The pfSense Store

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Topics - pozolero

Pages: [1] 2
1
General Questions / Sometimes there is a bottleneck on my lan
« on: August 23, 2017, 11:01:45 am »
Hi everybody, i have some questions about pfsense.

I read on https://doc.pfsense.org/index.php/Low_Throughput_Troubleshooting some information related on low pfsense throughput.

I used the command prompt option on pfsense and here is the results of top -aSH command:

top aSH" border="0

And here is my network cards:

network_cards" border="0

I have 130 users between pc and laptops and 30 xerox 3320 printers.  I only have a WAN and a LAN card to manage all connections.

CPU is a Workstation Dell Precision T5400, Intel Xeon 2.33 GHz QuadCore socket LGA771, 4Gb Ram DDR2 SDRAM, HDD 500 Gb, LAN card Broadcom Gigabyte Ethernet, PCI Express Video Card 256 MB DDR2 SDRAM.

WAN card it's PCI Davicom Chip.

What i'm thinking first is to add a new PCI Express Network card to change the old PCI card that i'm using as a WAN, just to try if that improves the bottleneck that users have sometimes on a regular day.

What suggestions do you guys have?

Best regards

2
Firewalling / Question about Firewall rules
« on: April 21, 2017, 10:37:49 am »
Hi everyone!  I have an iptables script (Yes, i know pfsense doesn't use iptables) but i think it's a clever script.

This script was on a debian server with squid in transparent mode, and was for blocking https (443) connections for domains like youtube.com without blocking google.com domain. Both domains use same ip address.

My question is: Is it possible to achieve something like this firewall rules on pfsense?

I'll let you the firewall script below

Code: [Select]
#! /bin/sh
# BLOCKING HTTPS CONNECTIONS / PORT 443

echo "Starting Firewall. "
echo "Applying Firewall Rules .........."

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD DROP

INTERNET="eth0"
LAN="eth1"
IPLAN="172.16.0.0/12"
RED="172.20.5"
MOVIL="172.20.10"

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT # Localhost
iptables -A OUTPUT -o lo -j ACCEPT # Localhost
#---------------------------------------------------------------------
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT # HTTPS

iptables -A INPUT -i $INTERNET -p tcp --dport 20 -j ACCEPT # FTP
iptables -A INPUT -i $INTERNET -p tcp --dport 21 -j ACCEPT # FTP

#iptables -A INPUT -i $INTERNET -p tcp --dport 22 -j ACCEPT # SSH
#iptables -A INPUT -i $INTERNET -p tcp --dport 25 -j ACCEPT # SMTP
#iptables -A INPUT -i $INTERNET -p tcp --dport 53 -j ACCEPT # DNS
#iptables -A INPUT -i $INTERNET -p tcp --dport 80 -j ACCEPT # WEB
#iptables -A INPUT -i $INTERNET -p tcp --dport 110 -j ACCEPT # POP
#iptables -A INPUT -i $INTERNET -p tcp --dport 143 -j ACCEPT # IMAP
#iptables -A INPUT -i $INTERNET -p tcp --dport 1433 -j ACCEPT # SQL Server
#iptables -A INPUT -i $INTERNET -p tcp --dport 3306 -j ACCEPT # MySQL

iptables -A INPUT -p tcp --dport 20 -j ACCEPT # FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT # FTP
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT # FTP
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT # FTP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT # SSH
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # SMTP
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT # SMTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # WEB
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT # WEB
iptables -A INPUT -p tcp --dport 110 -j ACCEPT # POP MAIL
iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT # POP MAIL
iptables -A INPUT -p tcp --dport 143 -j ACCEPT # IMAP MAIL
iptables -A OUTPUT -p tcp --sport 143 -j ACCEPT # IMAP MAIL
#iptables -A INPUT -p tcp --dport 1433 -j ACCEPT # SQL Server
#iptables -A OUTPUT -p tcp --sport 1433 -j ACCEPT # SQL Server
#iptables -A INPUT -p tcp --dport 3306 -j ACCEPT # MySQL
#iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT # MySQL

iptables -A INPUT -p tcp --dport 7777 -j ACCEPT # CNPSS
iptables -A OUTPUT -p tcp --sport 7777 -j ACCEPT # CNPSS

#-----------------------------------------------------------------------
iptables -t nat -A PREROUTING -s $IPLAN -p tcp --dport 80 -j DNAT --to 172.20.5.1:3128
iptables -t nat -A POSTROUTING -s $IPLAN -o $INTERNET -j MASQUERADE

# ACCESS LEVELS FOR UNRESTRICTED IP
# WEBSITES RESTRICTIONS ARE MADE BY SQUID, FIREWALL ONLY CONTROLS HTTPS ACCESS

# --------------------------------------- FIREWALL LEVELS
# 1° LEVEL -  NO RESTRICTIONS
# 2° LEVEL -  ACCESS ONLY  FACEBOOK + TWITTER + YOUTUBE + DROPBOX, BLOCKED PEER-TO-PEER
# 3° LEVEL - ACCESS ONLY FACEBOOK;  TWITTER, YOUTUBE, DROPBOX, BLOCKED PEER-TO-PEER
 
iptables -A FORWARD -d 151.101.0.0/16 -j ACCEPT
iptables -A OUTPUT -p tcp -d 151.101.0.0/16 -j ACCEPT # Schoology
iptables -A FORWARD -p tcp -d schoology.com --dport 443 -j ACCEPT
#iptables -A OUTPUT -p tcp -d www.schoology.com -j ACCEPT
#iptables -A OUTPUT -p tcp -d schoology.com -j ACCEPT


# UNRESTRICTED IP ( ACCESS LEVEL 1)
#-----------------------------------------------------------------------------
iptables -A FORWARD -s $RED.41 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.42 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.48 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.49 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.55 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.57 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.68 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.69 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.70 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.76 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.129 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.141 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.168 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.170 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.249 -o $INTERNET -j ACCEPT # USER
iptables -A FORWARD -s $RED.218 -o $INTERNET -j ACCEPT # USER
#----------------------------------------------------------------------------
# APPLE SERVERS
#----------------------------
#iptables -A FORWARD -d 74.125.0.0/16 -j ACCEPT # Google
iptables -A FORWARD -s 17.142.160.59 -j ACCEPT
iptables -A FORWARD -s 17.172.224.47 -j ACCEPT
iptables -A FORWARD -s 17.178.96.59 -j ACCEPT


iptables -A FORWARD -s $MOVIL.10 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.15 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.19 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.20 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.21 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.36 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.77 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.78 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.39 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.40 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.44 -o $INTERNET -j ACCEPT # CELL PHONE
iptables -A FORWARD -s $MOVIL.85 -o $INTERNET -j ACCEPT         # TABLET

# BLOCKED TORRENT DOWNLOADS
#----------------------------------------------------------------------------
iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j DROP
iptables -A FORWARD -m string --algo bm --string "peer_id" -j DROP
iptables -A FORWARD -m string --algo bm --string ".torrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j DROP
iptables -A FORWARD -m string --algo bm --string "torrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce" -j DROP
iptables -A FORWARD -m string --algo bm --string "info_hash" -j DROP

iptables -A FORWARD -m string --algo bm --string "get_peers" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce_peer" -j DROP
iptables -A FORWARD -m string --algo bm --string "find_node" -j DROP

# BLOCKED TORRENT Y P2P
# BY MODULE ----- apt-get install xtables-addons-common
# iptables -m ipp2p --help
#-------------------------------------------------------
#iptables -A FORWARD -p tcp -m ipp2p --edk -j DROP
#iptables -A FORWARD -p udp -m ipp2p --edk -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --dc -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --kazaa -j DROP
#iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --gnu -j DROP
#iptables -A FORWARD -p udp -m ipp2p --gnu -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --bit -j DROP
#iptables -A FORWARD -p udp -m ipp2p --bit -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --apple -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --winmx -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --soul -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP


# IP WITH HTTPS - 443 ACCESS GRANTED (ACCESS LEVEL 2)
#-----------------------------------------------------------------------------
iptables -A FORWARD -s $RED.56 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.59 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.67 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.69 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.73 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.74 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.77 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.79 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.80 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.102 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.104 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.150 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.176 -p tcp --dport 443 -j ACCEPT # USER
iptables -A FORWARD -s $RED.201 -p tcp --dport 443 -j ACCEPT # USER

#----------------------

# BLOCKING YOUTUBE AND TWITTER
# TO BLOCK YOUTUBE, FIRST WE NEED TO ACCEPT GOOGLE REQUESTS BECAUSE BOTH DOMAINS
# DEPENDS ON SAME SERVERS OR IP ADDRESS BUT DOMAIN REQUEST IS INDEPENDENT.
# AFTER THIS, I PERMIT ACCESS TO GOOGLE DOMAIN BUT NOT TO YOUTUBE DOMAIN
#-----------------------------------------------------------------------------
iptables -A FORWARD -m string --string "google.com" --algo bm -j ACCEPT
iptables -A FORWARD -m string --string "youtube.com" --algo bm -j DROP
#iptables -A FORWARD -m string --string "dropbox.com" --algo bm -j DROP

iptables -A FORWARD -d 199.59.148.0/22 -j DROP # Twitter


# BLOCKED YOUTUBE, BLOCKED DOWNLOADS, UBLOCKED FACEBOOK  (ACCESS LEVEL 3
#-----------------------------------------------------------------------------
iptables -A FORWARD -s $RED.49 -p tcp --dport 443 -j ACCEPT # USER


# BLOCKED FACEBOOK SERVERS
#-----------------------------------------------------------------------------
iptables -A FORWARD -d 65.201.208.24/29 -j DROP
iptables -A FORWARD -d 65.204.104.128/28 -j DROP
iptables -A FORWARD -d 66.92.180.48/29 -j DROP
iptables -A FORWARD -d 67.200.105.48/28 -j DROP
iptables -A FORWARD -d 69.63.176.0/30 -j DROP
iptables -A FORWARD -d 69.171.224.0/20 -j DROP
iptables -A FORWARD -d 74.119.76.0/19 -j DROP
iptables -A FORWARD -d 204.25.20.0/22 -j DROP
iptables -A FORWARD -d 66.220.144.0/20 -j DROP
iptables -A FORWARD -d 173.252.64.0/18 -j DROP


# SCHOOLOGY.COM
#----------------------------------------------------------
#iptables -A FORWARD -d 151.101.0.0/16 -j ACCEPT
#iptables -A FORWARD -m string --string "schoology.com" --algo bm -j ACCEPT
#iptables -I INPUT -p tcp --dport 443 -m string --string "schoology.com" --algo bm -j ACCEPT


# GRANT ACCESS TO HTTPS - 443 WEBSITES
#-------------------------------------------------------------------------------

#iptables -A FORWARD -s 52.2.100.81 -p tcp --dport 443 -j ACCEPT # WEBSITE
#iptables -A FORWARD -s 52.204.251.50 -p tcp --dport 443 -j ACCEPT # WEBSITE
#iptables -A FORWARD -s 107.23.6.245 -p tcp --dport 443 -j ACCEPT # WEBSITE
#iptables -A FORWARD -s 52.21.168.68 -p tcp --dport 443 -j ACCEPT # WEBSITE


#iptables -A FORWARD -p tcp -m iprange --dst-range 74.125.0.0-74.125.255.255 --dport 443 -j ACCEPT # Google
iptables -A FORWARD -d 74.125.0.0/16 -j ACCEPT # Google
#iptables -A FORWARD -p tcp -d accounts.google.com --dport 443 -j ACCEPT # Gmail
#iptables -A FORWARD -p tcp -m iprange --dst-range 172.194.46.0-173.194.46.255 --dport 443 -j ACCEPT # Gmail
#iptables -A FORWARD -p tcp -d mail.google.com --dport 443 -j ACCEPT # Gmail

#iptables -A FORWARD -s 187.210.186.221 -p tcp --dport 443 -j ACCEPT # WEBSITE
#iptables -A FORWARD -s 187.191.75.171 -p tcp --dport 443 -j ACCEPT # WEBSITE
#iptables -A FORWARD -p tcp -d www.website.com --dport 443 -j ACCEPT #

#iptables -A FORWARD -s 65.66.206.154 -p tcp --dport 443 -j ACCEPT # Hotmail
#iptables -A FORWARD -p tcp -d live.com --dport 443 -j ACCEPT # Hotmail
#iptables -A FORWARD -p tcp -d login.live.com --dport 443 -j ACCEPT # Hotmail
#iptables -A FORWARD -p tcp -d secure.shared.live.com --dport 443 -j ACCEPT # Hotmail
#iptables -A FORWARD -p tcp -d outlook.com --dport 443 -j ACCEPT # Hotmail

#iptables -A FORWARD -d 157.54.0.0/15 -j ACCEPT # Outlook.com
#iptables -A FORWARD -d 157.56.0.0/14 -j ACCEPT # Outlook.com
#iptables -A FORWARD -d 157.60.0.0/16 -j ACCEPT # Outlook.com
#iptables -A FORWARD -d 132.245.0.0/16 -j ACCEPT # Outlook.com
#iptables -A FORWARD -d 131.253.62.0/23 -j DROP # login.live.com
#iptables -A FORWARD -d 131.253.128.0/17 -j DROP # login.live.com
#iptables -A FORWARD -d 131.253.61.0/24 -j DROP # login.live.com
#iptables -A FORWARD -d 131.253.64.0/18 -j DROP # login.live.com
#iptables -A FORWARD -d 65.52.0.0/14 -j DROP # mail.live.com

iptables -A FORWARD -d 189.202.196.50 -j ACCEPT
iptables -A FORWARD -d 189.203.200.235 -j ACCEPT



# ALL PORTS BLOCKED
#-------------------------------------------------------------------------------
#iptables -A INPUT -j DROP
#iptables -A OUTPUT -j DROP
#iptables -A FORWARD -j LOG

#iptables -A FORWARD -p tcp --dport 443 -j DROP # HTTPS



What i want to know or confirm is if i can configure something like this:
Code: [Select]
# BLOCKING YOUTUBE AND TWITTER
# TO BLOCK YOUTUBE, FIRST WE NEED TO ACCEPT GOOGLE REQUESTS BECAUSE BOTH DOMAINS
# DEPENDS ON SAME SERVERS OR IP ADDRESS BUT DOMAIN REQUEST IS INDEPENDENT.
# AFTER THIS, I PERMIT ACCESS TO GOOGLE DOMAIN BUT NOT TO YOUTUBE DOMAIN
#-----------------------------------------------------------------------------
iptables -A FORWARD -m string --string "google.com" --algo bm -j ACCEPT
iptables -A FORWARD -m string --string "youtube.com" --algo bm -j DROP
#iptables -A FORWARD -m string --string "dropbox.com" --algo bm -j DROP

iptables -A FORWARD -d 199.59.148.0/22 -j DROP # Twitter


So i can make an IP alias on firewall rules to block some users on LAN

Best regards!

3
Español / Duda reglas firewall pfsense
« on: April 20, 2017, 11:19:08 am »
Hola a todos en el foro.  Tengo un script para iptables que me proporcionaron.  Ya sé que pfsense no utiliza iptables.  Pero el script se me hizo interesante.

El script estaba implementado en un servidor linux con squid en modo transparente.  Y servía para bloquear a ciertos rangos de red las conexiones a sitios seguros SSL-443 del tipo youtube, pero sin bloquear el dominio google.com.

Mi pregunta es sobre si se puede hacer algo parecido en pfsense?

Les dejo el código del script.

Code: [Select]
#! /bin/sh
# SCRIPT PARA BLOQUEAR POR MEDIO DE FIREWALL LAS CONEXIONES SEGURAS AL PUERTO 443
echo "Iniciando Firewall. "
echo "Aplicando reglas de Firewall .........."

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD DROP

INTERNET="eth0"
LAN="eth1"
IPLAN="172.16.0.0/12"
RED="172.20.5"
MOVIL="172.20.10"

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT # Localhost
iptables -A OUTPUT -o lo -j ACCEPT # Localhost
#---------------------------------------------------------------------
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT # HTTPS

iptables -A INPUT -i $INTERNET -p tcp --dport 20 -j ACCEPT # FTP
iptables -A INPUT -i $INTERNET -p tcp --dport 21 -j ACCEPT # FTP

#iptables -A INPUT -i $INTERNET -p tcp --dport 22 -j ACCEPT # SSH
#iptables -A INPUT -i $INTERNET -p tcp --dport 25 -j ACCEPT # SMTP
#iptables -A INPUT -i $INTERNET -p tcp --dport 53 -j ACCEPT # DNS
#iptables -A INPUT -i $INTERNET -p tcp --dport 80 -j ACCEPT # WEB
#iptables -A INPUT -i $INTERNET -p tcp --dport 110 -j ACCEPT # POP
#iptables -A INPUT -i $INTERNET -p tcp --dport 143 -j ACCEPT # IMAP
#iptables -A INPUT -i $INTERNET -p tcp --dport 1433 -j ACCEPT # SQL Server
#iptables -A INPUT -i $INTERNET -p tcp --dport 3306 -j ACCEPT # MySQL

iptables -A INPUT -p tcp --dport 20 -j ACCEPT # FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT # FTP
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT # FTP
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT # FTP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT # SSH
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # SMTP
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT # SMTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # WEB
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT # WEB
iptables -A INPUT -p tcp --dport 110 -j ACCEPT # CORREO POP
iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT # CORREO POP
iptables -A INPUT -p tcp --dport 143 -j ACCEPT # CORREO IMAP
iptables -A OUTPUT -p tcp --sport 143 -j ACCEPT # CORREO IMAP
#iptables -A INPUT -p tcp --dport 1433 -j ACCEPT # SQL Server
#iptables -A OUTPUT -p tcp --sport 1433 -j ACCEPT # SQL Server
#iptables -A INPUT -p tcp --dport 3306 -j ACCEPT # MySQL
#iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT # MySQL

iptables -A INPUT -p tcp --dport 7777 -j ACCEPT # CNPSS
iptables -A OUTPUT -p tcp --sport 7777 -j ACCEPT # CNPSS

#-----------------------------------------------------------------------
iptables -t nat -A PREROUTING -s $IPLAN -p tcp --dport 80 -j DNAT --to 172.20.5.1:3128
iptables -t nat -A POSTROUTING -s $IPLAN -o $INTERNET -j MASQUERADE

# NIVELES DE ACCESO PARA LOS JEFES
# LA RESTRICCION DE PAGINAS SE HACE A TRAVES DE SQUID, EL FIREWALL SOLO CONTROLA
# LAS PAGINAS DE ACCESO POR MEDIO DE HTTPS
# --------------------------------------- NIVELES FIREWALL
# 1er NIVEL -  SIN RESTRICCIONES
# 2do NIVEL -  ACCESO A FACEBOOK + TWITTER + YOUTUBE + DROPBOX, DESCARGAS PEER-TO-PEER DENEGADAS
# 3er NIVEL - SOLO  ACCESO A FACEBOOK;  TWITTER, YOUTUBE, DROPBOX  Y DESCARGAS PEER-TO-PEER DENEGADAS
 
iptables -A FORWARD -d 151.101.0.0/16 -j ACCEPT
iptables -A OUTPUT -p tcp -d 151.101.0.0/16 -j ACCEPT # Schoology
iptables -A FORWARD -p tcp -d schoology.com --dport 443 -j ACCEPT
#iptables -A OUTPUT -p tcp -d www.schoology.com -j ACCEPT
#iptables -A OUTPUT -p tcp -d schoology.com -j ACCEPT


# IPS SIN RESTRICCION DE PUERTOS O ACCESO ( NIVEL DE ACCESO 1)
#-----------------------------------------------------------------------------
iptables -A FORWARD -s $RED.41 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.42 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.48 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.49 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.55 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.57 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.68 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.69 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.70 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.76 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.129 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.141 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.168 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.170 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.249 -o $INTERNET -j ACCEPT # JEFE
iptables -A FORWARD -s $RED.218 -o $INTERNET -j ACCEPT # JEFE
#----------------------------------------------------------------------------
# SERVIDORES DE APPLE
#----------------------------
#iptables -A FORWARD -d 74.125.0.0/16 -j ACCEPT # Google
iptables -A FORWARD -s 17.142.160.59 -j ACCEPT
iptables -A FORWARD -s 17.172.224.47 -j ACCEPT
iptables -A FORWARD -s 17.178.96.59 -j ACCEPT


iptables -A FORWARD -s $MOVIL.10 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.15 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.19 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.20 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.21 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.36 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.77 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.78 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.39 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.40 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.44 -o $INTERNET -j ACCEPT # Celular JEFE
iptables -A FORWARD -s $MOVIL.85 -o $INTERNET -j ACCEPT # Tablet JEFE

# RESTRICCION DE DESCARGAS TORRENT
#----------------------------------------------------------------------------
iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j DROP
iptables -A FORWARD -m string --algo bm --string "peer_id" -j DROP
iptables -A FORWARD -m string --algo bm --string ".torrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j DROP
iptables -A FORWARD -m string --algo bm --string "torrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce" -j DROP
iptables -A FORWARD -m string --algo bm --string "info_hash" -j DROP

iptables -A FORWARD -m string --algo bm --string "get_peers" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce_peer" -j DROP
iptables -A FORWARD -m string --algo bm --string "find_node" -j DROP

# CANCELAR DESCARGAS TORRENT Y P2P
# A TRAVES DE MODULO apt-get install xtables-addons-common
# iptables -m ipp2p --help
#-------------------------------------------------------
#iptables -A FORWARD -p tcp -m ipp2p --edk -j DROP
#iptables -A FORWARD -p udp -m ipp2p --edk -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --dc -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --kazaa -j DROP
#iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --gnu -j DROP
#iptables -A FORWARD -p udp -m ipp2p --gnu -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --bit -j DROP
#iptables -A FORWARD -p udp -m ipp2p --bit -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --apple -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --winmx -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --soul -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP


# IPS CON PUERTO 443 HABILITADO (NIVEL DE ACCESO 2)
#-----------------------------------------------------------------------------
iptables -A FORWARD -s $RED.56 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.59 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.67 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.69 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.73 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.74 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.77 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.79 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.80 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.102 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.104 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.150 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.176 -p tcp --dport 443 -j ACCEPT # USUARIO
iptables -A FORWARD -s $RED.201 -p tcp --dport 443 -j ACCEPT # USUARIO

#----------------------

# BLOQUEO DE YOUTUBE y TWITTER
# PARA BLOQUEO DE YOUTUBE PRIMERO ACEPTO LAS PETICIONES HACIA GOOGLE DEBIDO
# A QUE AMBOS DEPENDEN DE LOS MISMOS SERVIDORES(IPS), PERO LA LLAMADA AL
# DOMINIO ES INDEPENDIENTE, DERIVADO DE ESTO PERMITO EL ACCESO AL DOMINIO
# DE GOOGLE PERO NO AL DOMINIO DE YOUTUBE
#-----------------------------------------------------------------------------
iptables -A FORWARD -m string --string "google.com" --algo bm -j ACCEPT
iptables -A FORWARD -m string --string "youtube.com" --algo bm -j DROP
#iptables -A FORWARD -m string --string "dropbox.com" --algo bm -j DROP

iptables -A FORWARD -d 199.59.148.0/22 -j DROP # Twitter


# NIVEL DE ACCESO 3 YOUTUBE-NO, DESCARGAS-NO, FACEBOOK-SI
#-----------------------------------------------------------------------------
iptables -A FORWARD -s $RED.49 -p tcp --dport 443 -j ACCEPT # USUARIO


# BLOQUEO DE LOS SERVIDORES DE FACEBOOK
#-----------------------------------------------------------------------------
iptables -A FORWARD -d 65.201.208.24/29 -j DROP
iptables -A FORWARD -d 65.204.104.128/28 -j DROP
iptables -A FORWARD -d 66.92.180.48/29 -j DROP
iptables -A FORWARD -d 67.200.105.48/28 -j DROP
iptables -A FORWARD -d 69.63.176.0/30 -j DROP
iptables -A FORWARD -d 69.171.224.0/20 -j DROP
iptables -A FORWARD -d 74.119.76.0/19 -j DROP
iptables -A FORWARD -d 204.25.20.0/22 -j DROP
iptables -A FORWARD -d 66.220.144.0/20 -j DROP
iptables -A FORWARD -d 173.252.64.0/18 -j DROP


# SCHOOLOGY.COM
#----------------------------------------------------------
#iptables -A FORWARD -d 151.101.0.0/16 -j ACCEPT
#iptables -A FORWARD -m string --string "schoology.com" --algo bm -j ACCEPT
#iptables -I INPUT -p tcp --dport 443 -m string --string "schoology.com" --algo bm -j ACCEPT


# PERMITIR EL ACCESO A SITIOS PERMITIDOS QUE HACEN USO DEL PUERTO 443 (HTTPS)
#-------------------------------------------------------------------------------

#iptables -A FORWARD -s 52.2.100.81 -p tcp --dport 443 -j ACCEPT #sce.salud
#iptables -A FORWARD -s 52.204.251.50 -p tcp --dport 443 -j ACCEPT #sce.salud
#iptables -A FORWARD -s 107.23.6.245 -p tcp --dport 443 -j ACCEPT #sce.salud
#iptables -A FORWARD -s 52.21.168.68 -p tcp --dport 443 -j ACCEPT #sce.salud


#iptables -A FORWARD -p tcp -m iprange --dst-range 74.125.0.0-74.125.255.255 --dport 443 -j ACCEPT # Google
iptables -A FORWARD -d 74.125.0.0/16 -j ACCEPT # Google
#iptables -A FORWARD -p tcp -d accounts.google.com --dport 443 -j ACCEPT # Gmail
#iptables -A FORWARD -p tcp -m iprange --dst-range 172.194.46.0-173.194.46.255 --dport 443 -j ACCEPT # Gmail
#iptables -A FORWARD -p tcp -d mail.google.com --dport 443 -j ACCEPT # Gmail

#iptables -A FORWARD -s 187.210.186.221 -p tcp --dport 443 -j ACCEPT #sce.salud
#iptables -A FORWARD -s 187.191.75.171 -p tcp --dport 443 -j ACCEPT #sce.salud
#iptables -A FORWARD -p tcp -d www.sce.salud.gob.mx --dport 443 -j ACCEPT #

#iptables -A FORWARD -s 65.66.206.154 -p tcp --dport 443 -j ACCEPT # Hotmail
#iptables -A FORWARD -p tcp -d live.com --dport 443 -j ACCEPT # Hotmail
#iptables -A FORWARD -p tcp -d login.live.com --dport 443 -j ACCEPT # Hotmail
#iptables -A FORWARD -p tcp -d secure.shared.live.com --dport 443 -j ACCEPT # Hotmail
#iptables -A FORWARD -p tcp -d outlook.com --dport 443 -j ACCEPT # Hotmail

#iptables -A FORWARD -d 157.54.0.0/15 -j ACCEPT # Outlook.com
#iptables -A FORWARD -d 157.56.0.0/14 -j ACCEPT # Outlook.com
#iptables -A FORWARD -d 157.60.0.0/16 -j ACCEPT # Outlook.com
#iptables -A FORWARD -d 132.245.0.0/16 -j ACCEPT # Outlook.com
#iptables -A FORWARD -d 131.253.62.0/23 -j DROP # login.live.com
#iptables -A FORWARD -d 131.253.128.0/17 -j DROP # login.live.com
#iptables -A FORWARD -d 131.253.61.0/24 -j DROP # login.live.com
#iptables -A FORWARD -d 131.253.64.0/18 -j DROP # login.live.com
#iptables -A FORWARD -d 65.52.0.0/14 -j DROP # mail.live.com

iptables -A FORWARD -d 189.202.196.50 -j ACCEPT
iptables -A FORWARD -d 189.203.200.235 -j ACCEPT



# BLOQUEO DE TODOS LOS PUERTOS
#-------------------------------------------------------------------------------
#iptables -A INPUT -j DROP
#iptables -A OUTPUT -j DROP
#iptables -A FORWARD -j LOG

#iptables -A FORWARD -p tcp --dport 443 -j DROP # HTTPS



La línea que me llama la atención es esta:

Code: [Select]
# BLOQUEO DE YOUTUBE y TWITTER
# PARA BLOQUEO DE YOUTUBE PRIMERO ACEPTO LAS PETICIONES HACIA GOOGLE DEBIDO
# A QUE AMBOS DEPENDEN DE LOS MISMOS SERVIDORES(IPS), PERO LA LLAMADA AL
# DOMINIO ES INDEPENDIENTE, DERIVADO DE ESTO PERMITO EL ACCESO AL DOMINIO
# DE GOOGLE PERO NO AL DOMINIO DE YOUTUBE
#-----------------------------------------------------------------------------
iptables -A FORWARD -m string --string "google.com" --algo bm -j ACCEPT
iptables -A FORWARD -m string --string "youtube.com" --algo bm -j DROP
#iptables -A FORWARD -m string --string "dropbox.com" --algo bm -j DROP

iptables -A FORWARD -d 199.59.148.0/22 -j DROP # Twitter


Qué dicen?
Saludos

4
Español / Problema log en tiempo real SquidGuard
« on: January 24, 2017, 02:05:19 pm »
Que tal compañeros del foro!

El día de hoy me di cuenta de un problema que me sucedió con squidGuard, específicamente con la pestaña "Log", me aparece la leyenda "No data"  creo que sin querer modifiqué algo de la configuración y probablemente sucedió esto.

Había seguido el tutorial del compañero Bellera https://forum.pfsense.org/index.php?topic=74634.msg407714#msg407714  y tal vez eso desencadeno el problema.

Haciendo una busqueda
Quote
cat /var/squid/logs/cache.log | grep /var/log/squidGuard.log
me sale esto:

Code: [Select]
2017-01-24 00:00:00 [87622] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 00:00:00 [87933] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 00:00:00 [88201] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 00:00:00 [88232] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 07:03:53 [30108] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 07:03:53 [30202] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 07:03:53 [30313] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 07:03:53 [30359] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 07:51:15 [10392] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 07:51:15 [10665] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 07:51:15 [10669] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 07:51:15 [10958] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 08:36:27 [53709] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 08:36:27 [54012] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 08:36:27 [54354] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 08:36:27 [54235] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:16:05 [63506] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:16:06 [64483] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:16:06 [64590] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:16:06 [64627] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:16:06 [64671] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:16:06 [64812] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:16:06 [64819] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:16:06 [65100] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:23:55 [68273] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:23:55 [68544] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:23:55 [68845] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:23:55 [69039] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:54:37 [79076] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:54:37 [80233] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:54:37 [80357] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:54:37 [80494] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:54:37 [80682] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:54:37 [80742] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:54:37 [80746] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 10:54:37 [81060] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:02:14 [28537] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:02:14 [28699] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:02:14 [28839] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:02:14 [28895] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:02:14 [29196] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:02:15 [29248] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:02:15 [29400] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:02:15 [29720] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:06:54 [31599] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:06:54 [31845] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:06:54 [31980] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:06:54 [32304] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:08:51 [81114] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:08:51 [81200] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:08:51 [81503] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:08:51 [81569] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:14:02 [78890] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:14:02 [79296] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:14:02 [79297] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:14:02 [79392] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:14:02 [79629] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:14:02 [79864] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:14:02 [79972] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:14:02 [80261] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:16:47 [93929] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:16:47 [93966] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:16:47 [94159] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:16:47 [94418] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:16:47 [94483] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:16:47 [94762] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:16:47 [94788] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:16:47 [94910] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:42:22 [8506] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:42:22 [8789] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:42:22 [8892] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:42:22 [8973] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:42:22 [9185] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:42:23 [9342] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:42:23 [9492] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:42:23 [9821] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:46:59 [90936] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:46:59 [91066] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:46:59 [91218] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:46:59 [91410] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:46:59 [91668] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:46:59 [92014] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:46:59 [92324] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:46:59 [92474] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:47:27 [18630] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:47:28 [18859] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:47:28 [18946] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 11:47:28 [18991] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:29:50 [32337] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:29:50 [32574] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:29:50 [32794] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:29:50 [33048] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:29:50 [33203] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:29:50 [33471] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:29:50 [33708] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:29:50 [33744] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:31:34 [81903] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:31:34 [82014] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:31:34 [82142] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:31:34 [82388] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:31:43 [82691] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:31:43 [82692] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:31:43 [82971] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:31:43 [83155] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:44:13 [50416] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:44:13 [50601] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:44:13 [50636] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:44:13 [50661] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:44:13 [50695] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:44:13 [51006] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:44:13 [51346] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:44:13 [51541] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:48:19 [64985] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:48:19 [65288] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:48:19 [65337] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:48:19 [65609] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:48:19 [65909] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:48:19 [66134] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:48:19 [66463] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:48:19 [66587] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:52:35 [74999] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:52:35 [75203] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:52:36 [75511] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:52:36 [75559] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:52:36 [75878] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:52:36 [75971] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:52:36 [76059] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 12:52:36 [76082] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:02:43 [8704] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:02:43 [8833] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:02:43 [8904] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:02:43 [8977] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:08:11 [45521] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:08:12 [45750] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:08:12 [45842] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:08:12 [46050] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:29:18 [25974] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:29:18 [26309] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:29:18 [26571] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:29:19 [26681] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:29:19 [26903] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:29:19 [27060] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:29:19 [27379] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:29:19 [27611] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:39:19 [65668] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:39:19 [65879] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:39:19 [66109] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log
2017-01-24 13:39:19 [66382] (squidGuard): can't write to logfile /var/log/squidGuard/squidGuard.log

Y el filter config me arroja esto:

Quote
# ============================================================
# SquidGuard configuration file
# This file generated automaticly with SquidGuard configurator
# (C)2006 Serg Dvoriancev
# email: dv_serg@mail.ru
# ============================================================

logdir /var/squidGuard/log
dbhome /var/db/squidGuard

Alguna luz para volver a activar los logs en tiempo real de squidGuard?  ???

Saludos

5
Que tal a todos en el foro, tengo un problema ultimamente.  Tengo un pfsense + squid + squidguard modo no transparente o explícito con 4 grupos de usuarios, cada uno con reglas o bloqueo de sitios mediante shallalist y con categorías para aquellos sitios que no están en shallalist.

A cada usuario le asigno ip mediante mac address, actualmente tengo aprox como 80 usuarios y va a crecer al parecer hasta 180.

Lo curioso es que cuando hice la instalación nueva, y configuré todo mediante el tutorial que tiene el amigo @periko pfsense modo no transparente, los primeros días funciona correctamente y sin problemas.

Con el paso de los días o meses, hago actualizaciones del pfsense conforme van saliendo, etc  y veo que a algunos usuarios que pertenecen a algun grupo con ciertas páginas bloqueadas, los deja cargar esas páginas.  Al principio creí que la ip estaba dentro de algún grupo sin restricciones y en el grupo de bloqueados, pero no es así, el usuario se encuentra en el grupo de bloqueados y navega con singular alegría por los sitios bloqueados.
Lo curioso es que si le quito la configuración del proxy, no navega, tiene que estar explícito.  Pero al estar configurado lo deja navegar sin bloqueos.

Es desesperante tratar de averiguar lo que está sucediendo y porque.  Alguien tendrá alguna idea sobre lo que está sucediendo, porqué sucede y cómo se puede evitar o reparar?   >:(

Quedo en espera de alguna sugerencia.

Saludos   

RESUMEN DE LA SOLUCIÓN


RESUMEN

Tengo PfSense 2.3.1_2 con squid3 en modo explícito (no transparente) + squidGuard.  Aproximadamente son 90 usuarios, y tengo grupos con diferentes políticas de acceso.

El Pfsense no lo administro yo unicamente, sino que en mi ausencia hay compañeros que pueden entrar al webgui, pero son nuevos en el tema freeBSD, pfsense.

El problema era que pfsense no estaba bloqueando adecuadamente algunos sitios como debe hacerlo y me dí a la tarea de averiguar por qué y escribi este post para pedir apoyo a la comunidad.

En uno de mis grupos de usuarios de squidGuard, aparecía un rango de esta forma:  192.168.2.10-192.168.2.20-192.168.2.35, esto lo ví después de leer uno de los links que me proporcionó Bellera y trae unos comandos para ejecutar en el shell.  Me arrojó error en el squidGuard.conf en una línea determinada, fui y edité el archivo y encontré ese error.  Una vez corregido, pfsense volvió a bloquear como debe, y esto lo pude constatar porque mis usuarios comenzaron a llamar que ya no les dejaba entrar a ciertas páginas que están prohibidas en horario de oficina...  ;D

Gracias a la comunidad de usuarios PfSense!!

6
Hi everyone, i have this issue:

When i fresh install pfsense + squid + squidguard non transparent, i create rules, download shallalist, asign ip by mac address, create squidguard groups, etc  everything works well, i start to block users by groups.

But when the days passed, packages updates, create new ip users, etc, pfsense starts to load sites that have been blocked before on some users of blocked groups in squidguard.  That drives me crazy a lot!

I don't know why pfsense is doing this, or why is doing this i would like to recover total control of blocked sites by ip again like fresh install.  Is there a way to look what's going on, or a way to fix this?

Best regards

 ??? :-[

7
Español / Ayuda con logs del sistema...
« on: June 22, 2016, 02:09:19 pm »
Que tal a todos en el foro.  Tengo unos problemas con mi servidor, hace unos momentos se me fue la navegación por internet y me puse a checar rápidamente en el sistema que pudo fallar, por un momento pensé que la conexión del modem se cayó pero no fue así.

Checando en los logs del sistema encontré, esto:

nginx: 2016/06/22 13:32:38 [error] 51803#0: *2062 open() "/usr/local/www/libraries/nextend2/smartslider/media/plugins/widgetarrow/image/image/next/normal.svg" failed (2: No such file or directory), client: ::1, server: , request: "GET /libraries/nextend2/smartslider/media/plugins/widgetarrow/image/image/next/normal.svg HTTP/1.1", host: "localhost", referrer: "http://portal.tapachula.gob.mx/"

Lo que me llama la atención por lo raro del mensaje, y así aparecen fácil como 30 o más mensajes iguales a diferentes archivos en la misma ruta en un intervalo de tiempo muy corto.

Si pensamos mal, diría que es un tipo de ataque a mi servidor.

Alguien que pueda echarme una luz al respecto y/o de cómo asegurar mi servidor para evitar este tipo de ataques?

Saludos   >:(

8
Que tal , saludos a todos en el foro.

Tengo pfsense 2.3.1_1 con squid y squidguard modo no transparente de acuerdo con el tutorial de @periko que me trabaja super bien.  Pero recien me acabo de dar cuenta que tengo 2 equipos en la red que me sirven para hacer pruebas que se brincan por el arco del triunfo el squidguard con todo y estar dado de alta en el grupo de usuarios con restricciones.  Y lo curioso es que tengo las ip's dadas de alta en ese grupo y al navegar por ejemplo a youtube, facebook, etc sitios que están restringidos para ese grupo, simplemente estos parece que estuvieran dados de alta en el grupo sin restricción.  Pero los demás equipos que están dados de alta en ese grupo si están restringidos, solo estos 2 parece que no les afectan las restricciones que tengo al estar dados de alta en este grupo.   >:( :o

Pero caso curioso, tengo otro grupo que tiene como regla general en squiguard todo bloqueado, sin navegación a nada y al dar de alta ese equipo en ese grupo le bloquea la navegación total perfectamente... ???

A alguien le ha pasado esto? Cómo lo han solucionado?

Gracias por responder

9
Que tal , buen dia a todos en el foro.

Tengo pfsense 2.3.1_1 con squid y squidguard modo no transparente de acuerdo con el tutorial de @periko que me trabaja super bien.  Ahora bien, como no todo es perfecto, en la oficina tenemos equipos laptop que se mueven a otra red de un modem independiente y ahi es donde me cae el problema, ya que hay que estar desactivando el proxy de manera manual para que tengan salida a internet en esa red.

Bueno me recomendaron que configurara el squid en modo transparente, cosa que no me llama mucho la atención por los problemas del certificado para interceptar conexiones ssl.

Tengo 2 soluciones, la primera es tengo un pequeño programa que lo corres y le activas y desactivas el proxy global, el problema es que los usuarios de esas equipos son muy flojos y se les olvida que hay que estar corriendo el programa y se la pasan quejandose que les molesta hacer eso, que si no puede ser automático, etc...

La otra solución que tengo es un archivo .pac en el disco duro de los equipos moviles que ya hice la prueba con firefox y si funciona perfectamente, el problema es con internet explorer y chrome, ya que no respeta el código, es más ni siquiera lo toma en cuenta.

Que otra opción me sugieren hacer para resolver este problemita?   :-\

Gracias

10
Español / Ayuda con las plantillas de la version 2.3
« on: May 19, 2016, 02:35:19 pm »
Buen día a todos en el foro!

Quiero modificar unas cositas de la plantilla del webgui en la nueva version 2.3 como color de tipografia y color de fondo de unas tablas.  Encontré los archivos css, pero no logro encontrar el archivo principal del webgui, es un html o php donde ya sé exactamente dónde y qué cambiar, pero no logro encontrarlo.

Ustedes saben qué directorios son donde se encuentran los archivos fuente de las nuevas plantillas de esta versión.


Saludos :-[

11
Español / Problemas con AP's
« on: December 07, 2015, 10:25:41 am »
Buen día a todos en el foro, les platico cómo tengo configurada la red en la oficina.

Modem  ---  Pfsense + dhcp por mac + squid (no transparente) + squidguard ------- switch ----- switch ------ equipos cableados + ap

El problema lo tengo con los ap wifi, están funcionando y de repente llego a la oficina y las personas se quejan que no hay wifi, pero los equipos cableados sin problema.

O hay veces que en la mañana llego y todo funciona perfectamente y a las 2 horas las personas no se pueden conectar y navegar por wifi.

Reinicio el dhcp, reinicio el servidor o lo apago y vuelvo a encender y me ha tardado bastante en que los ap vuelvan a dejar conectar a los usuarios y asignarles ip, misma que tengo configurada estática por mac. 


Alguna luz al respecto?

P.D.  Y hay días que los ap trabajan sin ningún problema durante varios días o unas 2 a 3 semanas... >:(

12
Español / (Solucionado)Problemas con red local y pfsense
« on: May 21, 2015, 12:42:45 pm »
Buen dia a todos en el foro.

Espero puedan ayudarme con una luz respecto a un problema que se ha venido generando en la red interna.

Tengo un servidor con pfsense modo no transparente, bloqueando todo lo que le pido.  Hay un problema con 2 segmentos de la red que provocan que pfsense se caiga y no asigne ip ni naveguen los usuarios ya conectados.

Identificamos 2 cables problematicos.  Si los desconectamos del switch el pfsense se recupera instantaneamente y los usuarios conectados pueden seguir navegando.

En un principio pfsense no tuvo ningun problema trabajando así, estuvo trabajando por casi 11 meses y despues fue que comenzaron los problemas.  La solucion temporal fue montar otro pfsense para dividir la red en 2 servidores y asunto arreglado, pero de repente volvieron los problemas.

La red que encontramos en el edificio ya estaba instalada y les anexo la imagen para que puedan darse una idea de cómo está hecha.


Las preguntas son estas:  Creen que algun equipo de la red esté enviando paquetes que hacen que pfsense se caiga?  o  Algún cable de la red quedó mal parchado y está provocando una especie de corto en la red que está propiciando este problema?

Saludos y ojalá puedan echarme una ayuda

13
Español / pfSense como servidor de archivos
« on: March 04, 2013, 01:30:24 pm »
Viene de http://forum.pfsense.org/index.php/topic,59501.msg320281.html#msg320281
Por favor, hilo nuevo si se plantea un tema nuevo.
Moderador


Todo esta excelente y funciona muy bien, pero ahora, si quisiera compartir una carpeta con mi red interna?

Es decir como una carpeta de red o similar donde pueda poner algunos archivos y mi red pueda accesar a esa carpeta unicamente de la forma: \\equipo\carpeta_compartida?

Es posible esto en pfsense y que carpeta puedo accesar de esta forma?

Saludos

14
Hola a todos de nuevo en el foro, instalé el paquete vhost en pfsense para tener un servidor web dentro de pfsense o al menos eso es lo que intento hacer...

Al "configurarlo" segun lo que estuve viendo en el configurador de vhost, no arranca el servicio, reinicie la máquina y no arranca el servicio.

Checando los logs del sistema me sale esto:

php: /status_services.php: The command '/usr/local/etc/rc.d/vhosts-http.sh stop' returned exit code '1', the output was 'usage: kill [-s signal_name] pid ... kill -l [exit_status] kill -signal_name pid ... kill -signal_number pid ...'


Alguien tiene idea del porque de este error? o dónde esta mi error?

Saludos

15
Español / Qué hacer con mi configuración? (squid+squidGuard)
« on: February 27, 2013, 11:09:39 am »
Hola a todos en el foro, tengo un problemita y una duda:

Tengo servidor montado con pfsense 2.0.1 y despues actualizadoa 2.0.2.

Lo tengo configurado con el tutorial de @Periko, haciendo pasar a los usuarios unicamente por el puerto de squid, si borran su configuración del navegador no tienen salida a ningun lado.  Pido disculpas por poner el link del tutorial, pero se me hace extremadamente bueno y no lo ví en la documentación creo:  http://pheriko.blogspot.mx/2012/03/pfsense-2-configurar-squid.html

Tengo instalado squidguard con 3 grupos: usuarios con bloqueo, usuarios con medio bloqueo y los usuarios sin nada de bloqueo.

Tenia habilitada la funcion de squidguard de no dejar navegar por medio de ip, y con esto ultrasurf ni freegate, ni ningun proxy bypass puede trabajar jejejeje.  Tenía un problema con las descargas de hotmail, ya que hace peticiones a servidores por medio de ip y mis usuarios no podian descargar, así que me di la tarea de dar de alta una por una las ip que me iban saliendo de hotmail en una target list de squidguard y si funciona, pero como todo, tenia la necesidad de dar de alta el rango CIDR de hotmail de un jalon o rango de red tipo xx.xx.xx.xx - xx.xx.xx.xx en una target category list de squidguard, pero no las acepta...  >:(

Trate de configurar reglas en el firewall con un alias y dentro de este tener el o los rangos CIDR de hotmail y dando opciones de pass, pero el squidguard bloquea todo antes de dejar pasar al fw y nomas no funciona.

Asi que tuve que deshabilitar esa regla y pues el ultra surf ahorita lo tienen 3 o 4 usuarios funcionando sin problema, ya que se brinca todo.

Ok, se me ocurrió lo siguiente, solo que no sé si funcione dentro de la configuración que tengo ahora:

Cerrar el puerto 443 para todos y hacer un alias solo con las páginas que quiero dejar pasar a través de 443 por ejemplo bancos, correos, y páginas del trabajo.

El chiste es evitar la navegación por ip, solo que no sé si exista esa función en squid solamente...

Creo que tengo otra duda, pero ahorita no la recuerdo, ya que no la apunte, pero conforme vaya recibiendo respuestas o soluciones o guias, las ire posteando.

Espero me haya explicado bien.

Saludos y espero sus valiosos comentarios

 ???

Pages: [1] 2