Squid no filtra con mozilla y chrome

[William Romero]

Hola lista.

Salto un problema hace una semana  , el cual hace referencia con squid , y es con IE 10 o 9 , funciona bien el filtrado de facebook y youtube que bloquea.
adicinonalmente agregre una reglas a mi firewall para que bloque dichas paginas.
pero ahora los usuarios se dieron cuenta que cuando navegan con chrome o mozilla , pueden seguir navegando a dichas paginas.

alguien ah tenido problema con filtrado de squid.

saludos

WRC
     

[Flako]

Hola, estas usando proxy trasparente o proxy normalito?

squid se lleva bien con FF, te debe faltar configurar algo en el FF, asegurate que tenga configurado el modo proxy.

[Camaleón]

El Thu, 07 Aug 2014 03:54:42 -0400, William Romero escribió:

> Hola lista.

Hola, recuerda desactivar el html.

Mejor si dices qué tipo de filtro has configurado en Squid porque parece
que hay alguna regla que no esté del todo fina. En principio el navegador
que se use es indiferente además de que esos dos sitios van por tráfico
cifrado.

Saludos,

--
Camaleón


--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/pan.2014.08...@gmail.com

[William Romero]

>
>> Hola lista.
>
> Hola, recuerda desactivar el html.
>
>> Salto un problema hace una semana , el cual hace referencia con squid ,
>> y es con IE 10 o 9 , funciona bien el filtrado de facebook y youtube que
>> bloquea.
>> adicinonalmente agregre una reglas a mi firewall para que bloque dichas
>> paginas.
>> pero ahora los usuarios se dieron cuenta que cuando navegan con chrome o
>> mozilla , pueden seguir navegando a dichas paginas.
>>
>> alguien ah tenido problema con filtrado de squid.
>
> Mejor si dices qué tipo de filtro has configurado en Squid porque parece
> que hay alguna regla que no esté del todo fina. En principio el navegador
> que se use es indiferente además de que esos dos sitios van por tráfico
> cifrado.
>
> Saludos,
>
> --
> Camaleón
>

se me olvido dar el detalle de estoñ , tengo squid transparente y mi configuracion de esto funciona sin problemas solo en IE9 o IE 10.
el problema que tengo es con los navegadores como chrome y mozilla pues ellos si pueden navegar a las paginas como facebook.

saludos

WRC

--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/BAY177-W29337C332...@phx.gbl

[Camaleón]

El Thu, 07 Aug 2014 12:42:43 -0400, William Romero escribió:

(...)

>>> Salto un problema hace una semana , el cual hace referencia con squid
>>> ,
>>> y es con IE 10 o 9 , funciona bien el filtrado de facebook y youtube
>>> que bloquea.
>>> adicinonalmente agregre una reglas a mi firewall para que bloque
>>> dichas paginas.
>>> pero ahora los usuarios se dieron cuenta que cuando navegan con chrome
>>> o mozilla , pueden seguir navegando a dichas paginas.
>>>
>>> alguien ah tenido problema con filtrado de squid.
>>
>> Mejor si dices qué tipo de filtro has configurado en Squid porque
>> parece que hay alguna regla que no esté del todo fina. En principio el
>> navegador que se use es indiferente además de que esos dos sitios van
>> por tráfico cifrado.
>>
>>

> se me olvido dar el detalle de estoñ , tengo squid transparente y mi
> configuracion de esto funciona sin problemas solo en IE9 o IE 10.
> el problema que tengo es con los navegadores como chrome y mozilla pues
> ellos si pueden navegar a las paginas como facebook.

Se te olvidó enviar los datos de la configuración de tu squid y las
reglas de filtrado que usas.

Saludos,

--
Camaleón

--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/pan.2014.08...@gmail.com

[Flako]

El 7 de agosto de 2014, 13:42, William Romero <wrom...@hotmail.com> escribió:

>
>> Hola lista.
>
> Hola, recuerda desactivar el html.
>
>> Salto un problema hace una semana  , el cual hace referencia con squid ,
>> y es con IE 10 o 9 , funciona bien el filtrado de facebook y youtube que
>> bloquea.
>> adicinonalmente agregre una reglas a mi firewall para que bloque dichas
>> paginas.
>> pero ahora los usuarios se dieron cuenta que cuando navegan con chrome o
>> mozilla , pueden seguir navegando a dichas paginas.
>>
>> alguien ah tenido problema con filtrado de squid.
>

 

se me olvido dar el detalle de estoñ , tengo squid transparente y mi configuracion de esto funciona sin problemas solo en IE9 o IE 10.

el problema que tengo es con los navegadores como chrome y mozilla pues ellos si pueden navegar a las paginas como facebook.

Una instalación por default, no debería diferenciar los navegadores, intenta ver en los log del squid si el FF esta pasndo por el squid o esta pasando en forma directa.

tambien configura el FF para que pase por el proxy (el normalito) y fijate si filtra el squid.

Otra que se me ocurre es que te fijes si el FF te pasan las http o las https sin filtrar (para descartar situaciones)

Y como dice camaleon, sin archivo de configuración ya no se que mas... ya estoy por hacer un curso de omnisciencia :) Ja

 

[William Romero]

Gracias todos por sus respuestas , lo que tengo es lo siguiente :

en archivo squid .conf

hay essto que algo que tal vez ustedes lo han puesto:

en el FW tengo esto :

##### AGREGANDO LA REGLA PARA SQUID ###########

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "SQUID"

##########FACEBOOK ##################

iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP

luego en las reglas mi squid .

#########################################################
http_port 3128 transparent
http_port 192.168.100.7:3128 transparent
cache_mem 2048 MB
cache_dir ufs /var/spool/squid 2048 16 256
visible_hostname =localhost

###################################################################

acl corilred src "/etc/squid/grupo1"
acl permitidos src "/etc/squid/permitidos"
acl confiable url_regex "/etc/squid/confiable"
acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados"
acl typesbloq url_regex -i \.mp3$ \.avi$ \.wma$ \.wav$ \.ogg$ \.acc$ \.wma$ \.wmv$ \.asf$ \.mpg$ \.flv$

#####################################################################
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591        # filemaker
#acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

hasta hi todo va bien , si es que navego con IE9 o IE10 me bloque el face y el yotube , pero con los demas navegadores no lo hace.

estube revisando alguan informacion y es que tal parace que tengo que instalar DANSGUARDIAN
que opinan ustedes.

saludos

WRC

>
>
>


--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/BAY177-W26077CDD4...@phx.gbl

[Gonzalo Rivero]

juraría que squid no funcionaba en modo transparente con https (no se si
ya cambió eso).

Y además creo que firefox usa el sitio con https si encuentra eso. Tal
vez el chrome se comporte igual. Y el ie no. Pero este último párrafo es
solo especulación, tal vez alguien confirme o refute


> saludos
>
> WRC
> >
> >
> >
>
>


--
(-.(-.(-.(-.(-.(-.-).-).-).-).-).-)

--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/1407499540....@eeepc.ucasal.ar

[Gonzalo Rivero]

se me pasó esta parte, ¿no tendrás antes de estas una regla que las
anule?. Por ejemplo, si tenés antes una regla que sea: todo el tráfico
https permitido, estas dos no se evalúan, porque ya se cumplió la regla
anterior.

Archive: https://lists.debian.org/1407499848....@eeepc.ucasal.ar

[Flako]

Lo mismo, por eso preguntaba por lo de probar http y https.. (yo lo descubrí por la malas..), para mi le esta pasando directo el https porque squid no es proxy https.

> > iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP
> > iptables -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP

Estas raglas no hacen nada.., en  https  no se puede inspeccionar el contenido del trafico como para hacer un filtro por string, si queres bloquear https tenes que usar IP, y esto hace que sea casi imposible hacerlo con los servidores de la nube (por el cambio constante de ip).

El filtro de https por ip lo intente implementar, pero a la larga te das cuenta que no es una solución, actualmente en linux lo mejor es usar proxy comun., te configuras wpad y te queda automático la configuración de proxy.



.

[kazabe]

Si realmente quieres controlar, la opcion realmente practica es que
los usuarios tengan el proxy configurado; ya sea manualmente o con
wpad.

Dansguardian no aportara nada si de todos modos estan pasandose el
proxy con solo acceder a algun https.

saludos
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein

--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/CAGdipiAAWp0hHJzyMEYbHpj...@mail.gmail.com

[William Romero]

Gracias por sus respuesta , no me queda otra que trabajar en las reglas de iptables.

saludos

WRC

>


--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/BAY177-W34482FED0...@phx.gbl

[Flako]

El 8 de agosto de 2014, 13:13, William Romero <wrom...@hotmail.com> escribió:

Gracias por sus respuesta , no me queda otra que trabajar en las reglas de iptables.

saludos


WRC

>

Hola,
    La verdad es que no se puede hacer filtrado de https con proxy transparente de forma simple en linux, pero es algo que tenes que descubrir (comprender) por vos mismo, la solución de  filtrar https por iptables no te va a servir, porque para hacerlo tenes que cargar todas las ip posibles por cada dominio https://dominio.com, y todas las ip de cada link que tiene la pagina.
    Diras eso es fácil, pero muchos  dominios ahora cambian su ip durante el tiempo (puede ser minutos), esto lo hacen por diversas razones (carga, de lugar, etc). Es decir el dominio googlehosted.l.googleusercontent.com hoy me devuelve  173.194.42.106, 173.194.42.107, 173.194.42.108 pero dentro de 10min van a ser otras ip.  (fijate hay un mail de hace meses con el mismo tema y  tiene el mismo dominio como ejemplo y vas a ver que son otras ips)  
    Con todo esto vas a tener que estar actualizando tus filtros de https cada cierto intervalos para tener las nuevas ip, esto hace que filtrar https con iptables no sea una solución, aunque vos le dediques todo el tiempo, solo te va  a dar dolores de cabeza y mas parches sobre parches.

  Hay router-firewal que lo hacen, como fortigate que filtra https con nat (proxy traspararente), no se como lo hacen, pero una opción es que el router se combierta en  Man in the Middle de una forma similar a  http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https   (si lo implementas comenta como va)

  Saludos.