pfSense: Bloquear Facebook, Youtube y Netflix con Squid Proxy
Вставка
- Опубліковано 2 сер 2020
- Este vídeo es una muestra de solución en caso si el squidGuard NO está bloqueando del TODO las Listas Negras de los Grupos ACLs. Para ello, fue necesario crear y utilizar otras ACLs para bloquear Facebook, UA-cam y Netflix debido a que estos tres sitios web seguros por lo general son los dominios críticos a la hora de bloquear dichos dominios.
Únete a la membresía del canal para acceder a más beneficios:
/ @robertomurillo
Algunos componentes de mi PC de Trabajo:
=====================================================
XFX Radeon RX 580 GTS: amzn.to/3VBAGmW
Logitech G502 HERO: amzn.to/3VOV1Wh
SAMSUNG 870 EVO SATA SSD 500GB 2.5: amzn.to/3KE2Qrl
PayPal
=====================================================
PayPal: cutt.ly/vgGbPsr
Redes Sociales
=====================================================
Facebook: cutt.ly/wgGbnnp
Twitter: cutt.ly/3gGbWeG
LinkedIn: cutt.ly/9gGbTKc - Наука та технологія
excelente video amigo !!! te felicito, sigue así compartiendo tus conocimientos.. LIKE MERECIDO!!!
Muchas gracias, y si algún día pienso regresar para compartir más videos. Saludos.
Saludos desde Venezuela, cree un entorno virtual para poner en practica lo de este video y sirvió a la perfección, quiero implementarlo en una red de trabajo con 50 ordenadores y ajustar un horario para liberar el proxy a medio día por ejemplo para que disfruten de internet libre por 1 hora de descanso. Excelente Video, gracias por compartir conocimiento !
Hola y muchas gracias por su comentario. Me alegra mucho leer que el vídeo te haya servidor. Cuando dices "liberar el proxy" me suena a dejar el uso del servicio del proxy y para esto lo lógico es detener dicho servicio y permitir solamente al firewall filtrar las navegaciones con la Internet.
Sin embargo, si tu expresión de "liberar el proxy" no es tal como yo supongo que es, entonces lo que puedes hacer es configurar en el proxy el calendario o tiempo de navegación a los clientes; es decir, que dentro de un determinado tiempo indicarle al servidor proxy que se permite a los clientes navegar "libremente" a cualquier sitio web y cuando se termine dicho tiempo se cumple con las políticas (permisos medianta ACLs) para navegar solamente a determinados sitios web.
Saludos.
@@RobertoMurillo Gracias por responder maestro, se puede agregar un schedule en las custom options del squid proxy server ? Intente con el schedule del firewall y no aplica en el horario que determino(o a lo mejor lo configuro de manera indebida).
Mi objetivo es aplicar las restricciones de paginas, excepto entre las 12:00-13:00 horas del dia. Gracias de antemano y Saludos !
@@AnthonyEzeKaese Déjame ver si logro hacerme un video con respecto al tema. Saludos.
No me había dado cuenta que no estaba suscrito a tu canal, te recomendé en mi grupo de la especialización en seguridad informática, para que vean tu contenido de Pfsense, podríamos hacer un vídeo colaborativo o en vivo para hablar sobre firewalls Pfsense, Endian, etc.
Muchas gracias, claro que si, cualquier plan de video en vivo puedes comunicarte conmigo para platicarlo y planificarlo. facebook.com/rmurillo80. Saludos.
Saludos desde México Roberto
Excelentes todos tus videos
he leído todas las preguntas y tus respuestas buscando como hacer el bloqueo pero con grupos de usuarios validados por el captive portal y no lo vi. Tienes algún video sobre este tema?
Muchas gracias anticipadas
Hola, muchas gracias por su comentario y no, no tengo un video con respecto a ese tema en concreto. Lo que si tengo es un video que demostré en cómo autenticar usuarios con Squid y Portal Cautivo por si le interesa. Saludos.
Amigo muy buen video!
Una consulta quisiera realizar lo mismo en mi trabajo, sin embargo, la diferencia es que se maneja VLAN's creadas en el mismo pfsense, cómo se realizaría la configuración de los archivos que usted edita para las exclusiones de las direcciones IP? O simplemente en el mismo archivo poner todas las direcciones IP a pesar de que sean de diferentes redes?
Se puede de ambas manejas, diferentes archivos para cada subred o direcciones ip, o todas las direcciones ip o subredes en un solo archivo. Lo importante es que el Squid Proxy escuche en las VLANs que usted desea filtrar. Saludos.
Buenas tardes, una duda que tengo, si quisiera bloquear a toda mi LAN esos tres dominios y permitirselo solo a determinados ordenadores, ¿Puedo denegar los tres dominios en la blacklist de la ACL's del proxy server para impedir a toda mi red que acceda a estas páginas web y a la vez por medio del edit files agregar las ip's de los ordenadores llamémoslos "VIP" en los que si quiero que puedan acceder a estos dominios mencionados en un archivo similar a tu "ips_dhcp" pero mas resumido en este caso y en lugar de "deny" les colocaría "permit" y el archivo "dominios_denegados" en mi caso seria "dominios_permitidos" en la sección de Custom Options (Before Auth)? No se si explico bien mi pregunta amigo....
Claro que se puede, por ejemplo en su caso debe crear el archivo "vip" y ahí agrega las direcciones ip de los ordenadores que van a poder acceder a Facebook, Netflix y UA-cam. Luego crea un solo archivo llamado por ejemplo "dominios" para adicionar palabras, dominios y urls relacionados con los 3 sitios mencionados; y por último crea otro archivo por ejemplo "red_local" en donde agrega el CIDR (192.168.x.y/24) o por rangos tal como mostré el vídeo.
Una vez teniendo creados dichos archivos en las Listas de Control de Acceso (ACLs) del Squid Proxy en /var/squid/acls, comienza a crear los acls y los permisos de la siguiente forma:
acl vip src "/var/squid/acls/vip"
acl red_local src "/var/squid/acls/red_local"
acl dominios url_regex -i "/var/squid/acls/dominios"
http_access allow dominios vip
http_access deny dominios red_local
Esto es mi lógica en base a su necesidad, solo espero que funcione y que le sirva.
Saludos.
@@RobertoMurillo Gracias por las recomendaciones, estaré trabajando en eso esta semana y haré las pruebas.
@@JuanCarlos-mx8cb pudiste trabajar con la pregunta que le hiciste a @Roberto Murillo, estoy tambien en las mismas y no entiendo este pfsense. gracias
@@camp-xb8pu Hola, la verdad por los problemas de la cuarentena están suspendidas las labores en mi lugar de trabajo y todas las tareas fueron postergadas.
@@camp-xb8pu Hola, la verdad por los problemas de la cuarentena están suspendidas las labores en mi lugar de trabajo y todas las tareas fueron postergadas.
Otra pregunta Roberto, la configuración q tu usas para el squid proxy en este video trae las reglas lan?, o cual es la configuracion del squid proxy, mencionas q dejaras el link en la parte de arriba pero no lo veo
Hola, ¿Puedes indicarme el minuto exacto del vídeo en dónde usted dice que yo dijé que dejaré un enlace en la descripción del vídeo? Gracias por su comentario.
@@RobertoMurillo minuto 2:59 a 3:01, espero no haya causado alguna incomodidad, solo q estoy viendo sus videos y me bloquea todo:(
@@MayraAlejandraMoralesVallejo Hola y gracias por indicarme los minutos. Lo voy a revisar, y saludos.
@@MayraAlejandraMoralesVallejo Ok ya lo revisó, si en esos rangos de los minutos que usted me indicó, en la parte arriba esquina derecha aparecen los enlaces compartidos. Es un circulito blanco con un signo de admiración. Pero descuide, ya que aquí mismo le comparto los enlaces:
Curso de pfSense: Proxy Transparente y Protección del Login - Parte #14
ua-cam.com/video/Ct4jm0iBZio/v-deo.html
Curso de pfSense: SSL MITM del Proxy con SquidGuard - Parte #16
ua-cam.com/video/hAGQVwZ2ESY/v-deo.html
Buen video. Se requiere instalar certificado en los navegadores para la relacion de confianza?
Hola, muchas gracias por su comentario. Si es en modo Transparente lo más seguro que si pero si es en modo No-Transparente, lo más seguro que no. Saludos.
Una pregunta doctor, si lo quiero a nivel usuario? Ya que lo tengo integrado con active directory
Pues lo que tienes que hacer es comprar PF2AD para unir pfSense al dominio del directorio activo PERO antes de instalar PF2AD debes primero respaldar toda configuración prevía del Squid, segundo debes desinstalar Squid Proxy y tercero instalar PF2AD en pfSense. Al instalar PF2AD lo que hace es instalar dos paquetes: 1. Samba4 y 2. Squid Proxy con una versión compatible con la versión de Samba4. Saludos.
Saludos desde Venezuela, Excelente video, mi mi pregunta es, tu lo haces con un rango de direcciones ip por dhcp, como hago para hacerle cuando tengo ip fijas en cada estación de trabajo. le comento de ante mano que realizo tus pasos pero me bloquea toda la navegación. agradeciendo de antemano tu ayuda
Hola y muchas gracias por su comentario. Para que cada estación de trabajo, lo que puedes hacer son dos opciones: Opción 1 es que cada estación de trabajo tenga su dirección Ip fija configurado manualmente en las conexiones de cada estación. Opción 2 es reservar las direcciones Ip para cada estación mediante las direcciones MAC en el Servidor DHCP. Ahora, independientemente de las 2 opciones, las direcciones Ip fijas deben estar afuera del rango DHCP. Con respecto a la navegación, si te bloquea todo, seguramente algo hizo mal o algo mal configuró en el Squid Proxy. Saludos.
@@RobertoMurillo de antemano te ubico, con DHCP no se trabaja aquí, son con puras direcciones ip, en el tutorial vi que agregas la lista de direcciones ips, pero son las que tienes de rango como DHCP, lo que que yo hice fue sustituir ese listado de direcciones por mis ips fijas, continúe todo el tutorial pero bloqueo toda la navegación incluso mi terminal que no esta allí en ese rango de ip, claro también estoy haciendo uso el servidor proxy control de acceso, y el Filtro de proxy SquidGuard: Lista de control de acceso de grupos (ACL)Grupos ACL
para generar lo niveles de usuario al momento de restringir el acceso a internet pues dos de los niveles creados no deben salir a redes sociales y el squidgard no esta cumpliendo la función como tu lo dices en el tuto
HOla Roberto, como configuras los cerificados. el CA_proxy y el CA_Proxy firmado. Tengo pfsense 2.3.4. Por que no me bloquea
Hola, ¿acaso con ese video no demostré cómo configurar los certificados? Saludos.
Buen video Roberto. 👍
Muchas gracias por ver el video y por su comentario. Saludos.
y como se puede hacer para bloquear TODAS las paginas y luego permitir algunas pero a ciertas IP?.. por ejemplo bloquear todas las paginas al grupo1(que seran 50ip)menos estas 20 paginas que si pueden nevager... luego bloquer todo a este grupo2(que seran otras 50 ip) menos estas 15 paginas que si pueden navegar y otro grupo que tiene acceso a todo????
Debes crear archivos editables para agregar el grupo de direcciones ip y así con esos archivos asociarlos con sus respectivos ACL y permisos tal como el ejemplo que acabo de mostrar en el vídeo. En tu caso tendrías que crear tres archivos en base a los grupos que usted necesita filtrar. Saludos.
@@RobertoMurillo gracias por responder, pero tendria que crear un archivo con una expresion regular que bloquee todo? si es asi, como seria esa expresion regular? o en la ACL agego al final un acl "http_access deny all", porque esto ultimo no me funciona muy bien.
para un caso mas pequeño, sirve algo como esto??
acl dominios_permitidos url_regex -i "/var/squid/acl/dominios_permitidos"
acl ips_dhcp src "/var/squid/acl/ips_dhcp"
http_access allow dominios_permitidos ips_dhcp
http_Access deny all
Intento agregar un alias con la ip de facebook(69.171....)para después intentar bloquearla en las reglas de la lan, pero no me deja crear el alias con es ip del url
Si alguien sabe la razón agradecería su respuesta, soy nuevo en este tema, de antemano gracias.
Hola, muchas gracias por su comentario. Le soy sincero que bloquear redes sociales con reglas del Firewall no es muy estable y es tedioso ya que las redes sociales tienen miles y miles de IPv4 y IPv6.
Imaginaba... Muchísimas gracias por la respuesta! Muy buen canal por cierto, me verá por aquí de manera frecuente ( :
@@luisalbertoalvaradoaltamir9478 De nada y muchas gracias. Bienvenido a mi canal. Cualquier duda no tenga pena con preguntar. Saludos.
Es posible bloquear youtube en mi organizacion pero que tengan acceso al canal de youtube de la institucion?
No creo, cuando se bloquea UA-cam, esto incluye para TODOS los canales.
Hola, no tengo habilitado el squid pero me bloquea aun una pagina no me deja ingresar que puede ser?
Hola y muchas gracias por su comentario. No se que pueda ser, ¿ya reviso si el bloqueo proviene del Firewall? ¿Ya reviso los registros del Firewall?
Solo por eso quiereo que lo hagas con mi hermanaaa y tengas mis sobrinitosss
Jajajajajaja .... Gracias por su comentario y saludos.
Hola como estas?, y si en vez de bloquear esas plataformas lo que se requiere es controlar los anchos de banda, digamos forzar a que las resoluciones sean 480p.
Con los limitadores del modulador de tráfico + una regla del Firewall puedes lograr ese objetivo amigo. Saludos
@@RobertoMurillo excelente vídeo. Podrías realizar uno forzando la resolución de youtube a 480p, cuando tengas un poquito más de tiempo. Desde ya gracias por el tiempo y esfuerzo que dedicas a cada tutorial. Exito Roberto
Rolando Melgarejo Lo tomaré en cuenta. Saludos.
Muy buen vídeo estimado Roberto, consulta el zentyal permite aplicar políticas de seguridad a los equipos clientes con Windows, para así los usuarios no puedan cambiar la configuración. Desde ya muchas gracias. 👍🏾☕☕☕
Julio Cesar Delgado Narvaez Que configuración? Configuración de Zentyal?
Buenos días se puede realizar o implementar con IPfire para la misma función.
Mire, no le quiero dar falsas afirmaciones, al menos no de mi parte. Nunca he utilizado IPfire, lo acabo de descargar para aprender a utilizar y hacer pruebas. Entonces, debido a mi respuesta, no te puedo decir si se puede realizar o implementar lo mismo con IPfire pero espero muy pronto darte alguna afirmación con respecto al tema. Saludos.
@@RobertoMurillo seria interesante que experimentes con el IPfire
Hola Roberto, somos paisanos te quería consultar si tenes algún video de como puedo bloquear esta misma pagina pero en redes inalambricas siempre con Pfsense
Hola, muchas gracias por su comentario. Respondiendo a su pregunta, las configuraciones mostradas aquí también aplican para redes inalámbricas. Saludos.
@@RobertoMurillo Hola Roberto si lo que no se como hacer es que mi router apunte hacia el PFSENSE así como hacemos con los ordenadores que ponemos el proxy
@@MrCehecace ¿Qué tiene que ver un Router en redes inalámbricas? ¿Para qué funciona un Router? Cuando hablamos de redes inalámbricas por lo general se hablan de AP (Puntos de Acceso). Los Routers funcionan para encaminar los paquetes de datos hacia diferentes destinos (redes) que sin estos, son difíciles de alcanzar. Ahora, si me estás hablando de un router linksys que funciona como punto de acceso, estamos hablando de un equipo que normalmente funciona como un router pero que en realidad está funcionando como punto de acceso. ¿Qué quiero decir con esto? Quiero decir que cuando un router funciona como AP, deja de funcionar como router porque para que un AP funcione, se debe tener deshabilitado el NAT, el DHCP, el UPnP y el Firewall.
Sin embargo, si su router no tiene la opción de configurarlo como Proxy Cliente y más aun si está funcionando como AP, en estos casos no hay nada que hacer. Entonces, pregunta, ¿Su router tiene la opción para configurarlo como Proxy Cliente?
Hola muy buenos los vídeos, te quería preguntar cómo haría para bloquear todos los sitios web y permitir un solo dominio https
Hola, muchas gracias por su comentario. Creo que en ese caso para bloquear "TODOS" los sitios web sale mejor configurarlo con SquidGuard y configurar crear una Categoría Objetivo (Target Categories) para personalizar los sitio web que se desea permitir. Saludos.
Hola Roberto , me pudieras documentar para la creation de los certificados , gracias.( a las 2mn45)
Hola, ¿lo que me estás pidiendo es algún video para la creación de certificados? ¿Podrías explicarte mejor? Saludos.
Hola, tengo dos vídeos que creo que están relacionados con los que buscas. Saludos.
SSL MITM del Proxy con Squidguard: ua-cam.com/video/hAGQVwZ2ESY/v-deo.html
SSL MITM del Proxy sin Squidguard: ua-cam.com/video/NRsc-OKrTFA/v-deo.html
Hola Roberto, gracias pour Los enlaces ,si busco para crear certificados y tambien con el plugin acmé por let's encrypt.
@@Escalona64 Pues honestamente no tengo ningún vídeo con respecto Let's Encrypt, con esto ahí si que me disculpo.
@@RobertoMurillo No hay ningun problema , tus videos me han ayudado una barbarida , gracias a ti sobre todo. Saludos desde Francia.
Buenas noches, me llamo Santiago Mendez, entre mis búsquedas encontré su video ua-cam.com/video/NeE95MjAgI0/v-deo.html, en la cual explica el bloque de sitios de redes social y de multimedia (Facebook, UA-cam y Netflix) si bien estuve realizando el seguimientos de muchos tutoriales y no llegue a ningún resultado hasta que vi su video en el minuto 02:26 explica que se debe tener los certificados (CA_Proxy y CA_Proxy_Firmado) por lo cual podrías indicarme como crear los certificados o en cual de los tutoriales tiene referencia?
Desde ya agradezco su tiempo y espero tener un retorno
Hola Santiago, pues si tengo un vídeo referente a las creaciones de certificados con pfSense. Véase este vídeo .... ua-cam.com/video/YIbZKV3Ojv0/v-deo.html .... Saludos.
buenos dias Roberto, me interesa una asesoria para configurar un pfsense en un ISP
Hola y buen día. Muchas gracias por su comentario y vas a necesitar hablar conmigo en privado para la asesoría. Saludos.
Hola, muy bueno el tutorial. Consulta, hay algun "truco" para filtrar el trafico a youtube desde la app del ceular?
Hola, y muchas gracias por su comentario/pregunta. Lo que usted pide es bloquear aplicaciones y para eso, se ocupa reglas de bloqueo para Capa 7 del Modelo OSI. Con Snort se puede, pero tendrías que buscar y encontrar las reglas apropiadas en la página ofical de Snort o de perdida en Github. Saludos.
@@RobertoMurillo Hola Roberto, lo que digo es que puedo boloquear el trafico de youtube desde la pc, pero no el trafico a youtube que genera la app del celular :(
@@luiscoralle Ya te di mi respuesta, las apps en los celulares son aplicaciones, por eso se llaman “apps”. Las aplicaciones funcionan en Capa 7 del modelo OSI, y con Snort puedes bloquear tráfico de Internet a las aplicaciones de celulares e incluso, aplicaciones de PCs.
@@RobertoMurillo Ah!! Genial, Gracias!!!
@@luiscoralle De nada. Saludos.
Y en el caso de los móviles.... si funciona?? Quizás me equivoque, pero me parece q en los móviles se saltan los filtros en ocasiones
..?
Si en los móviles es más complejo controlar o filtrar los bloqueos de contenidos web por algunas razones:
1. Los móviles utilizan apps o aplicaciones que son de Capa 7 de acuerdo al Modelo OSI. El Squid Proxy para filtrar y bloquear contenidos web, el mismo trabaja con Capa 2 (Direcciones MAC) y Capa 3 (Direcciones IP). Por lo tanto, para esto se requiere de algún servicio o herramienta que permita bloquear contenidos web a nivel de Capa 7.
2. Hablando de Direcciones MAC, en la actualidad y en casi TODOS (por no decir TODOS) los móviles funcionan con MAC Dinámicos, ¿Qué esto? Cada vez que un móvil se conecta a una red, su MAC cambia aleatoreamente por cada red que se conecta el móvil de manera inalámbrica. Sin embargo, todos los móviles tienen la función de deshabilitar el MAC Dinámico para que utilice una sola MAC independientemente a la red que se conecte, pero ¿Cómo podríamos explicar esto al usuario final y convencerlo a cada uno de ellos que utilizan móviles a que desactiven o deshabiliten el MAC Dinámico? ES ALGO COMPLICADO ¿NO?
Saludos.
@@RobertoMurillo Muchas Gracias por tu respuesta. Finalmente, habrá alguna opción en Pfsense u otro opensource para poder controlarlo en capa 7?? Muchas gracias desde ya por tu respuesta.
@@criscal4019 Existen varias opciones que puedes implementar bloqueos de navegación o de conexión a las aplicaciones que funcionan de Capa 7.
1. Bloqueo por DNS: Para esta opción te recomiendo utilizar pfBlockerNG para bloquear mediante DNSBL pero OJO, este servicio consume demasiado recursos de Hardware así que tu Servidor con pfSense va a necesitar al menos 4 núcleos de procesador y al menos 8 GB de RAM.
2. Snort: Este detecta los instrusos en la red, sin embargo, también soporta los bloqueos de Capa 7. Para ello te recomiendo primero registrarte en la página oficial de snort (www.snort.org) para que puedas encontrar más instrucciones sobre su uso y al mismo tiempo para que puedas encontrar reglas que permitan bloquear conexiones de aplicaciones de Capa 7 en tu LAN.
Saludos.
@@RobertoMurillo Excelente, voy a probarlos. Cualquier novedad estoy en contacto. Aprecio mucho la guía. Gracias
es posible hacer esto usando squid + squid guard?
Claro que si, lo que sucede que SquidGuard no es perfecto, a veces SquidGuard aunque no siempre suele tener problemas de bloqueo cuando se trata de bloquear los 3 sitios que expliqué en el vídeo.
saludos desde cuba
Hola, gracias por su mensaje e igualmente saludos desde Honduras.
No muestra como deben esar configurados los certificados
¿En serio? Bueno pero la verdad que para crear Certificados de Autoridad no es tan complicado. Lo que te puedo ofrecer es que te veas el siguiente vídeo, tal vez te pueda servir y saludos. facebook.com/rmurillo80/videos/595635142409332
COMO ABRISTE LA CONSOLA ROBERTO HELP
Hola y muchas gracias por su comentario. La consola se abre habilitando el protocolo SSH ya que por medio este protocolo usted puede conectarse a la consola vía putty o vía terminal en Linux. Saludos.
Solo lo haces con ese navegador, pero igual pasa por el navegador de Google Chrome y si lo bloquea, cuando ingresas al correo de gmail y intentas abrir youtube desde ahí, lo abre sin ningún problema.
Si en efecto con lo que hice con este vídeo si debería de bloquear youtube con cualquier navegador, sin embargo, no se porque no hice las pruebas de acceso a la plataforma youtube teniendo ingresado la cuenta de gmail, pero de igual manera te agradezco por mantenerme informado de esta falla.
Y si tengo 200 pc tengo que borrar cookies en las 200? ...
Hola, ¿A qué se debe a su pregunta? Saludos.
@@RobertoMurillo Para que tome los cambios como usted hizo de borrar cache, tengo 200 maquinas, no tomaria los cambios? tendria que ir por maquina a borrar el cache del historial?
Hola, 200 máquinas son bastantes ordenadores, en ese caso lo más recomendado es meter esos 200 máquinas a un dominio de directorio activo y aplicar la eliminación de cache y cookies para los navegadores de esos 200 máquinas mediante un GPO. Debes tomar en cuenta que solo los navegadores Edge y Chrome obedecen las políticas del directorio activo, en caso que en todas esas máquinas están usando Mozilla Firefox, pues ahí si lamentablemente vas a tener que aplicar la eliminación de los cookies y cache manualmente en cada uno de los ordenadores. Saludos.
pode ser feito por MAC também?
Hola y que pena que después de 1 mes le respondo su mensaje. En primer lugar, muchas gracias por su comentario y también gracias por ver el vídeo. En segundo lugar, claro que si que con Squid Proxy también se puede filtrar los contenidos web mediante Direcciones MAC. Saludos desde Honduras!
Deberias usar VI es el mejor editor
Gracias por la sugerencia. Saludos.
Ja ja aplique la black list y ahora me bloqueo todo ja ja
Jajajaja imposible!!! De seguro algún paso de configuración hizo mal porque cuando hice la demostración del video a mi no me bloqueaba TODO. Igualmente gracias por su comentario y saludos.
pudiste arreglarlo luis
pudiste arreglarlo julio
@@MayraAlejandraMoralesVallejo pues me bloquea algunas y otras las deja pasar pero si cargo dos o más veces la página el programa las deja pasar