[opensuse-es] squid y dansguardian trasparente para uno mismo
Cordial saludo. estoy activando squid+dansguardian para un sobrino que es un poco "curioso" la idea es bloquear lo maximo posible el contenido "feo" de Internet (solo hay un equipo con suse 10.2) el problema es que no se como activar el squid+dansguardian para que quede de forma transparente para ese equipo (si fuese pate de una red interna, seria facil) pero solo es un equipo y la opcion es que en la configuración del proxy de firefox o konqueror se ponga al localhost puerto 8080 (puerto en que escucha dansguardian) entonces quitarlo es facil solo hacer que firefox no tenga proxy, la pregunta es : hay forma de hacer que el dansguardian + squid trabajen de forma transparente. en un computador "stand alone" (sera que se escribe asi?) Jaime mV ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y m�viles desde 1 c�ntimo por minuto. http://es.voice.yahoo.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Lunes, 30 de Abril de 2007 21:32, Jaime Andres velez Osorio escribió:
Cordial saludo.
estoy activando squid+dansguardian para un sobrino que es un poco "curioso" la idea es bloquear lo maximo posible el contenido "feo" de Internet (solo hay un equipo con suse 10.2) el problema es que no se como activar el squid+dansguardian para que quede de forma transparente para ese equipo (si fuese pate de una red interna, seria facil) pero solo es un equipo y la opcion es que en la configuración del proxy de firefox o konqueror se ponga al localhost puerto 8080 (puerto en que escucha dansguardian) entonces quitarlo es facil solo hacer que firefox no tenga proxy, la pregunta es : hay forma de hacer que el dansguardian + squid trabajen de forma transparente. en un computador "stand alone" (sera que se escribe asi?)
* Me parece que estas mezclando conceptos con lo de transparente. * Si lo que quieres es que nadie se salte el proxy, tienes que hacer un par de acciones, una cargar el parametro http_proxy como variable de entorno general y dos obligar con el cortafuegos. * La una en /etc/profile o /etc/sysconfig/proxy que hace lo mismo PROXY_ENABLED="yes" HTTP_PROXY="http://laIPoFqdn:3128/" <--donde escucha squid * La dos /etc/sysconfig/SuSEfirewall2 FW_ROUTE="no" FW_MASQUERADE="no" FW_REDIRECT="0/0,0/0,tcp,80,3128" * Squid estara escuchando en una direccion y puerto y enviara, segun su configuracion, las peticiones al filtro Dansguardian que no es ni mas ni menos que un proxy padre o cache padre. * En la ip que tenga que escuchar squid (publica o privada) dependera de tu configuracion y asuncion de riesgos (te lo digo por lo de transparente).
El Miércoles, 2 de Mayo de 2007 12:53, jose maria escribió:
El Lunes, 30 de Abril de 2007 21:32, Jaime Andres velez Osorio escribió:
Cordial saludo.
estoy activando squid+dansguardian para un sobrino que es un poco "curioso" la idea es bloquear lo maximo posible el contenido "feo" de Internet (solo hay un equipo con suse 10.2) el problema es que no se como activar el squid+dansguardian para que quede de forma transparente para ese equipo (si fuese pate de una red interna, seria facil) pero solo es un equipo y la opcion es que en la configuración del proxy de firefox o konqueror se ponga al localhost puerto 8080 (puerto en que escucha dansguardian) entonces quitarlo es facil solo hacer que firefox no tenga proxy, la pregunta es : hay forma de hacer que el dansguardian + squid trabajen de forma transparente. en un computador "stand alone" (sera que se escribe asi?)
* Me parece que estas mezclando conceptos con lo de transparente.
* Si lo que quieres es que nadie se salte el proxy, tienes que hacer un par de acciones, una cargar el parametro http_proxy como variable de entorno general y dos obligar con el cortafuegos.
* La una en /etc/profile o /etc/sysconfig/proxy que hace lo mismo
PROXY_ENABLED="yes" HTTP_PROXY="http://laIPoFqdn:3128/" <--donde escucha squid
* La dos /etc/sysconfig/SuSEfirewall2 FW_ROUTE="no" FW_MASQUERADE="no" FW_REDIRECT="0/0,0/0,tcp,80,3128"
* Squid estara escuchando en una direccion y puerto y enviara, segun su configuracion, las peticiones al filtro Dansguardian que no es ni mas ni menos que un proxy padre o cache padre.
* En la ip que tenga que escuchar squid (publica o privada) dependera de tu configuracion y asuncion de riesgos (te lo digo por lo de transparente).
No, a lo mejor no entiendes, tengo un solo computador uno solo con SuSE 10.2 quiero controlar lo que un niño puede y no puede ver en internet con ese computador, para eso instale dansguardian y squid (gran filtro de internet), si pongo que en firefox el proxy a apuntar a localhost : 8080 funciona dansguardian, pero si quito esto y le pongo en el firefox salida directa a internet (en la configuración de firefox) pues se sale a internet y el dansguardian .. ni se entera, entonces para un niño curioso saltarse eso es muy facil, lo que quiero es que le quede complicado.. pero veo que pones algo en SuSEfirewall que no habia tenido en cuenta, voy a probar y te aviso la idea es.. no se si esta claro.. solo hay un computador.. no red interna.. no servidor proxy externo, no nada de nada. se que no es obligatorio contestar... caramba pero si alguien me da luces, quedo full agradecido Jaime V ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Miércoles, 2 de Mayo de 2007 20:46, Jaime Andres velez Osorio escribió:
No, a lo mejor no entiendes, tengo un solo computador uno solo con SuSE 10.2 quiero controlar lo que un niño puede y no puede ver en internet con ese computador, para eso instale dansguardian y squid (gran filtro de internet), si pongo que en firefox el proxy a apuntar a localhost : 8080 funciona dansguardian, pero si quito esto y le pongo en el firefox salida directa a internet (en la configuración de firefox) pues se sale a internet y el dansguardian .. ni se entera, entonces para un niño curioso saltarse eso es muy facil, lo que quiero es que le quede complicado.. pero veo que pones algo en SuSEfirewall que no habia tenido en cuenta, voy a probar y te aviso
la idea es.. no se si esta claro.. solo hay un computador.. no red interna.. no servidor proxy externo, no nada de nada.
* Yo si he entendido pero proxy transparente como su propio nombre indica significa transparente sin que por el medio se puedan hacer acciones por ejemplo autentificar, poner a escuchar el proxy en el puerto de destino (80) obligar con el cortafuegos y asi no ser necesaria la configuracion del navegador sean uno o 20, es decir estas mezclando dos conceptos diferentes que pueden ser complementarios o no, una es obligar a alguien a que por narices navegue por un proxy (esto has de hacerlo con el cortafuegos), y otra que navegue por narices por un proxy (lo mismo que lo anterior) y ademas el proxy este configurado en modo transparente, cuestiones diferentes.
se que no es obligatorio contestar... caramba pero si alguien me da luces, quedo full agradecido
* Yo te quedaria full agradecido con que te leyeras el anterior mensaje y entendieras lo que te pongo, que es ni mas ni menos lo que tienes que hacer en tu UNICA maquina.
El Miércoles, 2 de Mayo de 2007 14:01, jose maria escribió:
El Miércoles, 2 de Mayo de 2007 20:46, Jaime Andres velez Osorio escribió:
No, a lo mejor no entiendes, tengo un solo computador uno solo con SuSE 10.2 quiero controlar lo que un niño puede y no puede ver en internet con ese computador, para eso instale dansguardian y squid (gran filtro de internet), si pongo que en firefox el proxy a apuntar a localhost : 8080 funciona dansguardian, pero si quito esto y le pongo en el firefox salida directa a internet (en la configuración de firefox) pues se sale a internet y el dansguardian .. ni se entera, entonces para un niño curioso saltarse eso es muy facil, lo que quiero es que le quede complicado.. pero veo que pones algo en SuSEfirewall que no habia tenido en cuenta, voy a probar y te aviso
la idea es.. no se si esta claro.. solo hay un computador.. no red interna.. no servidor proxy externo, no nada de nada.
* Yo si he entendido pero proxy transparente como su propio nombre indica significa transparente sin que por el medio se puedan hacer acciones por ejemplo autentificar, poner a escuchar el proxy en el puerto de destino (80) obligar con el cortafuegos y asi no ser necesaria la configuracion del navegador sean uno o 20, es decir estas mezclando dos conceptos diferentes que pueden ser complementarios o no, una es obligar a alguien a que por narices navegue por un proxy (esto has de hacerlo con el cortafuegos), y otra que navegue por narices por un proxy (lo mismo que lo anterior) y ademas el proxy este configurado en modo transparente, cuestiones diferentes.
se que no es obligatorio contestar... caramba pero si alguien me da luces, quedo full agradecido
* Yo te quedaria full agradecido con que te leyeras el anterior mensaje y entendieras lo que te pongo, que es ni mas ni menos lo que tienes que hacer en tu UNICA maquina.
Gracias por tu respuesta, pero no no funciona, ( no como yo quiero) y lo que quiero es que quede transparente, si pones en la configuración del proxy en el archivo /etc/sysconfig/proxy.. por definición, ya no es transparente, si me toca ponerlo en el navegador.. ya el proxy no es transparente, repito la cosa funciona, pero no en modo transparente (aunque tengo squid configurado para eso), se que el problema es de cortafuegos, pero SuSEfirewall no hace lo que quiero, me tocara redirijir con iptables que es lo que estoy tratando de evitar... Jaime V ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Miércoles, 2 de Mayo de 2007 21:51, Jaime Andres velez Osorio escribió:
* Yo te quedaria full agradecido con que te leyeras el anterior mensaje y entendieras lo que te pongo, que es ni mas ni menos lo que tienes que hacer en tu UNICA maquina.
Gracias por tu respuesta, pero no no funciona, ( no como yo quiero) y lo que quiero es que quede transparente, si pones en la configuración del proxy en el archivo /etc/sysconfig/proxy.. por definición, ya no es transparente, si me toca ponerlo en el navegador.. ya el proxy no es transparente, repito la cosa funciona, pero no en modo transparente (aunque tengo squid configurado para eso), se que el problema es de cortafuegos, pero SuSEfirewall no hace lo que quiero, me tocara redirijir con iptables que es lo que estoy tratando de evitar...
* Pues en mi opinion si quieres combinar squid como proxy transparente+redirector a filtro dansguardian, en una sola maquina se precisa hacer nat, seria configurar otra ip virtual en la tarjeta de red (como si tuvieras otra maquina) seguramente mejor añadiendo otra tarjeta y que dansguardian escuche solamente en esa ip, configurar squid en modo transparente, denegar todo el trafico que no provenga de localhost en las acl de squid, redirigir las peticiones con destino puerto 80 al puerto de escucha de dansguardian en el cortafuegos, activar el reenvio y una regla que permita la vuelta/envio de dansguardian a squid y seguro que se me olvida algo para que no se cree un bucle, en fin una movida cuando lo suyo es evitar la transparencia, en cualquier caso se puede impedir (kiosk) en kde u otras tecnicas para que el usuario no pueda reconfigurar el proxy (que por otra parte no le serviria de nada, no podria navegar). * Y ya sin animo de polemizar sobre la intencion del invento, estas cosas estan bien para evitar trafico indeseable por su contenido en sitios con grandes volumenes de usuarios (es decir evitar volumen de trafico que por su contenido no ha lugar, en mi opinion tampoco sin dramatizar o dedicarle excesivo tiempo, ya que estas cosas hay que mantenerlas al dia), porque a poco que investigue tu hijo (tanto como que se reunan a merendar unos cuantos) vera contenido que tu no quieras que vea en tu maquina o en la del vecino y al primer pantallazo se dara cuenta de la jugada, pasa del filtro y audita con sarg u otro los sitios visitados y comenta el asunto con el sobre el porque de las cosas, si se resiste crea un acl que revise un fichero donde tu iras incluyendo para denegar aquellos sitios/ip/dominios de forma personalizada si se sigue resistiendo se le deniega, si crees que es lo acertado, el acceso a internet, por que a la idea se te escapa un mundo, el correo electronico con fotografias y videos, los chats (que esto si que atonta una barbaridad), los ftps y sitios de almacenamiento gratuito remoto, las news, las maquinas de los amigos, etc, etc ......
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-05-03 a las 04:41 +0200, jose maria escribió:
vecino y al primer pantallazo se dara cuenta de la jugada, pasa del filtro y audita con sarg u otro los sitios visitados y comenta el asunto con el sobre el porque de las cosas, si se resiste crea un acl que revise un fichero donde tu iras incluyendo para denegar aquellos sitios/ip/dominios de forma personalizada si se sigue resistiendo se le deniega, si crees que es lo acertado, el acceso a internet, por que a la idea se te escapa un mundo, el correo electronico con fotografias y videos, los chats (que esto si que atonta una barbaridad), los ftps y sitios de almacenamiento gratuito remoto, las news, las maquinas de los amigos, etc, etc ......
Me suena haber oído de filtrado en el ISP. No presté atención, creo que lo hace tesa, pero lo que no se es si es un filtrado por parte de ellos en sus máquinas o es que te venden un programa para windows que te lo actualizan periodicamente, que es lo mismo que hacen con su oferta de cortafuegos y antivirus. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGObPEtTMYHG2NR9URAhHyAKCCXEQpiz3i4OnE8Y2TGNTWP5QJ4ACeL6/r 87ObKAKGSPOnJ9SyLap55cY= =VcHZ -----END PGP SIGNATURE-----
* Y ya sin animo de polemizar sobre la intencion del invento, estas cosas estan bien para evitar trafico indeseable por su contenido en sitios con grandes volumenes de usuarios (es decir evitar volumen de trafico que por su contenido no ha lugar, en mi opinion tampoco sin dramatizar o dedicarle excesivo tiempo, ya que estas cosas hay que mantenerlas al dia), porque a poco que investigue tu hijo (tanto como que se reunan a merendar unos cuantos) vera contenido que tu no quieras que vea en tu maquina o en la del vecino y al primer pantallazo se dara cuenta de la jugada, pasa del filtro y audita con sarg u otro los sitios visitados y comenta el asunto con el sobre el porque de las cosas, si se resiste crea un acl que revise un fichero donde tu iras incluyendo para denegar aquellos sitios/ip/dominios de forma personalizada si se sigue resistiendo se le deniega, si crees que es lo acertado, el acceso a internet, por que a la idea se te escapa un mundo, el correo electronico con fotografias y videos, los chats (que esto si que atonta una barbaridad), los ftps y sitios de almacenamiento gratuito remoto, las news, las maquinas de los amigos, etc, etc ......
Mil gracias por su ayuda.. ya lo solucione, y como sospechaba SuSEfirewall2 en este caso particular no funciona.. el diseño del Firewall de SUSE "me parece" que esta enfocado a servir a una red interna, cosa que no es mi caso, porque tengo uno y solo un computador/ordenador, buscando encontre el cortafuegos Firehol el rpm es pasa redhat 7.0 pero como solo es un script funciona bien en SuSE, y este si hace el milagro de redirigir las peticiones de uno mismo, con esto pude redirigir las peticiones del puerto 80 al puerto 8080 de dansguardian, se que no se puede tapar el sol con una mano... ni con las dos, pero tampoco se lo voy a dejar "facilito", como padre de familia, agresco cualquier ayuda en el control de lo que mis hijos aprenden, supongo que este sera el mismo caso de varios de la lista a quines si interesa, mas tarde escribire la solución que encontre y que es muy pero muy facil de implementar. Jaime V ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-05-03 a las 10:47 -0500, Jaime Andres velez Osorio escribió:
Mil gracias por su ayuda.. ya lo solucione, y como sospechaba SuSEfirewall2 en este caso particular no funciona.. el diseño del Firewall de SUSE "me parece" que esta enfocado a servir a una red interna,
Tampoco... es un cortafuegos de uso general. Mira, parece que antes tenía una variable llamada "FW_SERVICE_SQUID", o sea, pensaron en el squid. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGOoDUtTMYHG2NR9URAoX3AJ943yOY002RsXkFSl0vjvDTNz/UZACfdAs5 DleFqnnRTQymJVeLMrtU6dc= =Ii2W -----END PGP SIGNATURE-----
El Jueves, 3 de Mayo de 2007 19:39, Carlos E. R. escribió: Como lo dije bueno.. el SuSEfirewall2 nofunciona para este caso particular, como lo resolvi, Intale un nuevo cortafuegos personal de nombre firehol esta en http://firehol.sourceforge.net/ el rpm que instale es firehol-1.226-rh7up.noarch.rpm funciona bien para suse 10.2 y 10.1 la configuración de firehol se basa en un archivo en /etc/firehol/firehol.conf queda asi # # $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $ # # This configuration file will allow all requests originating from the # local machine to be send through all network interfaces. # # No requests are allowed to come from the network. The host will be # completely stealthed! It will not respond to anything, and it will # not be pingable, although it will be able to originate anything # (even pings to other hosts). # version 5 iptables -t filter -I OUTPUT -d 127.0.0.1 -p tcp --dport 3128 -m owner ! --uid-owner nobody -j DROP transparent_squid 8080 "squid root" interface any world policy drop protection strong client all accept # fin archivo firehol.conf la linea iptables impode que te vueles/saltes/brinques el dansguardian e intentes conectarte directamente a squid la linea transparent_squid 8080 "squid root" indica que esta corriendo dansguardian y escucha en el puerto 8080 squid se debe configurar para escuchar el el puerto defaul 3128 y en modo transparente. el caso estudiado es 1 solo computador/ordenador conectado directamente a internet. Jaime V ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Miércoles, 2 de Mayo de 2007 12:53, jose maria escribió:
El Lunes, 30 de Abril de 2007 21:32, Jaime Andres velez Osorio escribió:
Cordial saludo.
estoy activando squid+dansguardian para un sobrino que es un poco "curioso" la idea es bloquear lo maximo posible el contenido "feo" de Internet (solo hay un equipo con suse 10.2) el problema es que no se como activar el squid+dansguardian para que quede de forma transparente para ese equipo (si fuese pate de una red interna, seria facil) pero solo es un equipo y la opcion es que en la configuración del proxy de firefox o konqueror se ponga al localhost puerto 8080 (puerto en que escucha dansguardian) entonces quitarlo es facil solo hacer que firefox no tenga proxy, la pregunta es : hay forma de hacer que el dansguardian + squid trabajen de forma transparente. en un computador "stand alone" (sera que se escribe asi?)
* Me parece que estas mezclando conceptos con lo de transparente.
* Si lo que quieres es que nadie se salte el proxy, tienes que hacer un par de acciones, una cargar el parametro http_proxy como variable de entorno general y dos obligar con el cortafuegos.
* La una en /etc/profile o /etc/sysconfig/proxy que hace lo mismo
PROXY_ENABLED="yes" HTTP_PROXY="http://laIPoFqdn:3128/" <--donde escucha squid
* La dos /etc/sysconfig/SuSEfirewall2 FW_ROUTE="no" FW_MASQUERADE="no" FW_REDIRECT="0/0,0/0,tcp,80,3128"
* Squid estara escuchando en una direccion y puerto y enviara, segun su configuracion, las peticiones al filtro Dansguardian que no es ni mas ni menos que un proxy padre o cache padre.
* En la ip que tenga que escuchar squid (publica o privada) dependera de tu configuracion y asuncion de riesgos (te lo digo por lo de transparente).
ya probé lo de cortafuegos y no funciona la cosa. Jaime V ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Carlos E. R. -
Jaime Andres velez Osorio -
jose maria