Integração com AD - Squidguard ou Dansguardian?
-
Ola a todos,
Continuo estudando o pfsense e já abri mão de usar o tmg, pois o pfsense está cada vez superando espectativas. No momento estou tentando a configuração de proxy no meu pfsense com o AD.
Instalei o Squid e consegui fazer com que ele funcionasse junto com AD (maravilha), instalei o Lightsquid e tb está ok (apesar de só estar mostrando os dados pelo IP e não pelo usuario), agora vem a duvida SquidGuard ou Dansguardian?
Lembrando que sou bem novato em Pfsense e pra fazer o que fiz, já tomei uma bela surra, portanto, peço ajuda aos amigos experts na ferramenta para eu conseguir essa configuração com sucesso.
Então para integrar com AD qual seria o mais simples? O Squidguard ou Dansguardian? Vou montar 3 grupos no AD: internet_operacao (com acesso restrito), Internet_administrativo (acesso menos restrito) e Internet_liberado (acesso full, está será somente para o TI e diretoria).
Conto a ajuda de todos, pois juro, que li e reli, varios posts e tutos antes de postar, tudo sem sucesso. Acho que ainda não compreendi bem o funcionamento dessas ferramentas.
Muito obrigado a todos. -
Walter,
Eu prefiro o dansguardian, mas isso vai de cada admin.
Usando o dansguardian, você vai colocar ele na frente do squid, e apontar os clientes para a porta 8080 por exemplo.
No squidguard, fica tudo como está e você adiciona as regras uma vez que ele é um helper do squid.
att,
Marcello Coutinho -
Fiz o download do dansguardian e vi que ele esta com diversas opções, Parabéns Marcello, mas o máximo que consegui fazer foi inserir os dados do meu ad e baixar uma blacklist. Notei que agora as requisições estão saindo pela porta 8080 como disse, porém quando tento o acesso ele pede o login e senha mas não autentica mais. Procurei alguns tutoriais do pfsense sobre este tipo de configuração mas não encontrei nada. Você poderia me auxiliar com algum tutorial? Outra coisa que percebi é que depois de pegar a blacklist não apareceu nenhuma opção de bloqueios por categoria, é assim mesmo ou tenho que fazer isso na mão?
Obrigado pela ajuda! -
Porém quando tento o acesso ele pede o login e senha mas não autentica mais.
seu dansguardian esta configurado na porta 8080 e usando o squid na 127.0.0.1 porta 3128?
Nas configurações do dansguardian você configurou o 'Auth Plugins' na aba general com proxy-basic?
Viu se o serviço do dansguardian e do squid estão rodando?Outra coisa que percebi é que depois de pegar a blacklist não apareceu nenhuma opção de bloqueios por categoria, é assim mesmo ou tenho que fazer isso na mão?
você configurou todos os item da blacklist?
List on com banned and exception
Update frequency de never para qualquer outro valor -
seu dansguardian esta configurado na porta 8080 e usando o squid na 127.0.0.1 porta 3128?
Nas configurações do dansguardian você configurou o 'Auth Plugins' na aba general com proxy-basic?
Viu se o serviço do dansguardian e do squid estão rodando?Sim, o dansguardian está praticamente com a configuração default. Na aba Daemon eu só apontei para lan, o resto está default;
Na verdade se eu deixo apontando para 127.0.0.1 na 3128 nada acontece, cai na mensagem que o navegador não pode ser aberta, eu tenho que apontar para o ip 10.0.0.1 que é ele mesmo na rede pela 3128 ai vai, só que acessa somente as paginas que eu libero no squid :-
Na aba General está toda default tb, com proxy-basic
Na aba LDAP eu coloquei a configuração do meu AD deixando "mask" branco
Os serviços estão rodando, eu parei e reinicei os 2 serviços por garantia.você configurou todos os item da blacklist?
List on com banned and exception
Update frequency de never para qualquer outro valorDepois de restaurar o dansguardian eu deixei como default a blacklist e o pfsense diz que esta aplicado
Coloquei como banned and exception e o update frequency como Once a week.
o dansguardian já vem com alguma blacklist?
Não sei se no meu caso eu tenho que usar a aba access list, group e users, mesmo querendo criar os grupos somente no AD. -
Na verdade se eu deixo apontando para 127.0.0.1 na 3128 nada acontece, cai na mensagem que o navegador não pode ser aberta, eu tenho que apontar para o ip 10.0.0.1 que é ele mesmo na rede pela 3128 ai vai, só que acessa somente as paginas que eu libero no squid :-\
O squid responde na 3128 se você marcar a loopback nas configurações do squid ;)
o dansguardian já vem com alguma blacklist?
Mńima mas vem
Não sei se no meu caso eu tenho que usar a aba access list, group e users, mesmo querendo criar os grupos somente no AD.
Use a configuração do ad e crie os grupos com o mesmo nome.
No horario agendado, o script atualiza a lista de users com a lista do ad.
att,
Marcello Coutinho -
O squid responde na 3128 se você marcar a loopback nas configurações do squid ;)
Marcello…
tenho o mesmo problema descrito pelo colega... mesmo a interface loopback estando marcada no squid...[]s
-
Respeitando a seqüência de instalação, marque na configuração do squid apenas a interface loopback e no dansguardian marque a interface lan preservando a comunicação com o squid na 127.0.0.1porta 3128.
Tente inicar o squid e o dansguardian via console/ssh para identificar possíveis erros de configuração
-
Respeitando a seqüência de instalação, marque na configuração do squid apenas a interface loopback e no dansguardian marque a interface lan preservando a comunicação com o squid na 127.0.0.1porta 3128.
Tente inicar o squid e o dansguardian via console/ssh para identificar possíveis erros de configuração
fiz como descrito, startei os serviços via ssh e nenhuma mensagem de erro foi gerada, (nem com o loopback marcado no squid e inserido no dans , nem com a lan/loopback marcados no squid e a lan inserida no dans)…
Anyway... está funcionando , apenas com o ip do pfsense inserido no dans.. -
Anyway… está funcionando , apenas com o ip do pfsense inserido no dans..
Neste caso, para evitar que os usuarios pulem o dansguardian, não deixe de criar uma regra na lan impedindo a comunicação direta entre as estações e o squid.
-
Anyway… está funcionando , apenas com o ip do pfsense inserido no dans..
Neste caso, para evitar que os usuarios pulem o dansguardian, não deixe de criar uma regra na lan impedindo a comunicação direta entre as estações e o squid.
blz… regra criada...
[]s
-
Marcello,
Voltei novamente a configuração antes da instalação do dans, e tentei fazer com que o squid rodasse no loopback port 3128 e sem sucesso, só funciona na lan na porta 3128. Tentei marcar lookback como disse mas nao deu certo. Eu fiz uma alteração no squid.inc que foi;
external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=redeinterna,dc=net" -D "cn=Administrador,cn=Users,dc=redeinterna,dc=net" -w "pwd1admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=redeinterna,dc=net))" -h 10.0.0.2 -p 389
Eu teria que adicionar algo como http_acess deny all ou http_acess allow all e deixar o dans fazer o resto?
Acredito que resolvendo essa questão o dansguardian irá funcionar :) -
Voltei novamente a configuração antes da instalação do dans, e tentei fazer com que o squid rodasse no loopback port 3128 e sem sucesso, só funciona na lan na porta 3128. Tentei marcar lookback como disse mas nao deu certo. Eu fiz uma alteração no squid.inc que foi;
Colocando o squid na loopback, só daemons que estão no próprio pfsense conseguem se comunicar com ele.
A configuração que uso(portanto sei que funciona) e recomendo é a seguinte:
usuario –-> dansguardian@ip_da_lan ---> squid@127.0.0.1 ---> internet
att,
Marcello Coutinho -
Ola a Todos,
Bom só para fechar o Tópico… Após de diversas tentativas sem sucesso e o tempo curto para a implementação, resolvi deixar o pfsense fazendo somente o papel de firewall e subi um Debian para rodar o squid + Squidguard + AD, que rodou sem dificuldades.
Valeu a todos pela ajuda!!
-
marcello….
como eu conseguiria ver os logs do processo de autenticação pelo squid??? quero saber se o squid conseguiu conectar ao AD mas em todo log que olho (system, squid...) não veja nada relacionado... Caso
o processo de conexão ao AD esteja configurado incorretamente alguma notificação é feita via log???[]s
-
O cache.log do squid é o log a ser analisado para encontrar erros na autenticação.
-
Walter, recomendo utilizar o squidGuard visto que o Dansguardian não é tão simples de implementar para iniciantes, apanhei muito e depois de tudo pronto, percebi que ele não filtrava subdomínios no modo whitelist, por exemplo: talk.google.com; se você libera o google.com, o talk.google.com também está liberado; já no squidGuard isso não acontece.
Tenho um squid autenticado no AD com squidGuard rodando, se precisar de ajuda caso queria insistir, é só falar.
