Como liberar CIDR no SquidGuard?
-
Pessoal, etou com uma dúvida que parece ser bem simples mas não estou conseguindo resolver.
Meu firewall deixei como default deny, libero somente o que preciso e uso wpad para autoconfigurar o proxy, forçando proxy nos clientes de forma transparente ao usuário (não confundir com squid modo transparente).
Estou usando squid+squidguard.
Minha dúvida é: como liberar os clientes para acessar a rede 10.0.0.0/8 via web?
Já tentei criar um target categorie e adicionar 10.0.0.0/8 em domain list, mas não é aceito por não ser domínio.
Alguém sabe como posso liberar?pfsense 2.2-RELEASE (amd64)
squid 3.4.10_2 pkg 0.2.6
squidguard 1.4_7 pkg v.1.9.10 -
Você cria um grupo em Groups ACL e no campo Client (source) coloca a rede, ip, faixa, etc…
-
Não é isso amigo, meus grupos estão configurados direitinho.
A rede 10.0.0.0/8 eu quero liberar como destino, não como source.
Os usuários internos precisam acessar diretamente via IP na porta 80, mas não estou sabendo como liberar o destino no squidguard. -
Opa!!!
Então, pra ver se eu entendi, vc quer liberar como destino 10.0.0.0/8 pela porta 80?
Então vai em firewall > Rules > Lan e configura um pass na porta 80 pra esse ip com src lan net…É isso?
-
Mais ou menos isso, só que nosso firewall tá configurado pra bloquear tudo, e as máquinas clientes tem proxy forçado para o pfsense, assim só navega 80 ou 443 com proxy. Nas regras do squidguard, mesma coisa, deny em tudo e whitelist só para os sites necessários ao trabalho de cada departamento. Consigo liberar de boa domínios e IP's, mas não CIDR. Com certeza não é no campo domain, talvez seja no campo para regex…
-
bom, vc pode tentar por range tipo 10.0.0.0-10.255.255.255
Nunca fiz isso e não sei se dá certo, geralmente eu trato isso pelo firewall e não por acl, mas vale a tentativa -
Bom, funcionou como regex mesmo, usando a expressão
^10\.
Dentro do campo "Regular Expression", em Target Categories.
Acontece que temos uma rede com milhares de dispositivos remotos acessados somente através do IP.
Não sei se é a maneira correta, mas funcionou pra mim, por enquanto.
Valeu aí pelo interesse em ajudar :)