Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ponto de partida

    Scheduled Pinned Locked Moved Portuguese
    20 Posts 3 Posters 9.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      Tiago
      last edited by

      Olá a todos

      instalei o pfsense aqui e está distribuindo internet normalmente, porém meu conhecimento na área é bem restrito….

      Gostaria de primeiramente apenas ver quais os sites acessados (pois preciso controlar o conteúdo)....

      Não sei ao certo, quais os pacotes que tenho que instalar...estava lendo que tinha que instalar o lightsquid, estou correto? Porém quando tento instalar, ele fala que precisa do squid.
      Pois bem, instalo o mesmo, só que daí nao consigo acessar mais meu webconfigurator, quando digito o endereço no browser dá erro 403 Forbidden, daí tenho que restaurar configurações de fábrica e tudo volta ao normal.

      Tentei ler alguns tutoriais do site mas nao ajudaram muito....

      O que tenho que usar?
      Por que dá este erro 403?
      ou.....qual o documento que vcs me recomendam a leitura?

      Desde já muito obrigado

      1 Reply Last reply Reply Quote 0
      • H
        heitor.lessa
        last edited by

        Boa noite Tiago,

        Primeiramente bem vindo ao forum, antes de utilizar o pfSense lembre-se em ter conhecimentos de rede, TCP/IP, acesso remoto (VPN e protocolos), entendimento de logs, entre outros, pois hoje muitas dúvidas do forum relacionam-se a deficiências nestas áreas de conhecimento e não ao produto.

        Vamos á sua primeira pergunta:

        O que tenho que usar?

        Você irá precisar de um servidor proxy (package squid, tente não utilizar a package do squid3 em ambientes de produção, ja que o mesmo encontra-se na versão BETA), após instalá-lo você precisa definir como será a autenticação através do mesmo (usuários para com a internet), se será através de uma base de dados local (pfsense), porém desta forma terá que configurar o proxy nos navegadores dos usuários para que o mesmo funcione corretamente.

        Você pode querer que seus usuários utilizem a internet normalmente passando pelo proxy de forma transparente ( proxy transparente ), desta forma somente habilite a opção "Transparent proxy", assim não será necessário configurar os navegadores e todos iram acessar, por outro lado não haverá autenticação (a menos que configure o Captive Portal, mas isto é outro assunto e foge do tópico).

        Por que dá este erro 403?

        Após ter configurado o proxy (encontrará maiores informações em http://doc.pfsense.org), lembre-se de habilitar os usuários a navegarem na internet (se não me falha a memória é na opção "allow users in … interface"), caso não o faça, o erro 403 ( acesso negado ou Forbidden ) lhe será mostrado.

        Para ter relatórios do acesso a internet, será necessário instalar a package Lightsquid, assim que instalar vá em sua configuração (Opção Proxy Reports) e configure a placa entre outras informações de acordo com o proxy, após selecione a opção "Refresh Full" e as datas e acessos serão construídos.

        Qual o documento que vc me recomendam a leitura?

        Caso queira efetuar bloqueios em páginas da internet, instale o SquidGuard, dúvidas em configurá-lo?

        Acesse: http://diskatel.narod.ru/sgquick.htm

        Para o pfSense o próprio site de documentação citado no post ou o próprio livro da qual leio e recomendo.

        Obs: Como não estou com o pfSense aberto não posso lhe dar mais detalhes, mas se precisar poste.

        Att.
        Heitor Lessa
        Blog -> http://tinodiaadia.wordpress.com

        1 Reply Last reply Reply Quote 0
        • T
          Tiago
          last edited by

          Olá Heitor, obrigado pela força cara.

          Estou lendo os links q me passou e até que está indo…

          Porém algo curioso.... todos os sites entram sem problema algum (ainda nem fiz regras nem nada), deixei proxy transparente só pra ver como a coisa se comporta.
          Porém um site aparentemente simples não está entrando ou quando entra leva muito tempo.

          Daí se tiro o pfsense da jogada ele entra rápido

          www.microchip.com

          Alguma idéia, pista onde eu possa investigar este problema?

          obrigado novamente

          1 Reply Last reply Reply Quote 0
          • H
            heitor.lessa
            last edited by

            Boa tarde Tiago,

            Ótimo.

            Isto aconteceu comigo em sites dinâmicos que por trás rodavam Jboss, Glassfish, Tomcat, Weblogic, Oracle Application Server, etc.

            A solução?

            Edite o arquivo squid.inc (faça backup do pfsense antes da alteração):

            • Procure pela linha $rdr (digite /rdr no VI para encontrá-lo).
            • Verás um conjunto de IP's, adicione o ip do site ou o nome dns, assim o mesmo não passará pelo proxy (bypass) e não será feito cache do mesmo.

            /usr/local/pkg/squid.inc

            Há varias variáveis com o nome rdr, qual é a certa?

            A linha contém estes parametros:

            case 'nat':
                                    $rules .= "\n# Setup Squid proxy redirect\n";
                                    if ($squid_conf['private_subnet_proxy_off'] == 'on') {
                                            foreach ($ifaces as $iface) {
                                                    $rules .= "no rdr on $iface proto tcp from any to { 192.168.
            0.0/16, 172.16.0.0/12, 10.0.0.0/8, …. };

            Adicione o IP após a vírgula, após, reinicie o serviço do squid (squid -k reconfigure).

            Se o mesmo continuar, verifique os logs de firewall para ver possíveis bloqueios ou usando o tcpdump para ver o que rola no "meio" físico.

            Para verificar se é o firewall o problema, desabilite-o temporariamente, acesse-o via SSH e digite:

            pfctl -d (para desabilitar)

            pfctl -e (para habilitar)

            Qualquer dúvida estamos ae.

            Abraço!

            Obs: Acesse sempre o mesmo com a conta root via SSH e não admin.

            Att.
            Heitor Lessa

            1 Reply Last reply Reply Quote 0
            • T
              Tiago
              last edited by

              entendi, valew pela força….

              vou alterar aqui e posto os resultados depois

              obrigado!!!

              1 Reply Last reply Reply Quote 0
              • H
                heitor.lessa
                last edited by

                Ok, no aguardo.

                1 Reply Last reply Reply Quote 0
                • T
                  Tiago
                  last edited by

                  Olá, aparentemente está funcionando….

                  Porém, infelizmente hoje me deparei com um problema aqui...estávamos utilizando a internet normalmente quando parou repentinamente.
                  Ligue o monitor do micro que estava ligado o pfsense e estava a mensagem rl0 : watchdog timeout (rl0 é a interface da minha placa ligada a LAN)

                  A solução foi reiniciar o pfsense: opção 5 do menu e tudo voltou normalmente

                  Estou lendo os forum pra ver se descubro o real motivo disto.

                  Ontem segui os tutoriais dos links que vc passou e consegui instalar o squid, squidGuard e LightSquid, deixei funcionando com transparente proxy e com opção "allow user interface" habilitada.
                  Eu estava conseguindo entrar no webconfigurator normalmente, porém hoje após a reinicialização do sistema (após o watchdog timeout) não consigo mais acessar o webconfigurator (porém a rede está funcionando normalmente)
                  aparece a seguinte mensagem quando tento acessar (figura abaixo)

                  Alguma pista?

                  obrigado desde já

                  pfsense.jpg
                  pfsense.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • R
                    rafael.cardoso
                    last edited by

                    primeira coisa, troca a placa de rede realtek, verifica a configuração do squid, porta 3128 se voce colocou a 80 ta explicado pq não acessa mais…

                    Respect is Everything!

                    1 Reply Last reply Reply Quote 0
                    • H
                      heitor.lessa
                      last edited by

                      Puxa isto é muito simples ^^.

                      Há 3 maneiras de resolver, sendo que 1 delas eu preciso ver nas minhas anotações.

                      Primeiro verifique como o rafael disse, se o servidor proxy (Squid) está escutando realmente em uma porta diferente da 80 ou se você alterou a porta do WebGui sem querer.

                      Como a primeira vc n vai conseguir ver, exceto via SSH olhando o arquivo squid.conf, faça do jeito mais fácil:

                      Acesse via SSH e selecione a opção "SET LAN IP ADDRESS" e configure novamente o IP da interface LAN, isto resetará as configurações do WebGUI (Não as do pacote em si), logo você conseguirá acessar normalmente ^^.

                      Ou se não, você deve ter desabilitado a opção de Anti-lockout, logo, a Segunda forma resolve.

                      Att.
                      Heitor Lessa
                      Blog -> http://tinodiaadia.wordpress.com

                      1 Reply Last reply Reply Quote 0
                      • T
                        Tiago
                        last edited by

                        Obrigado pelas respostas

                        Quanto a configuração tenho certeza de ter colocado a porta 3128.
                        Tanto que quando eu configurei e dei apply tudo funcionava normalmente,
                        Hoje de manhã cheguei e acessei pra ver os reports do squid e tudo beleza também…

                        Porém depois que deu o problema do watchdog timeout, precisei reiniciar o sistema, daí perdi esta funcionalidade do web configurator

                        vou tentar acessar por SSH pra corrigir isto então

                        Quanto a opção anti-lockou acredito que nào tenha desabilitado pois segui exatamente o tutorial....

                        Bem, vou tentar aqui e posto os resultados

                        Mais uma vez obrigado

                        1 Reply Last reply Reply Quote 0
                        • H
                          heitor.lessa
                          last edited by

                          Ótimo.

                          Então a segunda forma já resolve teu problema ^^.

                          No aguardo.

                          Att.
                          Heitor Lessa
                          Blog -> http://tinodiaadia.wordpress.com

                          1 Reply Last reply Reply Quote 0
                          • T
                            Tiago
                            last edited by

                            não estou conseguindo acessar via SSH, estou tentando usar o putty….porém dá timeout na conexão....
                            porém pode ser mais por inexperiência minha pois nunca mexi com SSH
                            em todo caso irei restaurar as configurações originais (opção 4 do menu) hoje e faço tudo de novo sem problemas...
                            veremos se acontece novamente...

                            Obrigado pela atenção

                            1 Reply Last reply Reply Quote 0
                            • H
                              heitor.lessa
                              last edited by

                              Tiago,

                              Antes de acessar o SSH, pelo visto você não deve ter habilitado o SSH no servidor, se não me falha a memória é uma das últimas opções "Enable SSH", após acesse o mesmo ou vá direto no console mesmo e selecione a opção que lhe falei.

                              Qualquer coisa grita ae, não é necessário restaurar a configuração.

                              Att.
                              Heitor Lessa
                              Blog -> http://tinodiaadia.wordpress.com

                              1 Reply Last reply Reply Quote 0
                              • T
                                Tiago
                                last edited by

                                Heitor

                                Fui na própria máquina e fiz novamente o "SET LAN IP ADDRESS", porém continuou dando Forbidden…

                                Daí entrei no menu novamente e fui na opção "Restart web configurator" mas continuou na mesma

                                Como vc já havia previsto, o SSH estava desabilitado, agora habilitei (era a ultima opção do menu)

                                Após dar o "Set Lan Ip Address" preciso reiniciar a máquina? Só faltou fazer isso??

                                Obrigado

                                1 Reply Last reply Reply Quote 0
                                • T
                                  Tiago
                                  last edited by

                                  apenas para informaçào, reiniciei o sistema (opção 5 do menu) e continua dando forbidden, mesmo depois de setar Lan IP Address novamente….

                                  mais alguma dica ou Reinstauro as configuraçoes de fábrica??

                                  Obrigado

                                  1 Reply Last reply Reply Quote 0
                                  • H
                                    heitor.lessa
                                    last edited by

                                    Se mesmo a opção de configurar o IP da Lan o problema não foi resolvido, se você mesmo disse que também não configurou o squid na mesma porta, também não configurou o squidGuard para bloquear tudo, então restaure as configurações de fábrica.

                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      Tiago
                                      last edited by

                                      bem, refiz as configurações de fábrica, instalei squid, squidguard, lightsquid e imspector…por enquanto só squid e lightsquid rodando....

                                      vou deixar ligado até amanha pra ver se não dá nenhum problema...

                                      obrigado

                                      1 Reply Last reply Reply Quote 0
                                      • H
                                        heitor.lessa
                                        last edited by

                                        Pelo visto nenhum problema até agora, certo?

                                        Qualquer coisa, poste ai =).

                                        1 Reply Last reply Reply Quote 0
                                        • T
                                          Tiago
                                          last edited by

                                          Olá

                                          então, problemas quanto a watchdog timeout não tive mais, talvez fosse instalação pois resolvi fazer tudo de novo e até agora está ok.

                                          Quanto a outros problemas acho que boa parte é de minha inexperiência e por isso procuro ler bastante antes de colocar perguntas "basicas demais" como já fiz antes….

                                          Mas em todo caso aí vai...

                                          A meta ainda é bloquear programas de mensagens instantaneas (MSN, google Talk, Yahoo messenger e afins)

                                          Consegui bloquear usando o DNS Forwarder porém não era a intenção bloquear o acesso ao MSDN por exemplo. Para alguns usuários postarem dúvidas era necessário logar lá e daí usava o mesmo endereço de login do live messenger, Daí tive que liberar. O meu problema é somente com 1 usuário e para este eu poderia barrar o acesso aos serviços de login do msn e afins
                                          Porém não sei como fazer isso.
                                          Resumindo, gostaria de barrar o acesso a determinados links (mesmo que fique desabilitado e-mail do hotmail) para apenas alguns usuários na rede. Mas por onde fazer isso? Pois o DHCP está habilitado e daí não posso fazer uma regra pelo IP, correto?

                                          Qual o caminho das pedras??

                                          Obrigado

                                          1 Reply Last reply Reply Quote 0
                                          • R
                                            rafael.cardoso
                                            last edited by

                                            Bom o dhcp não te impede de fazer algo, se quiser fazer algo por ip coloque o mesmo como fixo, na parte dchp leases existe um botão que você colocando o mesmo sempre ficará com esse ip, claro se a placa queimar ou o cara esperto trocar o mac, sempre existe uma maneira neh, mas isso é o de menos, caso queira bloquear por ip, instale o squid e squidguard, crie uma regra para esse ip.

                                            Respect is Everything!

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.