1. Home
  2. pfSense International Support
  3. Portuguese
  4. Ponto de partida

Ponto de partida

  • T

    Olá a todos

    instalei o pfsense aqui e está distribuindo internet normalmente, porém meu conhecimento na área é bem restrito….

    Gostaria de primeiramente apenas ver quais os sites acessados (pois preciso controlar o conteúdo)....

    Não sei ao certo, quais os pacotes que tenho que instalar...estava lendo que tinha que instalar o lightsquid, estou correto? Porém quando tento instalar, ele fala que precisa do squid.
    Pois bem, instalo o mesmo, só que daí nao consigo acessar mais meu webconfigurator, quando digito o endereço no browser dá erro 403 Forbidden, daí tenho que restaurar configurações de fábrica e tudo volta ao normal.

    Tentei ler alguns tutoriais do site mas nao ajudaram muito....

    O que tenho que usar?
    Por que dá este erro 403?
    ou.....qual o documento que vcs me recomendam a leitura?

    Desde já muito obrigado

    0
  • H

    Boa noite Tiago,

    Primeiramente bem vindo ao forum, antes de utilizar o pfSense lembre-se em ter conhecimentos de rede, TCP/IP, acesso remoto (VPN e protocolos), entendimento de logs, entre outros, pois hoje muitas dúvidas do forum relacionam-se a deficiências nestas áreas de conhecimento e não ao produto.

    Vamos á sua primeira pergunta:

    O que tenho que usar?

    Você irá precisar de um servidor proxy (package squid, tente não utilizar a package do squid3 em ambientes de produção, ja que o mesmo encontra-se na versão BETA), após instalá-lo você precisa definir como será a autenticação através do mesmo (usuários para com a internet), se será através de uma base de dados local (pfsense), porém desta forma terá que configurar o proxy nos navegadores dos usuários para que o mesmo funcione corretamente.

    Você pode querer que seus usuários utilizem a internet normalmente passando pelo proxy de forma transparente ( proxy transparente ), desta forma somente habilite a opção "Transparent proxy", assim não será necessário configurar os navegadores e todos iram acessar, por outro lado não haverá autenticação (a menos que configure o Captive Portal, mas isto é outro assunto e foge do tópico).

    Por que dá este erro 403?

    Após ter configurado o proxy (encontrará maiores informações em http://doc.pfsense.org), lembre-se de habilitar os usuários a navegarem na internet (se não me falha a memória é na opção "allow users in … interface"), caso não o faça, o erro 403 ( acesso negado ou Forbidden ) lhe será mostrado.

    Para ter relatórios do acesso a internet, será necessário instalar a package Lightsquid, assim que instalar vá em sua configuração (Opção Proxy Reports) e configure a placa entre outras informações de acordo com o proxy, após selecione a opção "Refresh Full" e as datas e acessos serão construídos.

    Qual o documento que vc me recomendam a leitura?

    Caso queira efetuar bloqueios em páginas da internet, instale o SquidGuard, dúvidas em configurá-lo?

    Acesse: http://diskatel.narod.ru/sgquick.htm

    Para o pfSense o próprio site de documentação citado no post ou o próprio livro da qual leio e recomendo.

    Obs: Como não estou com o pfSense aberto não posso lhe dar mais detalhes, mas se precisar poste.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com

    0
  • T

    Olá Heitor, obrigado pela força cara.

    Estou lendo os links q me passou e até que está indo…

    Porém algo curioso.... todos os sites entram sem problema algum (ainda nem fiz regras nem nada), deixei proxy transparente só pra ver como a coisa se comporta.
    Porém um site aparentemente simples não está entrando ou quando entra leva muito tempo.

    Daí se tiro o pfsense da jogada ele entra rápido

    www.microchip.com

    Alguma idéia, pista onde eu possa investigar este problema?

    obrigado novamente

    0
  • H

    Boa tarde Tiago,

    Ótimo.

    Isto aconteceu comigo em sites dinâmicos que por trás rodavam Jboss, Glassfish, Tomcat, Weblogic, Oracle Application Server, etc.

    A solução?

    Edite o arquivo squid.inc (faça backup do pfsense antes da alteração):

    • Procure pela linha $rdr (digite /rdr no VI para encontrá-lo).
    • Verás um conjunto de IP's, adicione o ip do site ou o nome dns, assim o mesmo não passará pelo proxy (bypass) e não será feito cache do mesmo.

    /usr/local/pkg/squid.inc

    Há varias variáveis com o nome rdr, qual é a certa?

    A linha contém estes parametros:

    case 'nat':
                            $rules .= "\n# Setup Squid proxy redirect\n";
                            if ($squid_conf['private_subnet_proxy_off'] == 'on') {
                                    foreach ($ifaces as $iface) {
                                            $rules .= "no rdr on $iface proto tcp from any to { 192.168.
    0.0/16, 172.16.0.0/12, 10.0.0.0/8, …. };

    Adicione o IP após a vírgula, após, reinicie o serviço do squid (squid -k reconfigure).

    Se o mesmo continuar, verifique os logs de firewall para ver possíveis bloqueios ou usando o tcpdump para ver o que rola no "meio" físico.

    Para verificar se é o firewall o problema, desabilite-o temporariamente, acesse-o via SSH e digite:

    pfctl -d (para desabilitar)

    pfctl -e (para habilitar)

    Qualquer dúvida estamos ae.

    Abraço!

    Obs: Acesse sempre o mesmo com a conta root via SSH e não admin.

    Att.
    Heitor Lessa

    0
  • T

    entendi, valew pela força….

    vou alterar aqui e posto os resultados depois

    obrigado!!!

    0
  • H

    Ok, no aguardo.

    0
  • T

    Olá, aparentemente está funcionando….

    Porém, infelizmente hoje me deparei com um problema aqui...estávamos utilizando a internet normalmente quando parou repentinamente.
    Ligue o monitor do micro que estava ligado o pfsense e estava a mensagem rl0 : watchdog timeout (rl0 é a interface da minha placa ligada a LAN)

    A solução foi reiniciar o pfsense: opção 5 do menu e tudo voltou normalmente

    Estou lendo os forum pra ver se descubro o real motivo disto.

    Ontem segui os tutoriais dos links que vc passou e consegui instalar o squid, squidGuard e LightSquid, deixei funcionando com transparente proxy e com opção "allow user interface" habilitada.
    Eu estava conseguindo entrar no webconfigurator normalmente, porém hoje após a reinicialização do sistema (após o watchdog timeout) não consigo mais acessar o webconfigurator (porém a rede está funcionando normalmente)
    aparece a seguinte mensagem quando tento acessar (figura abaixo)

    Alguma pista?

    obrigado desde já


    0
  • R

    primeira coisa, troca a placa de rede realtek, verifica a configuração do squid, porta 3128 se voce colocou a 80 ta explicado pq não acessa mais…

    0
  • H

    Puxa isto é muito simples ^^.

    Há 3 maneiras de resolver, sendo que 1 delas eu preciso ver nas minhas anotações.

    Primeiro verifique como o rafael disse, se o servidor proxy (Squid) está escutando realmente em uma porta diferente da 80 ou se você alterou a porta do WebGui sem querer.

    Como a primeira vc n vai conseguir ver, exceto via SSH olhando o arquivo squid.conf, faça do jeito mais fácil:

    Acesse via SSH e selecione a opção "SET LAN IP ADDRESS" e configure novamente o IP da interface LAN, isto resetará as configurações do WebGUI (Não as do pacote em si), logo você conseguirá acessar normalmente ^^.

    Ou se não, você deve ter desabilitado a opção de Anti-lockout, logo, a Segunda forma resolve.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com

    0
  • T

    Obrigado pelas respostas

    Quanto a configuração tenho certeza de ter colocado a porta 3128.
    Tanto que quando eu configurei e dei apply tudo funcionava normalmente,
    Hoje de manhã cheguei e acessei pra ver os reports do squid e tudo beleza também…

    Porém depois que deu o problema do watchdog timeout, precisei reiniciar o sistema, daí perdi esta funcionalidade do web configurator

    vou tentar acessar por SSH pra corrigir isto então

    Quanto a opção anti-lockou acredito que nào tenha desabilitado pois segui exatamente o tutorial....

    Bem, vou tentar aqui e posto os resultados

    Mais uma vez obrigado

    0
  • H

    Ótimo.

    Então a segunda forma já resolve teu problema ^^.

    No aguardo.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com

    0
  • T

    não estou conseguindo acessar via SSH, estou tentando usar o putty….porém dá timeout na conexão....
    porém pode ser mais por inexperiência minha pois nunca mexi com SSH
    em todo caso irei restaurar as configurações originais (opção 4 do menu) hoje e faço tudo de novo sem problemas...
    veremos se acontece novamente...

    Obrigado pela atenção

    0
  • H

    Tiago,

    Antes de acessar o SSH, pelo visto você não deve ter habilitado o SSH no servidor, se não me falha a memória é uma das últimas opções "Enable SSH", após acesse o mesmo ou vá direto no console mesmo e selecione a opção que lhe falei.

    Qualquer coisa grita ae, não é necessário restaurar a configuração.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com

    0
  • T

    Heitor

    Fui na própria máquina e fiz novamente o "SET LAN IP ADDRESS", porém continuou dando Forbidden…

    Daí entrei no menu novamente e fui na opção "Restart web configurator" mas continuou na mesma

    Como vc já havia previsto, o SSH estava desabilitado, agora habilitei (era a ultima opção do menu)

    Após dar o "Set Lan Ip Address" preciso reiniciar a máquina? Só faltou fazer isso??

    Obrigado

    0
  • T

    apenas para informaçào, reiniciei o sistema (opção 5 do menu) e continua dando forbidden, mesmo depois de setar Lan IP Address novamente….

    mais alguma dica ou Reinstauro as configuraçoes de fábrica??

    Obrigado

    0
  • H

    Se mesmo a opção de configurar o IP da Lan o problema não foi resolvido, se você mesmo disse que também não configurou o squid na mesma porta, também não configurou o squidGuard para bloquear tudo, então restaure as configurações de fábrica.

    0
  • T

    bem, refiz as configurações de fábrica, instalei squid, squidguard, lightsquid e imspector…por enquanto só squid e lightsquid rodando....

    vou deixar ligado até amanha pra ver se não dá nenhum problema...

    obrigado

    0
  • H

    Pelo visto nenhum problema até agora, certo?

    Qualquer coisa, poste ai =).

    0
  • T

    Olá

    então, problemas quanto a watchdog timeout não tive mais, talvez fosse instalação pois resolvi fazer tudo de novo e até agora está ok.

    Quanto a outros problemas acho que boa parte é de minha inexperiência e por isso procuro ler bastante antes de colocar perguntas "basicas demais" como já fiz antes….

    Mas em todo caso aí vai...

    A meta ainda é bloquear programas de mensagens instantaneas (MSN, google Talk, Yahoo messenger e afins)

    Consegui bloquear usando o DNS Forwarder porém não era a intenção bloquear o acesso ao MSDN por exemplo. Para alguns usuários postarem dúvidas era necessário logar lá e daí usava o mesmo endereço de login do live messenger, Daí tive que liberar. O meu problema é somente com 1 usuário e para este eu poderia barrar o acesso aos serviços de login do msn e afins
    Porém não sei como fazer isso.
    Resumindo, gostaria de barrar o acesso a determinados links (mesmo que fique desabilitado e-mail do hotmail) para apenas alguns usuários na rede. Mas por onde fazer isso? Pois o DHCP está habilitado e daí não posso fazer uma regra pelo IP, correto?

    Qual o caminho das pedras??

    Obrigado

    0
  • R

    Bom o dhcp não te impede de fazer algo, se quiser fazer algo por ip coloque o mesmo como fixo, na parte dchp leases existe um botão que você colocando o mesmo sempre ficará com esse ip, claro se a placa queimar ou o cara esperto trocar o mac, sempre existe uma maneira neh, mas isso é o de menos, caso queira bloquear por ip, instale o squid e squidguard, crie uma regra para esse ip.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy