DansGuardian 2.12.0.3 pkg 0.1.8 disponível para pfSense
-
compilação resolvida, o ermal me ajudou a achar os parametro de bibliotecas que estavam falatando.
http://forum.pfsense.org/index.php/topic,46207.msg242262.html#msg242262
Agora estou tentando me entender com o gerador de certificados do dansguardian, por enquanto só recebo
DENIED Failed to negotiate ssl connection to client CONNECT 0 0 SSL Site 1 200 - Default - -
Publiquei as atualizações para quem quiser me ajudar a acertar este último 'detalhe'.
Para pegar a ultima versão de compilação, sugiro desinstalar o pacote e instalar denovo.
att,
Marcello Coutinho -
Para quem quiser chegar no mesmo ponto que estou(ou ir além é claro), os procedimentos para a utilização do filtro ssl no dansguardian são:
-
criar uma ca em system->cert manager
-
criar um certificado de servidor assinado pela ca criada
-
atribuir a nova ca e o novo certificado na aba services-> dansguardian -> general
-
Habilitar a opção filter ssl sites forging SSL Certificates
Quem quiser testar essa compilação e o filtro ssl em um freebsd, o ports já esta atualizado (/usr/ports/www/dansguardian-devel)
Revision 1.36: download - view: text, markup, annotated - select for diffs
Sat Feb 18 13:14:31 2012 UTC (4 days, 2 hours ago) by garga
Branches: MAIN
CVS tags: HEAD
Diff to: previous 1.35: preferred, colored
Changes since revision 1.35: +8 -1 lines- Add a new OPTION to enable experimental SSL support
Submitted by: Marcello Coutinhomarcellocoutinho@gmail.com/marcellocoutinho@gmail.com
-
-
Conforme prometido, acabei de subir a versão 0.1.5 do pacote com a tão sonhado filtro por grupo e não por usuário.
O esquema é o mesmo do script do squidguard com a vantagem de estar 100% integrado com a interface gráfica e suportar multiplos servidores ad/ldap
Para funcionar:
-
Crie o grupo no dansguardian com o mesmo nome do grupo no ad onde você libera ou bloqueia os usuários
-
cadatre o servidor/servidores ldap onde você quer sincronizar
-
defina a frequencia de atualização da lista e as permissões
att,
Marcello Coutinho -
-
Antes de qualquer coisa, parabéns novamente pelo trabalho marcelloc!
Em relação a esta nova versão, ela já está em "System->Pakages" no pfSense ou precisa de processo manual de instalação?
Abraços!
Jack -
Já esta disponível nos pacotes, basta atualizar ou (desinstalar/reinstalar).
-
Já esta disponível nos pacotes, basta atualizar ou (desinstalar/reinstalar).
Show of ball…
Fica a dica para os que sonham com gerência de ACLs no webproxy por grupos do Active Directory! ;)
EDIT: Vale lembrar que graças a um patch o Luiz Gustavo, esta função também é possível agora pra quem utiliza SquidGuard. Leia mais aqui: http://forum.pfsense.org/index.php/topic,47100.msg248459.html#msg248459
Abraços!
Jack -
Resumindo, o sonho virou realidade :D
-
Marcello,
Queria deixar aqui meu agradecimento pelo projeto do DansGuardian. Fechou com chave de ouro a autenticação no ldap e o filtro por grupo.
-
Instalei o DansGuardian, Enable dansguardian checado, usando Listen Interface(s) = LAN, configurei tudo em defaults, Blacklist URL http://www.shallalist.de/Downloads/shallalist.tar.gz, e… Fui verificar os logs:
Status: System logs: System
php: /pkg_mgr_install.php: The command '/usr/local/etc/rc.d/dansguardian stop' returned exit code '127', the output was '/usr/local/etc/rc.d/dansguardian: not found'Alguns segundos depois...
Status: System logs: System
php: /pkg_mgr_install.php: The command '/usr/local/etc/rc.d/dansguardian stop' returned exit code '126', the output was '/usr/local/etc/rc.d/dansguardian: Permission denied'Resumindo, o maior problema foi quando desinstalei o pacote e tentei acessar o Squid em Services > Proxy server e não tinha acesso. O erro, no browser, foi este:
Warning: dir(/usr/local/etc/squid/errors/): failed to open dir: No such file or directory in /etc/inc/pfsense-utils.inc on line 432 Fatal error: Call to a member function read() on a non-object in /etc/inc/pfsense-utils.inc on line 433
Reinstalei o DansGuardian e consegui acesso ao Squid. Daí, fui tirar a dúvida:
Desabilitei a caixa de seleção Enable dansguardian, desinstalei novamente o DansGuardian e, mais uma vez, fiquei sem acesso ao Services > Proxy server. >:(
Alguma solução?
-
O processo de exclusão do pacote dansguardian deve remover os pacotes dependentes, dentre eles o squid.
Isso deve estar na função de uninstall de pacotes no pfsense, não tem código escrito para exclusão de pastas no dansguardian.inc.
A solução(workaround) para isso é reinstalar o pacote squid depois de 'assassinar' o dansguardian.
php: /pkg_mgr_install.php: The command '/usr/local/etc/rc.d/dansguardian stop' returned exit code '126', the output was '/usr/local/etc/rc.d/dansguardian: Permission denied'
Se o arquivo não existir mesmo, uma reinstalação do pacote deve restaurar o script de inicialização.
Se o problema for permissão, o apply da configuração sempre acerta a permissão do arquivo se o dansguardian não estiver desabilitado. -
Acabei de subir a versão 1.5.2 com algumas correções de bug, incluíndo o script de inicialização que 'sumia' após upgrades.
-
Olá! Boa tarde a todos!
Sou iniciante no PFSense e gostaria se possível de uma ajuda de vocês. Implementei o PF com squid mais o dansguardian autenticado no ad conforme tutoriais desse forum, sendo que acabou surgindo alguma dúvidas. Utilizei o dansguardian com o pacote já corrigido pelo Marcello e o squid já está autenticando no AD, sendo que estou precisando também que o dansguardian consulte os usuários dos grupos que tenho no AD. Aí é que está minha dúvida. O dansguardian consegue ler todos os usuarios que estão dentro de um determinado grupo ou quando crio o grupo no dans com o mesmo no nome que está no ad, eu tenho que também criar os usuario no grupo do dansguardian? Não entendi exatamente como funciona essa interação do dansguardian com o squid autenticado no ad. Alguem poderia me explicar por favor?
-
danpeal,
bem vindo ao fórum! :)
O dansguardian pode funcionar de duas maneiras, ou na frente do squid passando a autenticação para frente ou no modo sanduiche onde ele fica entre o squid que autentica e o squid que faz cache.
Depois de definir o método de autenticação na configuração do squid e do dansguardian, as configurações de ldap do dansguardian buscam os usuários do AD e preenchem automaticamente nas listas do dansguardian.
att,
Marcello Coutinho -
Boa noite Marcello!
No meu caso, o squid está autenticando e fazendo o cache e ele ficando no meio. Sendo que os usuários pertencentes ao grupo do ad, não recebe as politicas definidas pelo dansguardian. Estou criando o grupo no dans exatamente com o mesmo nome q está no AD, e caso eu crie mais de um grupo, as regras só funcionam no primeiro grupo que ainda por cima as regras acabam herdando para todos os usuários. Enquanto que só deveria pegar para os usuarios que estive no grupo do AD. Deu pra entender o que está acontecendo?
-
Só vai funcionar quando aparecer no log do dansguardian o nome do usuário alem do ip, você já mudou o plugin de autenticação do dansguardian para basic?
Você consegue ver os usuários na configuração do dansguardian (aba users)?
-
Hummm não cheguei a mudar o plugin do dansguardian. Onde faço essa alteração? Na aba Users da configuração do dansguardian não aparece nada, foi uma das coisas que achei estranho. O certo é aparecer todos os usuários que estão no grupo do AD?
-
A configuração do plugin está na segunda aba do dansguardian.
Quando a configuração do ad no dansguardian esta correta, os usuarios do grupo aparecem.
-
A configuração está no modo basic, sendo que mesmo assim não aparece os usuários do grupo no dansguardian… Sabe onde pode ser o problema?
-
A configuração está no modo basic, sendo que mesmo assim não aparece os usuários do grupo no dansguardian… Sabe onde pode ser o problema?
Você esta configurando os browser dos usuários para acessar diretamente o dansguardian?
você consegue ver a autenticação nos logs do squid e do dansguardian?
-
Pessoal, eu tenho um squid rodando belezinha, depois de apanhar bastante no post http://forum.pfsense.org/index.php/topic,47532.0.html
Agora estou querendo colocar o dans.
Minha dúvida é a seguinte. Em um ambiente de testes eu só consegui fazer ele funcionar habilitando a autenticação NTLM. Mas se quem está fazendo a autenticação é o squid, ele não deveria ficar como 'none' ?
Outra dúvida é com relação as bloqueios. No ambiente de testes, quando ele bloqueava um site, eu não conseguia identificar a causa para poder fazer a liberação.
A última; hoje meu servidor está com uso de memória a 50%. Colocar o dans vai aumentar muito isso ?
Desde já muito obrigado.