, a ver intenta esto:

https://forum.pfsense.org/index.php?topic=121387.0

es una versión de pfsense anterior por lo que no sé si habrá que modificar algo extra. Me dices si se pudo para realizarlo también (a mi no me urge tanto jaja)

8
Español / Re: problema al poner configuracion en proxy + ssl filter
« on: February 22, 2018, 09:17:16 am »
Hola que tal,

trata modificar la opción protocol dentro de la sección webConfigurator en System/Advanced/Admin Access. Ponle HTTP.

No he encontrado solución para dejarlo en HTTPS y que me muestre la página de acceso denegado custom para páginas HTTP.

Los errores custom para páginas HTTPS de plano no funciona por que así están diseñados los navegadores (cortan túnel seguro una vez que no reciben respuesta esperada). Te dará un error genérico dependiendo del navegador.

Saludos!

9
Español / Re: Squidguard Groups ACL - Usando Hostname
« on: February 21, 2018, 06:30:43 pm »
Si, creo que tendré que hacerle así con las ip estáticas ya que no he encontrado como hacer las listas por hostname y llevo bastante buscando. El AD apenas lo voy a implementar, espero que no truene nada jaja.

Gracias y saludos!

10
Español / Squidguard Groups ACL - Usando Hostname
« on: February 21, 2018, 06:03:33 pm »
Hola,

Tengo una duda: Se puede utilizar el hostname de un equipo para hacer grupos de listas de control de acceso en squidguard? esto por que en la LAN que tengo, las ip de los usuarios son dinámicas, solo los server e impresoras están fijas, pero no encuentro opción para que squidguard me reconozca el hostname de un equipo para que quede exento de los bloqueos implementados a la red. Están bloqueados ciertos sitios y al agregar la ip que en ese momento tiene el equipo en la sección "Proxy filter SquidGuard: Groups Access Control List (ACL)/Edit/Groups ACL/Clients(source)" todo funciona correctamente, el equipo que tiene la ip introducida en ese campo puede entrar a los sitios bloqueados para los demás que no están en ese grupo acl.

O en definitiva tendré que usar ip estáticas?

Saludos!

11
Interested in this.

How is the port forward configured in WAN? if WAN only has the port forward configured, it makes sense that it only works when WAN is configured as default gateway, right? I have two WAN's and have set up the same port forward in both. So try to replicate the rule on both interfaces? or maybe I'm not understanding the problem right.

12
Cache/Proxy / Re: Squid MITM SquidGuard Not Showing Default Error Page?
« on: February 16, 2018, 10:21:14 am »
Here is the answer I think, but I can't decipher it:

Delayed error responses

When Squid fails to negotiate a secure connection with the origin server and bump-ssl-server-first is enabled, Squid remembers the error page and serves it after establishing the secure connection with the client and receiving the first encrypted client request. The error is served securely. The same approach is used for Squid redirect messages configured via deny_info. This error delay is implemented because (a) browsers like FireFox and Chromium do not display CONNECT errors correctly and (b) intercepted SSL connections must wait for the first request to serve an error.
Furthermore, when Squid encounters an error, it uses a trusted certificate with minimal properties to encrypt the connection with the client. If we try to mimic the true broken certificate instead, the user will get a browser error dialog and then, if user allows, the Squid error page with essentially the same (and possibly more detailed/friendly) information about the problem. Using a trusted certificate avoids this "double error" effect in many cases. And, after all, the information is coming from Squid and not the origin server so it is kind of wrong to mimic broken origin server details when serving that information.
Squid closes the client connection after serving the error so that no requests are sent to the broken server.
It is important to understand that Squid can be configured to ignore or tolerate certain SSL connection establishment errors using sslproxy_cert_error. If the error is allowed, Squid forgets about the error, mimics true broken certificate properties, and continues to talk to the server. Otherwise, Squid does not mimic and terminates the server connection as discussed above. Thus, if you want users to see broken certificate properties instead of Squid error pages, you must tell Squid to ignore the error.


from https://wiki.squid-cache.org/Features/MimicSslServerCert

13
Español / Re: problema con Squid+ SquidGuard+Wpad
« on: February 12, 2018, 07:15:56 pm »
Bueno, yo soy nuevo en esto de pfsense. Te pongo una captura de mis reglas que hasta el momento ha funcionado. Lo único que se me ocurre es lo más básico: si le diste guardar y aplicar en squidguard al modificar alguna opción, si verificaste que puedes descargar los archivos .pac y .dat de tu equipo pfsense y si eliminaste los STATES activos.

Te comento las características de mi setup en particular de pfsense+squid+squidguard
-El pfsense es mi DHCP y DNS resolver (no creo que esto esté bien pero por el momento lo he dejado así)
-Está configurado wpad en otra instancia de nginx en puerto 80 (por eso la regla de paso de dicho puerto esta dirigida al firewall)
-Proxy transparente sin Man-in-the-middle
-El load balance no me funciona con squid, todo se va por el gateway por default (sigo investigando)
-El alias ipaccess443 es para IP's que necesito que se vayan directo (no estoy seguro que tenga que utilizar esta regla aquí, ya que por el momento solo tengo una aplicación que requiere de libre paso por puerto 443, la cuál por suerte trae integrada una opción de utilizar proxy ya que no me funcionó esta regla en un principio pero igual la dejé ahí)
-Si le quito detectar automáticamente proxy en cualquier navegador de cualquier cliente dentro de la LAN, ya no puedo navegar.
-Si cambio los DNS manualmente en el adaptador de red, igual se va por el pfsense

14
Español / Re: AYUDA PARA REVISAR MULTIWAN
« on: February 12, 2018, 01:05:58 pm »
Hola, muchas gracias por la ayuda.

Ya revisé el video y otros de los relacionados que te recomienda al finalizar...

Lo extraño es que lo tengo prácticamente igual...

Sin embargo siento que mi red se satura, que va lenta y las gráficas de consumo no superan los 15 Mbps, cuando tengo enlaces de hasta 200 Mbps, se que es teórico, pero es demasiado lo que se cae.
  • Ya tengo mi grupo de Gateways
  • Los tengo en Tier 1 (ambos)
  • Manejo Proxy, y todos tienen salida por la MultiWan (Tal vez habrá que revisar algo en este punto)

Hola,
Que Proxy estás utilizando?

15
Cache/Proxy / Re: Squid MITM SquidGuard Not Showing Default Error Page?
« on: February 10, 2018, 11:42:19 am »
maybe this can help

http://www.squid-cache.org/Doc/config/ssl_bump/

By using bump and then action "terminate" maybe, don't know, as I've said I don't understand much.

Pages: [1] 2