[Resolvido] SquidGuard - target Default access [all]
-
Olá pessoal.
Sou novato no mundo pfSense e estou com algumas dúvidas no uso do SquidGuard.
O cenário que possuo é:
1º) Alguns IPs com acesso liberado (sem restrições).
2º) Demais com acesso bloqueado.Já realizei alguns testes mas sem sucesso.
O que sempre prevalece é o Common ACL (Default access allow ou deny).
Quando defino o Default access em uma Group ACL o mesmo não surte efeito, obedecendo somente o que está definido no Default access da Common ACL.Como posso implementar este esquema?
-
brunonaibert,
Na verdade não há muito segredo sobre isso, basta você separar as tuas políticas por "Groups ACL".
Veja este tutorial, que embora tenha um outro foco (liberação/bloqueio com SquidGuard por horário), certamente vai responder a sua dúvida: http://www.pfsense-br.org/blog/wp-content/uploads/2011/10/Squidguard-controle-de-horario.pdf
Abraços!
Jack -
Olá Jack,
Efetuei os procedimentos do tutorial passado.
Mesmo assim, continua o Common ACL se sobrepondo as definições do Group ACL.
O grande problema é que em Default access não podemos deixar sem definição (–-), devemos marcar como allow ou deny. -
O grande problema é que em Default access não podemos deixar sem definição (–-), devemos marcar como allow ou deny.
Sim… é isso mesmo. Afinal, você precisa definir qual é o "default" da sua rede (se liberar ou negar aquilo que não está definido explicitamente - não entra em nenhuma ACL específica)!
Quanto ao seu questionamento, faça da seguinte forma:
-
Crie um grupo em "Groups ACL" com o nome de "DIRETORIA", por exemplo, e coloque os IPs dos respectivos equipamentos que você quer liberação total no campo "Client (source)". Neste mesmo grupo, em "Target Rules List (click here)" deixe todas as categorias como "–-" e deixe a categoria "Default access [all]" como "allow"
-
Em "Common ACL", na opção "Target Rules List (click here)" bloqueie as categorias que você deseja (isso será aplicado pra todos, com exceção do grupo "DIRETORIA") e deixe o "Default access [all]" como "allow"
Isso deve resolver o seu problema… o Groups ACL não pode ser subjugado pelo teu Common ACL. Veja se você não esqueceu de colocar os IPs das máquinas privilegiadas quando criou o grupo!
Ahhh... não esqueça de clicar em**"Apply"** e em "Save" na guia "General settings". Do contrário, obviamente as alterações não entrarão em vigor!
Abraços!
Jack -
-
Ainda não identifiquei o que pode estar errado.
Seguem telas de configuração. -
Deixe o seu "Common ACL" como sendo o "Acesso_Geral". Você não precisa criar um grupo especial para o "senso comum". Em outras palavras, os usuários que não forem do "Acesso_TIC" (que tem privilégios, pelo que entendi), vão se sujeitar aos controles do que você configurar no "Common ACL"!
Abraços!
Jack -
Deixe o seu "Common ACL" como sendo o "Acesso_Geral". Você não precisa criar um grupo especial para o "senso comum". Em outras palavras, os usuários que não forem do "Acesso_TIC" (que tem privilégios, pelo que entendi), vão se sujeitar aos controles do que você configurar no "Common ACL"!
Abraços!
JackJack, muito obrigado.
Alterei tanto as configurações, de tantas formas, mas acho que esta não tinha feito.
Removi "Acesso_Geral" e defini no Common ACL o default para deny.
Está funcionando perfeitamente. -
Está funcionando perfeitamente.
Que bom brunonaibert!
Se você puder/conseguir, por favor, renomeie este tópico com um "[Resolvido]" na frente do título! ;)
Abraços!
Jack -
Uma coisa amigo, vi que numa das ACLS você colocou uma rede 10.0.0.0/24, lembrando que essa rede só irá de 10.0.0.0 a 10.0.0.255.
Se sua intenção é ir de 10.0.0.0 a 10.0.255.255 por exemplo, use 10.0.0.0/16.
Cada casa do IPv4(xxx.xxx.xxx.xxx) representam 8BITS, logo 2^8 = 256, são 256-1 numeros possiveis para cada casa(octeto).. Se você colocar uma mascara de rede(255.255.0.0) são 2^16 = 65536-1 IPs possiveis.
-
Ahhh… não esqueça de clicar em"Apply" e em "Save" na guia "General settings". Do contrário, obviamente as alterações não entrarão em vigor!
Caramba, isso salvou minha manhã. Brigadão!!
-
boa tarde!!
funcinou legal aqui também!!
Só um ajuda que preciso JackL..
no caso se eu quiser liberar alguns IP's para o facebook por exemplo..
Deixando a blacklist das redes sociais Deny! entrando normal nas regras, porém liberando só o facebook!
eu segui algus tutoriais aqui, mais não deu certo ainda..Desde já, obrigado.