Netgate SG-1000 microFirewall

Author Topic: Bloquear youtube por usuarios(no ip) LDAP  (Read 224 times)

0 Members and 1 Guest are viewing this topic.

Online projas123.

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Bloquear youtube por usuarios(no ip) LDAP
« on: December 19, 2017, 08:02:12 am »
Buenas tardes compañeros primero que nada, muchas gracias por el foro, me ha ayudado mucho, siempre los leo.

Ahora a lo que vamos; Trabajo en el area de redes, servidores y seguridad en una empresa de mas de 700 usuarios, tengo un problema con el pfsense, voy con Proxy No transparente, tengo bloqueadas varias paginas por squid Guard, ejem Facebook, twiter, amazon, mercadolibre, etc, me va bien ahi, mi tipo de autentificacion es con LDAP, tengo un servidor aparte en linux, hago la peticion y todo fino, los grupos de usuarios los creo en las ACL de SQG y les asigno un tipo de bloqueo en las target Rules; xq hay usuarios como por ejemp compras que necesita ML, Ebay y esas pag, y hay otros como asuntos publicos que necesitan YOUTUBE, y es ahi que viene mi problema, yo no quiero que toda la torre vea youtube, quiero restringirlo; los usuarios aprenden IP por DHCP, y no me guistaria tener que colocarles IPs estaticas.

Por ahora lo que tengo es con bloqueo con Squid por dominio .youtube.com y todo fino, pero bloquea a toda la torre, no veo la forma

Offline elbocha01

  • Full Member
  • ***
  • Posts: 177
  • Karma: +4/-0
  • Vive la vida como te guste!
    • View Profile
Re: Bloquear youtube por usuarios(no ip) LDAP
« Reply #1 on: December 19, 2017, 03:19:44 pm »
desde mi poco conocimiento con lo que tenes que hacer especificamente, no tenes forma de meter un alias con el segmento de ip, o armar en tu red un tipo de jerarquia?
Troncales de Fibra Óptica? O.o en que me estoy metiendo?
La Felicidad es como el aroma de un buen vino, solo dura en el presente que este esta en la copa!

Offline periko

  • Hero Member
  • *****
  • Posts: 1213
  • Karma: +17/-1
  • pheriko
    • View Profile
    • Soporte de Pfsense y Linux
Re: Bloquear youtube por usuarios(no ip) LDAP
« Reply #2 on: December 20, 2017, 01:44:18 am »
 Pues no entiendo el problema bien claro, asignas IP's por DHCP, tienes un LDAP para autenticar usuarios.
 Digo tienes todo para poder hacer lo que necesitas segun leo.
 
 Si es una joda crear las ACL pero es cosa de una vez armar todo lo que necesitas pero una vez hecho es solo cosa de mantenerlo.

 Es una empresa, puedes armar los ACL por departamento, grupo de app's, etc, etc.

 Ahora el DHCP puedes asignar las IP's fijas a cada usuario esto te ahorraria mucha tarea ya que casas IP+usuario y de esa manera no hay como le haga para que se escape es usuario.

 O si das mas detalles del problema a lo mejor y podemos aportar algo a tu problema, saludos.
Necesitan Soporte de Pfsense en Mexico?/Need Pfsense Support in Mexico?
https://www.facebook.com/BajaOpenSolutions
Estamos en Tijuana, pero no es obstaculo para brindarte nuestro servicio.
We are in Tijuana, but is not an obstacle to give you support.

Online projas123.

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Bloquear youtube por usuarios(no ip) LDAP
« Reply #3 on: December 20, 2017, 05:20:35 am »
Dejame ver si me explico mejor, tengo un servidor aparte en Linux que me reparte el DHCP, tengo otro que me da la autentificacion con el LDAP, el pfsense solo lo estoy usando como PROXY, es decir practicamente el no tiene las IPS, solo las definidas que pasaran por el proxy, debido a que actualmente poseemos un proxy crudo en debian, pero por asuntos de querer hacerlo mas amigable para los nuevos administradores de red de la empresa, estamos implementando el PFSENSE.

Repito mi problema entonces, tengo bloqueadas la mayoria de paginas que quiero por el SquidG. la que me esta dando problemas es el youtube, y es la principal que quiero bloquear(no para todos).

Tengo proxy No Transparente, debido a que he leido que con el Transparente existe problema de autentificacion.

Es posible hacer lo que quiero? Si no para implementar otro soft.

Mil gracias por las respuestas brindadas.

Offline loquitoslack

  • Jr. Member
  • **
  • Posts: 42
  • Karma: +2/-0
  • Loquitoslack
    • View Profile
    • El rincón de LoquitoSlack
Re: Bloquear youtube por usuarios(no ip) LDAP
« Reply #4 on: December 20, 2017, 07:40:27 am »
Estimado, de acuerdo a lo que indicas el pfsense puede restringir el dominio youtube.com y/o googlevideo.com siempre y cuando tu dhcp ( hallas registrado las MACS por IP ) y sin ningún inconveniente va a reliazar los solicitado, si anteriormente tenias un Servidor Linux y restringías youtube con pfsense vas a poder realizar lo mismo ya que son los mismos paquetes ( squid y squidguard)

Atentamente
loquitoslack
"Solo se que nada se, y por eso aprendo aprendo aprendo...!!!"

Online projas123.

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Bloquear youtube por usuarios(no ip) LDAP
« Reply #5 on: December 21, 2017, 05:58:07 am »
Buenas tardes LoquitoS, desde que google cambio todos sus dominios a https, el youtube no lo logre bloquear mas, cuando todo era http si logre bloquearlo, tengo como 6 meses con el youtube libre, en estos momentos tengo proxy transparente, pero como dije antes crudo en un debian, aqui usamos soft libre 100%.

La uncia forma de bloquear el youtube por pfsense, que medio me sirve, es bloquerlo por dominio por squid, pero como menciono antes, me bloquea a toda la torre, quiero una forma de bloquearlo por usuario, como si lo hago con el SG con la autentificacion del LDAP.

Gracias de antemano, por leerme.

Offline periko

  • Hero Member
  • *****
  • Posts: 1213
  • Karma: +17/-1
  • pheriko
    • View Profile
    • Soporte de Pfsense y Linux
Re: Bloquear youtube por usuarios(no ip) LDAP
« Reply #6 on: December 23, 2017, 02:58:23 pm »
  Proxy transparente no podras hacerlo, ni SG te ayudara es pelea perdida.
  Si es no transparente con o sin auth te va a funcionar.
  Si tienes problemas enviame un mensaje y vemos si podemos apoyarte, saludos.
Necesitan Soporte de Pfsense en Mexico?/Need Pfsense Support in Mexico?
https://www.facebook.com/BajaOpenSolutions
Estamos en Tijuana, pero no es obstaculo para brindarte nuestro servicio.
We are in Tijuana, but is not an obstacle to give you support.