DansGuardian 2.12.0.3 pkg 0.1.8 disponível para pfSense
-
Vou tentar simular este erro quando tiver tempo.
Agradeço o feedback -
Boa noite Marcello,
Parece que descobri onde está o problema, a autenticação do squid pelo modo LDAP está ok, o do dansguardian também. Não sei se vc lembra que eu abri anteriormente o questionamento sobre o dansguardian nao aparecer os usuarios do grupo do AD. Então através dos logs consegui botar para funcionar em partes. Percebi que toda vez que marco a opção do "Do not use the DNS Forwarder as a DNS server for the firewall" no menu "system" na aba "general setup" o dansguardian consegue enxergar os usuários do grupo do AD. Sendo que quando está opção está marcada, o squid perdi a autenticação com o AD e fica apresentando o seguinte erro: "squid_ldap_auth: WARNING, LDAP search error 'Operations error". E toda vez que ele apresenta esse erro, fica pedindo repetidas vezes usuário e senha mesmo estando certo. Quando a opção acima está desmarcada, o squid volta a funcionar mas o dansguardian não enxerga os usuários do AD. Sabe dizer o que pode ser isso?
-
Resolvido!!!
Criei as entradas no DNS Forwarder dizendo quem é o AD e no DNS interno criei um registro apontando para o pfsense. Agora o dansguardian enxerga os grupos do AD e esta fazendo filtro por grupo do AD.
Valeu Marcello!
-
Resolvido!!!
Criei as entradas no DNS Forwarder dizendo quem é o AD e no DNS interno criei um registro apontando para o pfsense. Agora o dansguardian enxerga os grupos do AD e esta fazendo filtro por grupo do AD.
Posta os screenshots para facilitar o entendimento dos proximos usuários do fórum com a mesma dificuldade.
-
Resolvido!!!
Criei as entradas no DNS Forwarder dizendo quem é o AD e no DNS interno criei um registro apontando para o pfsense. Agora o dansguardian enxerga os grupos do AD e esta fazendo filtro por grupo do AD.
Posta os screenshots para facilitar o entendimento dos proximos usuários do fórum com a mesma dificuldade.
eu adoraria esses screens…..
ficar lendo páginas e páginas de conversa no fórum é complicado.... -
Resolvido!!!
Criei as entradas no DNS Forwarder dizendo quem é o AD e no DNS interno criei um registro apontando para o pfsense. Agora o dansguardian enxerga os grupos do AD e esta fazendo filtro por grupo do AD.
Posta os screenshots para facilitar o entendimento dos proximos usuários do fórum com a mesma dificuldade.
eu adoraria esses screens…..
ficar lendo páginas e páginas de conversa no fórum é complicado....Você e toda a torcida brasileira (pra não cair no lugar comum da torcida corinthiana). ;D
-
Resolvido!!!
Criei as entradas no DNS Forwarder dizendo quem é o AD e no DNS interno criei um registro apontando para o pfsense. Agora o dansguardian enxerga os grupos do AD e esta fazendo filtro por grupo do AD.
Posta os screenshots para facilitar o entendimento dos proximos usuários do fórum com a mesma dificuldade.
eu adoraria esses screens…..
ficar lendo páginas e páginas de conversa no fórum é complicado....Estarei postando os screens…
-
ficar lendo páginas e páginas de conversa no fórum é complicado….
Sem querer dar uma de "chatonildo", ler páginas de manuais e tópicos em fórums é o mínimo que se espera de um syadmin que realmente sabe o que está fazendo. Não tem jeito, faz parte do "negócio" e é bom que seja assim!
Sysadmin preguiçoso tem "vida" curta… ;)
Abraços!
Jack -
fiz oque o danpeal falou e realmente funcionou!
gostaria de saber se há um modo de fazer a busca do grupo recursivamente, por exemplo, um grupo e subgrupo - Financeiro -> Diretores, assim, buscar os usuarios do grupo "Diretores".Outra coisa, consigo autenticar e navego normal mesmo com um usuario que não esta cadastrando em nenhum grupo do DG, coloquei o default pra "banned" mais ai o navegador nem mesmo pede o usuario e senha e bloqueia tudo, como faço para deixar o acesso negado por default e liberar apenas para os grupos?
Coloquei o "Report Language= ptbrazilian" mas o "Report File" continua em inglês, claro que consigo modificar e colocar em português, mas o certo não seria ele modificar isso automaticamente?
Abçs!
-
fiz oque o danpeal falou e realmente funcionou!
gostaria de saber se há um modo de fazer a busca do grupo recursivamente, por exemplo, um grupo e subgrupo - Financeiro -> Diretores, assim, buscar os usuarios do grupo "Diretores".O ldap search, até onde testei é recursivo. Crie um grupo diretores e veja se ele consegue importar.
Outra coisa, consigo autenticar e navego normal mesmo com um usuario que não esta cadastrando em nenhum grupo do DG, coloquei o default pra "banned" mais ai o navegador nem mesmo pede o usuario e senha e bloqueia tudo, como faço para deixar o acesso negado por default e liberar apenas para os grupos?
Defina o grupo default como filtered e na aba sites dentro de access lists,coloque ** no campo config
#Blanket Block. To block all sites except those in the
#exceptionsitelist and greysitelist files, remove
#the # from the next line to leave only a '':
#Coloquei o "Report Language= ptbrazilian" mas o "Report File" continua em inglês, claro que consigo modificar e colocar em português, mas o certo não seria ele modificar isso automaticamente?
Nem tudo está traduzido no dansguardian, você pode tentar excluir o conteúdo da mensagem de erro para ele carregar o arquivo padrão novamente(não esqueça de fazer um backup).
-
O ldap search, até onde testei é recursivo. Crie um grupo diretores e veja se ele consegue importar.
bom eu ja fiz esse teste, ele busca os grupos membros do grupo "Financeiro" mas não os usuarios desses grupos membros.
descomentei o "**" no config mas ai o navegador nem chega a pedir as credenciais e o DG manda essa msg "Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre."
Se ele pedisse a autenticação eu poderia testar se ele esta buscando os usuários do grupo "diretores".
-
kelsen,
Já tentou colocar a página inicial do navegador na whitelist?Aproveitando o post, publiquei uma atualização no dansguardian que reduz consideravelmente o tempo de inicialização no boot para aprox 20 segundos e pelo menos ate onde testei, resolve a questão do serviço parado depois do boot em algumas instalações.
Para atualizar, basta reinstalar o pacote. Quem estiver usando o squid3, não esqueça de reinstalar ele também após o dansguardian.
att,
Marcello Coutinho -
Marcelloc,
Acontece o seguinte, fiz oque vc falou, descomentei o #** do Default, coloquei a pagina inicial na withelist, ai sim ele pede as credenciais, porém so pra pagina inicial, o resto continua bloqueado.
A minha intenção é simplesmente bloquear quem não estiver nos grupos do AD cadastrado no DG, e o mais importante é se é possível buscar usuários dentro de subgrupos (grupo<-subgrupo<-usuário).Abç!
-
Acontece o seguinte, fiz oque vc falou, descomentei o #** do Default, coloquei a pagina inicial na withelist, ai sim ele pede as credenciais, porém so pra pagina inicial, o resto continua bloqueado.
Já olhou se o usuário esta aparecendo nos logs do dansguardian.
A minha intenção é simplesmente bloquear quem não estiver nos grupos do AD cadastrado no DG, e o mais importante é se é possível buscar usuários dentro de subgrupos (grupo<-subgrupo<-usuário).
Acho que o script busca somente os usuários do grupo, subgrupos não esta contemplado no script.
-
Acabei de subir a versão 1.5.3 do pacote com opções de report por grupo de usuário, url de erro personalizável e senha para bypass temporário dos filtros.
Lembrando que estas opções são nativas do dansguardian, o que fiz nesta versão foi incluir na GUI estas opções. ;)
att,
Marcello Coutinho -
Acontece o seguinte, fiz oque vc falou, descomentei o #** do Default, coloquei a pagina inicial na withelist, ai sim ele pede as credenciais, porém so pra pagina inicial, o resto continua bloqueado.
Já olhou se o usuário esta aparecendo nos logs do dansguardian.
Pelo visto não, olha so o log
2012.5.3 13:30:17 - 192.168.1.2 http://www.google.com.br EXCEPTION Sítio está na lista de exceções. GET 1336 0 1 200 - Default - -
2012.5.3 13:30:22 - 192.168.1.2 http://www.google.com.br EXCEPTION Sítio está na lista de exceções. GET 20193 0 1 200 - Default - -
2012.5.3 13:30:22 - 192.168.1.2 http://ssl.gstatic.com/gb/images/b_8d5afc09.png DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. GET 0 0 1 403 - Default - -
2012.5.3 13:30:22 - 192.168.1.2 http://www.google.com.br/gen_204?atyp=i&ghp=fbg EXCEPTION Sítio está na lista de exceções. GET 0 0 1 204 - Default - -
2012.5.3 13:30:22 - 192.168.1.2 http://clients1.google.com.br/generate_204 EXCEPTION Sítio está na lista de exceções. GET 0 0 1 204 - Default - -
2012.5.3 13:30:22 - 192.168.1.2 http://www.gstatic.com/inputtools/images/tia.png DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. GET 0 0 1 403 - Default - -
2012.5.3 13:30:22 - 192.168.1.2 http://ssl.gstatic.com/gb/js/sem_3fda76275e50af619592c4bc8583bd52.js DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. GET 0 0 1 403 - Default - -
2012.5.3 13:30:23 - 192.168.1.2 http://www.google.com.br/csi?v=3&s=webhp&action=&e=17259,18168,36683,37102,37110,37808,38099,38135,38284,38470,38517,38576&ei=nrKiT8XDC8K1twexiOSiCA&imc=3&imn=3&imp=0&rt=xjsls.193,prt.242,ol.280,iml.242,xjses.473,xjsee.621,xjs.661,wsrt.72,cst.0,dnst.0,rqst.174,rspt.174 EXCEPTION Sítio está na lista de exceções. GET 0 0 1 204 - DefaultAcredito que a configuração da aba ldap esteja certa pq ele consegue buscar os usuários, ou é o squid quem autentica e passa pro DG? ainda não estudei bem como o DG funciona.
-
configura o metodo de autenticação que o dansguardian vai tentar detectar e passar para o squid.
dansguardian -> general -> Auth Plugins
This option handle the extraction of client usernames from various sources, such as Proxy-Authorisation headers and ident servers, enabling requests to be handled according to the settings of the user's filter group
-
Problema Resolvido,
O plugin estava correto, "Proxy-Basic", o problema é que insisti na questão de buscar usuários de subgrupos e por isso não funcionou, até perceber que era isso. Agora basta estudar um pouco mais como ele funciona, pq algumas regras doida dele ta bloqueando ate o site do Terra dizendo que é pornografico na ponderação dele.
De qualquer forma, Marcelloc, muito obrigado, desculpa a newbice ai. -
Aumenta a pontuação do grupo para 300.
-
estou com outro problema, como faço para liberar esse dominio do gmail "thawte.com" ? sem ele não aparece algumas imagens na página, pelo log, parece que esta negando pq não esta sendo passado o usuário.
Outra coisa é como bloquear o chat do gmail,chatenabled.mail.google.com se o dominio está liberado?
a politica default é negar tendo alguns sites como exceção.
Obs: marketing é o nome do usuario1338312960.205 3460 192.168.1.1 TCP_MISS/200 11793 CONNECT mail.google.com:443 marketing DIRECT/74.125.234.117 -
1338312960.391 426 192.168.1.1 TCP_MISS/200 2901 CONNECT clients2.google.com:443 marketing DIRECT/74.125.234.32 -
1338312960.518 3777 192.168.1.1 TCP_MISS/200 481907 CONNECT mail.google.com:443 marketing DIRECT/74.125.234.117 -
1338312965.216 451 192.168.1.1 TCP_MISS/200 2393 CONNECT chatenabled.mail.google.com:443 marketing DIRECT/74.125.234.253 -
1338312965.876 0 192.168.1.1 TCP_DENIED/407 2076 GET http://ocsp.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQekgmqcTx5S8oekxoKYa0%2F0LpggwQUOzSacJFzsoobDPTpN82zcDKeGFQCEE%2BdltlmsJkrVMKVfLQVfU0%3D - NONE/- text/html
1338312965.937 362 192.168.1.1 TCP_MISS/200 2383 CONNECT b.mail.google.com:443 marketing DIRECT/74.125.234.253 -
1338312971.316 0 192.168.1.1 TCP_DENIED/407 1764 GET http://crl.thawte.com/ThawteSGCCA.crl - NONE/- text/html
1338312971.318 11371 192.168.1.1 TCP_MISS/200 2304 CONNECT www.google.com:443 marketing DIRECT/74.125.234.114 -
1338312976.475 15978 192.168.1.1 TCP_MISS/200 1787 CONNECT clients2.google.com:443 marketing DIRECT/74.125.234.40 -
1338312976.475 16310 192.168.1.1 TCP_MISS/200 141422 CONNECT mail.google.com:443 marketing DIRECT/74.125.234.118 -
