pfSense Support Subscription

Author Topic: Ayuda Squid transparente  (Read 613 times)

0 Members and 1 Guest are viewing this topic.

Offline cablandon89

  • Newbie
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Ayuda Squid transparente
« on: May 18, 2017, 11:20:48 pm »
Buenas tardes colegas

En los ultimos dias he estado tratando de configurar squid en modo transparente para hacer ciertos bloqueos en 2 rangos de red distintos, me guié con un manual que vi en el foro y hasta el momento todo funciona, pero solo si agrego la IP y el puerto en los navegadores, el problema radica en que varios usuarios no son fijos y no se les puede configurar el navegador y desconfigurar cada que llegan por eso lo necesito transparente.
Mi configuración:
RED 192.168.2.0/24
DHCP 192.168.2.10-99
Lista blanca Solo en estas páginas se puede navegar (Solo paginas laborales)
Lista negra Ningún equipo puede entrar a estas páginas (Páginas xxx y algunas bloqueadas por politicas de la empresa )
Usuarios limitados 192.168.2.100-111 (solo pueden navegar por la lista blanca)
Usuarios ilimitados 192.168.2.10-99 (tienen libertad de navegación a excepción de la lista negra)

La configuración la hice con squid y squidguard guiandome con este manual (http://www.bellera.cat/josep/pfsense2/tutorial-simple-squid-squidguard.pdf)

Gracias por la ayuda

Offline j.sejo1

  • Full Member
  • ***
  • Posts: 240
  • Karma: +30/-2
    • View Profile
Re: Ayuda Squid transparente
« Reply #1 on: May 19, 2017, 11:30:03 am »
no cambia nada.

Solo que al ser transparente,  las PC o dispositivos deben tener como default gateway al Pfsense.


Saludos.

Offline win_bar

  • Full Member
  • ***
  • Posts: 108
  • Karma: +10/-5
    • View Profile
Re: Ayuda Squid transparente
« Reply #2 on: May 19, 2017, 08:45:24 pm »
Bueno, el tema de las ACL no cambia, pero para usar el modo transparente deforma eficiente (Filtrar trafico HTTP y HTTPS) debe configurar Man In the middle y hacer la configuración de certificado (Ojala PAGO) luego debe ser puesto en todos los equipos que componen la red.

Se me hace un poco complejo

Le recomendaría explorar el asunto con WPAD, el cual hace que el proxy se auto configure en sus navegadores sin intervenirlos uno a uno 

Consulte el siguiente Link como referencia:

https://forum.pfsense.org/index.php?topic=109927.0

Offline cablandon89

  • Newbie
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Re: Ayuda Squid transparente
« Reply #3 on: May 27, 2017, 02:56:26 pm »
Bueno al fin no hice nada de cambios, lo único que se hizo fué que a los pcs que debían ser bloqueados simplemente se les configuro el proxy y los otros funcionan normal sin bloqueos, ahora el problema es que los pcs que están bloqueados no les permite descargar los datos adjuntos desde el correo electrónico

Offline rochi_b

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Ayuda Squid transparente
« Reply #4 on: July 06, 2017, 01:19:21 pm »
Hola, es un BUG de la versión del Pfsense o  del Squid creo, a  mi tampoco me funciona el modo transparente, de ninguna forma, ya reinstale, le busque todos los lados posibles, debería ser una cosa tan sencilla habilitar el modo  transparente como siempre lo fue, pero no  funciona, solo colocando el proxy en los navegadores.

Alguna luz  con este tema ?

Offline rochi_b

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Ayuda Squid transparente
« Reply #5 on: July 06, 2017, 03:00:02 pm »
Otra info, en la version i386 funciona todo  perfectamente..  :(

Offline moltrabella

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Ayuda Squid transparente
« Reply #6 on: July 11, 2017, 03:29:19 pm »
Si no te entendí mal solo te filtra cuando configuras el acceso mediante el proxy, es decir, agregar la ip y el puerto a las opciones de internet. Si es así y no podes configurarlo a mano por ser muchas pcs tenes 3 opciones

1) depende de que los navegadores tengan una opción tildada que no es default pero si es un dominio por GPO podes activarla. https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-force-proxy-settings-via-group-policy.aspx

Arma algún archivo de autoconfiguracion WPAD, si los equipos tienen la opción de autoconfiguracion (que activarias mas arriba) van a buscar el archivo en la red y van a levantar la configuración automáticamente. https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid aca te dejo algo de info.

2) Podes ver de configurar el proxy por GPO directamente, yo lo hice pero no me funciono en todos los equipos, puntualmente en los de windows 7 no funciono pero si en xp. https://campus.barracuda.com/product/websecurityservice/article/WSS/ConfigureProxyUsingGP/

3) Y sino la ultima opción que use y la que mejor me resulto fue crear un script de autoconfiguracion, no es mas que un simple bat que deje para que corra con el login de cada usuario dentro del dominio aunque también podes pasarle el bat al usuario y que lo corra a mano, podes dejarle uno para configurar tu proxy y otro para desactivarlo, para que cuando este en la red labure a través del proxy y cuando no este pueda desactivarlo y salir directo.



-----------------------------------------
Creación y configuración del proxy
----------------------------------------

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v MigrateProxy /t REG_DWORD /d 1 /f

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyHttp1.1 /t REG_DWORD /d 1 /f

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d http://IPPROXY:PUERTO /f

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /t REG_SZ /d "<local>" /f

exit

--------------------------------




-------------------------------
Desactivar proxy
-------------------------------

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f

exit
----------------------------




Copia solo las llaves de registro y guardalo como un archivo .bat y vas a poder activar y desactivar el proxy desde ahi.

Espero que te sirva.

Saludos