Ponto de partida
-
Olá a todos
instalei o pfsense aqui e está distribuindo internet normalmente, porém meu conhecimento na área é bem restrito….
Gostaria de primeiramente apenas ver quais os sites acessados (pois preciso controlar o conteúdo)....
Não sei ao certo, quais os pacotes que tenho que instalar...estava lendo que tinha que instalar o lightsquid, estou correto? Porém quando tento instalar, ele fala que precisa do squid.
Pois bem, instalo o mesmo, só que daí nao consigo acessar mais meu webconfigurator, quando digito o endereço no browser dá erro 403 Forbidden, daí tenho que restaurar configurações de fábrica e tudo volta ao normal.Tentei ler alguns tutoriais do site mas nao ajudaram muito....
O que tenho que usar?
Por que dá este erro 403?
ou.....qual o documento que vcs me recomendam a leitura?Desde já muito obrigado
-
Boa noite Tiago,
Primeiramente bem vindo ao forum, antes de utilizar o pfSense lembre-se em ter conhecimentos de rede, TCP/IP, acesso remoto (VPN e protocolos), entendimento de logs, entre outros, pois hoje muitas dúvidas do forum relacionam-se a deficiências nestas áreas de conhecimento e não ao produto.
Vamos á sua primeira pergunta:
O que tenho que usar?
Você irá precisar de um servidor proxy (package squid, tente não utilizar a package do squid3 em ambientes de produção, ja que o mesmo encontra-se na versão BETA), após instalá-lo você precisa definir como será a autenticação através do mesmo (usuários para com a internet), se será através de uma base de dados local (pfsense), porém desta forma terá que configurar o proxy nos navegadores dos usuários para que o mesmo funcione corretamente.
Você pode querer que seus usuários utilizem a internet normalmente passando pelo proxy de forma transparente ( proxy transparente ), desta forma somente habilite a opção "Transparent proxy", assim não será necessário configurar os navegadores e todos iram acessar, por outro lado não haverá autenticação (a menos que configure o Captive Portal, mas isto é outro assunto e foge do tópico).
Por que dá este erro 403?
Após ter configurado o proxy (encontrará maiores informações em http://doc.pfsense.org), lembre-se de habilitar os usuários a navegarem na internet (se não me falha a memória é na opção "allow users in … interface"), caso não o faça, o erro 403 ( acesso negado ou Forbidden ) lhe será mostrado.
Para ter relatórios do acesso a internet, será necessário instalar a package Lightsquid, assim que instalar vá em sua configuração (Opção Proxy Reports) e configure a placa entre outras informações de acordo com o proxy, após selecione a opção "Refresh Full" e as datas e acessos serão construídos.
Qual o documento que vc me recomendam a leitura?
Caso queira efetuar bloqueios em páginas da internet, instale o SquidGuard, dúvidas em configurá-lo?
Acesse: http://diskatel.narod.ru/sgquick.htm
Para o pfSense o próprio site de documentação citado no post ou o próprio livro da qual leio e recomendo.
Obs: Como não estou com o pfSense aberto não posso lhe dar mais detalhes, mas se precisar poste.
Att.
Heitor Lessa
Blog -> http://tinodiaadia.wordpress.com -
Olá Heitor, obrigado pela força cara.
Estou lendo os links q me passou e até que está indo…
Porém algo curioso.... todos os sites entram sem problema algum (ainda nem fiz regras nem nada), deixei proxy transparente só pra ver como a coisa se comporta.
Porém um site aparentemente simples não está entrando ou quando entra leva muito tempo.Daí se tiro o pfsense da jogada ele entra rápido
www.microchip.com
Alguma idéia, pista onde eu possa investigar este problema?
obrigado novamente
-
Boa tarde Tiago,
Ótimo.
Isto aconteceu comigo em sites dinâmicos que por trás rodavam Jboss, Glassfish, Tomcat, Weblogic, Oracle Application Server, etc.
A solução?
Edite o arquivo squid.inc (faça backup do pfsense antes da alteração):
- Procure pela linha $rdr (digite /rdr no VI para encontrá-lo).
- Verás um conjunto de IP's, adicione o ip do site ou o nome dns, assim o mesmo não passará pelo proxy (bypass) e não será feito cache do mesmo.
/usr/local/pkg/squid.inc
Há varias variáveis com o nome rdr, qual é a certa?
A linha contém estes parametros:
case 'nat':
$rules .= "\n# Setup Squid proxy redirect\n";
if ($squid_conf['private_subnet_proxy_off'] == 'on') {
foreach ($ifaces as $iface) {
$rules .= "no rdr on $iface proto tcp from any to { 192.168.
0.0/16, 172.16.0.0/12, 10.0.0.0/8, …. };Adicione o IP após a vírgula, após, reinicie o serviço do squid (squid -k reconfigure).
Se o mesmo continuar, verifique os logs de firewall para ver possíveis bloqueios ou usando o tcpdump para ver o que rola no "meio" físico.
Para verificar se é o firewall o problema, desabilite-o temporariamente, acesse-o via SSH e digite:
pfctl -d (para desabilitar)
pfctl -e (para habilitar)
Qualquer dúvida estamos ae.
Abraço!
Obs: Acesse sempre o mesmo com a conta root via SSH e não admin.
Att.
Heitor Lessa -
entendi, valew pela força….
vou alterar aqui e posto os resultados depois
obrigado!!!
-
Ok, no aguardo.
-
Olá, aparentemente está funcionando….
Porém, infelizmente hoje me deparei com um problema aqui...estávamos utilizando a internet normalmente quando parou repentinamente.
Ligue o monitor do micro que estava ligado o pfsense e estava a mensagem rl0 : watchdog timeout (rl0 é a interface da minha placa ligada a LAN)A solução foi reiniciar o pfsense: opção 5 do menu e tudo voltou normalmente
Estou lendo os forum pra ver se descubro o real motivo disto.
Ontem segui os tutoriais dos links que vc passou e consegui instalar o squid, squidGuard e LightSquid, deixei funcionando com transparente proxy e com opção "allow user interface" habilitada.
Eu estava conseguindo entrar no webconfigurator normalmente, porém hoje após a reinicialização do sistema (após o watchdog timeout) não consigo mais acessar o webconfigurator (porém a rede está funcionando normalmente)
aparece a seguinte mensagem quando tento acessar (figura abaixo)Alguma pista?
obrigado desde já
-
primeira coisa, troca a placa de rede realtek, verifica a configuração do squid, porta 3128 se voce colocou a 80 ta explicado pq não acessa mais…
-
Puxa isto é muito simples ^^.
Há 3 maneiras de resolver, sendo que 1 delas eu preciso ver nas minhas anotações.
Primeiro verifique como o rafael disse, se o servidor proxy (Squid) está escutando realmente em uma porta diferente da 80 ou se você alterou a porta do WebGui sem querer.
Como a primeira vc n vai conseguir ver, exceto via SSH olhando o arquivo squid.conf, faça do jeito mais fácil:
Acesse via SSH e selecione a opção "SET LAN IP ADDRESS" e configure novamente o IP da interface LAN, isto resetará as configurações do WebGUI (Não as do pacote em si), logo você conseguirá acessar normalmente ^^.
Ou se não, você deve ter desabilitado a opção de Anti-lockout, logo, a Segunda forma resolve.
Att.
Heitor Lessa
Blog -> http://tinodiaadia.wordpress.com -
Obrigado pelas respostas
Quanto a configuração tenho certeza de ter colocado a porta 3128.
Tanto que quando eu configurei e dei apply tudo funcionava normalmente,
Hoje de manhã cheguei e acessei pra ver os reports do squid e tudo beleza também…Porém depois que deu o problema do watchdog timeout, precisei reiniciar o sistema, daí perdi esta funcionalidade do web configurator
vou tentar acessar por SSH pra corrigir isto então
Quanto a opção anti-lockou acredito que nào tenha desabilitado pois segui exatamente o tutorial....
Bem, vou tentar aqui e posto os resultados
Mais uma vez obrigado
-
Ótimo.
Então a segunda forma já resolve teu problema ^^.
No aguardo.
Att.
Heitor Lessa
Blog -> http://tinodiaadia.wordpress.com -
não estou conseguindo acessar via SSH, estou tentando usar o putty….porém dá timeout na conexão....
porém pode ser mais por inexperiência minha pois nunca mexi com SSH
em todo caso irei restaurar as configurações originais (opção 4 do menu) hoje e faço tudo de novo sem problemas...
veremos se acontece novamente...Obrigado pela atenção
-
Tiago,
Antes de acessar o SSH, pelo visto você não deve ter habilitado o SSH no servidor, se não me falha a memória é uma das últimas opções "Enable SSH", após acesse o mesmo ou vá direto no console mesmo e selecione a opção que lhe falei.
Qualquer coisa grita ae, não é necessário restaurar a configuração.
Att.
Heitor Lessa
Blog -> http://tinodiaadia.wordpress.com -
Heitor
Fui na própria máquina e fiz novamente o "SET LAN IP ADDRESS", porém continuou dando Forbidden…
Daí entrei no menu novamente e fui na opção "Restart web configurator" mas continuou na mesma
Como vc já havia previsto, o SSH estava desabilitado, agora habilitei (era a ultima opção do menu)
Após dar o "Set Lan Ip Address" preciso reiniciar a máquina? Só faltou fazer isso??
Obrigado
-
apenas para informaçào, reiniciei o sistema (opção 5 do menu) e continua dando forbidden, mesmo depois de setar Lan IP Address novamente….
mais alguma dica ou Reinstauro as configuraçoes de fábrica??
Obrigado
-
Se mesmo a opção de configurar o IP da Lan o problema não foi resolvido, se você mesmo disse que também não configurou o squid na mesma porta, também não configurou o squidGuard para bloquear tudo, então restaure as configurações de fábrica.
-
bem, refiz as configurações de fábrica, instalei squid, squidguard, lightsquid e imspector…por enquanto só squid e lightsquid rodando....
vou deixar ligado até amanha pra ver se não dá nenhum problema...
obrigado
-
Pelo visto nenhum problema até agora, certo?
Qualquer coisa, poste ai =).
-
Olá
então, problemas quanto a watchdog timeout não tive mais, talvez fosse instalação pois resolvi fazer tudo de novo e até agora está ok.
Quanto a outros problemas acho que boa parte é de minha inexperiência e por isso procuro ler bastante antes de colocar perguntas "basicas demais" como já fiz antes….
Mas em todo caso aí vai...
A meta ainda é bloquear programas de mensagens instantaneas (MSN, google Talk, Yahoo messenger e afins)
Consegui bloquear usando o DNS Forwarder porém não era a intenção bloquear o acesso ao MSDN por exemplo. Para alguns usuários postarem dúvidas era necessário logar lá e daí usava o mesmo endereço de login do live messenger, Daí tive que liberar. O meu problema é somente com 1 usuário e para este eu poderia barrar o acesso aos serviços de login do msn e afins
Porém não sei como fazer isso.
Resumindo, gostaria de barrar o acesso a determinados links (mesmo que fique desabilitado e-mail do hotmail) para apenas alguns usuários na rede. Mas por onde fazer isso? Pois o DHCP está habilitado e daí não posso fazer uma regra pelo IP, correto?Qual o caminho das pedras??
Obrigado
-
Bom o dhcp não te impede de fazer algo, se quiser fazer algo por ip coloque o mesmo como fixo, na parte dchp leases existe um botão que você colocando o mesmo sempre ficará com esse ip, claro se a placa queimar ou o cara esperto trocar o mac, sempre existe uma maneira neh, mas isso é o de menos, caso queira bloquear por ip, instale o squid e squidguard, crie uma regra para esse ip.