Ponto de partida



  • Olá a todos

    instalei o pfsense aqui e está distribuindo internet normalmente, porém meu conhecimento na área é bem restrito….

    Gostaria de primeiramente apenas ver quais os sites acessados (pois preciso controlar o conteúdo)....

    Não sei ao certo, quais os pacotes que tenho que instalar...estava lendo que tinha que instalar o lightsquid, estou correto? Porém quando tento instalar, ele fala que precisa do squid.
    Pois bem, instalo o mesmo, só que daí nao consigo acessar mais meu webconfigurator, quando digito o endereço no browser dá erro 403 Forbidden, daí tenho que restaurar configurações de fábrica e tudo volta ao normal.

    Tentei ler alguns tutoriais do site mas nao ajudaram muito....

    O que tenho que usar?
    Por que dá este erro 403?
    ou.....qual o documento que vcs me recomendam a leitura?

    Desde já muito obrigado



  • Boa noite Tiago,

    Primeiramente bem vindo ao forum, antes de utilizar o pfSense lembre-se em ter conhecimentos de rede, TCP/IP, acesso remoto (VPN e protocolos), entendimento de logs, entre outros, pois hoje muitas dúvidas do forum relacionam-se a deficiências nestas áreas de conhecimento e não ao produto.

    Vamos á sua primeira pergunta:

    O que tenho que usar?

    Você irá precisar de um servidor proxy (package squid, tente não utilizar a package do squid3 em ambientes de produção, ja que o mesmo encontra-se na versão BETA), após instalá-lo você precisa definir como será a autenticação através do mesmo (usuários para com a internet), se será através de uma base de dados local (pfsense), porém desta forma terá que configurar o proxy nos navegadores dos usuários para que o mesmo funcione corretamente.

    Você pode querer que seus usuários utilizem a internet normalmente passando pelo proxy de forma transparente ( proxy transparente ), desta forma somente habilite a opção "Transparent proxy", assim não será necessário configurar os navegadores e todos iram acessar, por outro lado não haverá autenticação (a menos que configure o Captive Portal, mas isto é outro assunto e foge do tópico).

    Por que dá este erro 403?

    Após ter configurado o proxy (encontrará maiores informações em http://doc.pfsense.org), lembre-se de habilitar os usuários a navegarem na internet (se não me falha a memória é na opção "allow users in … interface"), caso não o faça, o erro 403 ( acesso negado ou Forbidden ) lhe será mostrado.

    Para ter relatórios do acesso a internet, será necessário instalar a package Lightsquid, assim que instalar vá em sua configuração (Opção Proxy Reports) e configure a placa entre outras informações de acordo com o proxy, após selecione a opção "Refresh Full" e as datas e acessos serão construídos.

    Qual o documento que vc me recomendam a leitura?

    Caso queira efetuar bloqueios em páginas da internet, instale o SquidGuard, dúvidas em configurá-lo?

    Acesse: http://diskatel.narod.ru/sgquick.htm

    Para o pfSense o próprio site de documentação citado no post ou o próprio livro da qual leio e recomendo.

    Obs: Como não estou com o pfSense aberto não posso lhe dar mais detalhes, mas se precisar poste.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com



  • Olá Heitor, obrigado pela força cara.

    Estou lendo os links q me passou e até que está indo…

    Porém algo curioso.... todos os sites entram sem problema algum (ainda nem fiz regras nem nada), deixei proxy transparente só pra ver como a coisa se comporta.
    Porém um site aparentemente simples não está entrando ou quando entra leva muito tempo.

    Daí se tiro o pfsense da jogada ele entra rápido

    www.microchip.com

    Alguma idéia, pista onde eu possa investigar este problema?

    obrigado novamente



  • Boa tarde Tiago,

    Ótimo.

    Isto aconteceu comigo em sites dinâmicos que por trás rodavam Jboss, Glassfish, Tomcat, Weblogic, Oracle Application Server, etc.

    A solução?

    Edite o arquivo squid.inc (faça backup do pfsense antes da alteração):

    • Procure pela linha $rdr (digite /rdr no VI para encontrá-lo).
    • Verás um conjunto de IP's, adicione o ip do site ou o nome dns, assim o mesmo não passará pelo proxy (bypass) e não será feito cache do mesmo.

    /usr/local/pkg/squid.inc

    Há varias variáveis com o nome rdr, qual é a certa?

    A linha contém estes parametros:

    case 'nat':
                            $rules .= "\n# Setup Squid proxy redirect\n";
                            if ($squid_conf['private_subnet_proxy_off'] == 'on') {
                                    foreach ($ifaces as $iface) {
                                            $rules .= "no rdr on $iface proto tcp from any to { 192.168.
    0.0/16, 172.16.0.0/12, 10.0.0.0/8, …. };

    Adicione o IP após a vírgula, após, reinicie o serviço do squid (squid -k reconfigure).

    Se o mesmo continuar, verifique os logs de firewall para ver possíveis bloqueios ou usando o tcpdump para ver o que rola no "meio" físico.

    Para verificar se é o firewall o problema, desabilite-o temporariamente, acesse-o via SSH e digite:

    pfctl -d (para desabilitar)

    pfctl -e (para habilitar)

    Qualquer dúvida estamos ae.

    Abraço!

    Obs: Acesse sempre o mesmo com a conta root via SSH e não admin.

    Att.
    Heitor Lessa



  • entendi, valew pela força….

    vou alterar aqui e posto os resultados depois

    obrigado!!!



  • Ok, no aguardo.



  • Olá, aparentemente está funcionando….

    Porém, infelizmente hoje me deparei com um problema aqui...estávamos utilizando a internet normalmente quando parou repentinamente.
    Ligue o monitor do micro que estava ligado o pfsense e estava a mensagem rl0 : watchdog timeout (rl0 é a interface da minha placa ligada a LAN)

    A solução foi reiniciar o pfsense: opção 5 do menu e tudo voltou normalmente

    Estou lendo os forum pra ver se descubro o real motivo disto.

    Ontem segui os tutoriais dos links que vc passou e consegui instalar o squid, squidGuard e LightSquid, deixei funcionando com transparente proxy e com opção "allow user interface" habilitada.
    Eu estava conseguindo entrar no webconfigurator normalmente, porém hoje após a reinicialização do sistema (após o watchdog timeout) não consigo mais acessar o webconfigurator (porém a rede está funcionando normalmente)
    aparece a seguinte mensagem quando tento acessar (figura abaixo)

    Alguma pista?

    obrigado desde já




  • primeira coisa, troca a placa de rede realtek, verifica a configuração do squid, porta 3128 se voce colocou a 80 ta explicado pq não acessa mais…



  • Puxa isto é muito simples ^^.

    Há 3 maneiras de resolver, sendo que 1 delas eu preciso ver nas minhas anotações.

    Primeiro verifique como o rafael disse, se o servidor proxy (Squid) está escutando realmente em uma porta diferente da 80 ou se você alterou a porta do WebGui sem querer.

    Como a primeira vc n vai conseguir ver, exceto via SSH olhando o arquivo squid.conf, faça do jeito mais fácil:

    Acesse via SSH e selecione a opção "SET LAN IP ADDRESS" e configure novamente o IP da interface LAN, isto resetará as configurações do WebGUI (Não as do pacote em si), logo você conseguirá acessar normalmente ^^.

    Ou se não, você deve ter desabilitado a opção de Anti-lockout, logo, a Segunda forma resolve.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com



  • Obrigado pelas respostas

    Quanto a configuração tenho certeza de ter colocado a porta 3128.
    Tanto que quando eu configurei e dei apply tudo funcionava normalmente,
    Hoje de manhã cheguei e acessei pra ver os reports do squid e tudo beleza também…

    Porém depois que deu o problema do watchdog timeout, precisei reiniciar o sistema, daí perdi esta funcionalidade do web configurator

    vou tentar acessar por SSH pra corrigir isto então

    Quanto a opção anti-lockou acredito que nào tenha desabilitado pois segui exatamente o tutorial....

    Bem, vou tentar aqui e posto os resultados

    Mais uma vez obrigado



  • Ótimo.

    Então a segunda forma já resolve teu problema ^^.

    No aguardo.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com



  • não estou conseguindo acessar via SSH, estou tentando usar o putty….porém dá timeout na conexão....
    porém pode ser mais por inexperiência minha pois nunca mexi com SSH
    em todo caso irei restaurar as configurações originais (opção 4 do menu) hoje e faço tudo de novo sem problemas...
    veremos se acontece novamente...

    Obrigado pela atenção



  • Tiago,

    Antes de acessar o SSH, pelo visto você não deve ter habilitado o SSH no servidor, se não me falha a memória é uma das últimas opções "Enable SSH", após acesse o mesmo ou vá direto no console mesmo e selecione a opção que lhe falei.

    Qualquer coisa grita ae, não é necessário restaurar a configuração.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com



  • Heitor

    Fui na própria máquina e fiz novamente o "SET LAN IP ADDRESS", porém continuou dando Forbidden…

    Daí entrei no menu novamente e fui na opção "Restart web configurator" mas continuou na mesma

    Como vc já havia previsto, o SSH estava desabilitado, agora habilitei (era a ultima opção do menu)

    Após dar o "Set Lan Ip Address" preciso reiniciar a máquina? Só faltou fazer isso??

    Obrigado



  • apenas para informaçào, reiniciei o sistema (opção 5 do menu) e continua dando forbidden, mesmo depois de setar Lan IP Address novamente….

    mais alguma dica ou Reinstauro as configuraçoes de fábrica??

    Obrigado



  • Se mesmo a opção de configurar o IP da Lan o problema não foi resolvido, se você mesmo disse que também não configurou o squid na mesma porta, também não configurou o squidGuard para bloquear tudo, então restaure as configurações de fábrica.



  • bem, refiz as configurações de fábrica, instalei squid, squidguard, lightsquid e imspector…por enquanto só squid e lightsquid rodando....

    vou deixar ligado até amanha pra ver se não dá nenhum problema...

    obrigado



  • Pelo visto nenhum problema até agora, certo?

    Qualquer coisa, poste ai =).



  • Olá

    então, problemas quanto a watchdog timeout não tive mais, talvez fosse instalação pois resolvi fazer tudo de novo e até agora está ok.

    Quanto a outros problemas acho que boa parte é de minha inexperiência e por isso procuro ler bastante antes de colocar perguntas "basicas demais" como já fiz antes….

    Mas em todo caso aí vai...

    A meta ainda é bloquear programas de mensagens instantaneas (MSN, google Talk, Yahoo messenger e afins)

    Consegui bloquear usando o DNS Forwarder porém não era a intenção bloquear o acesso ao MSDN por exemplo. Para alguns usuários postarem dúvidas era necessário logar lá e daí usava o mesmo endereço de login do live messenger, Daí tive que liberar. O meu problema é somente com 1 usuário e para este eu poderia barrar o acesso aos serviços de login do msn e afins
    Porém não sei como fazer isso.
    Resumindo, gostaria de barrar o acesso a determinados links (mesmo que fique desabilitado e-mail do hotmail) para apenas alguns usuários na rede. Mas por onde fazer isso? Pois o DHCP está habilitado e daí não posso fazer uma regra pelo IP, correto?

    Qual o caminho das pedras??

    Obrigado



  • Bom o dhcp não te impede de fazer algo, se quiser fazer algo por ip coloque o mesmo como fixo, na parte dchp leases existe um botão que você colocando o mesmo sempre ficará com esse ip, claro se a placa queimar ou o cara esperto trocar o mac, sempre existe uma maneira neh, mas isso é o de menos, caso queira bloquear por ip, instale o squid e squidguard, crie uma regra para esse ip.


Locked