DansGuardian 2.12.0.3 pkg 0.1.8 disponível para pfSense
-
kelsen,
O exception list/site/url prevalece sobre o deny, você configurou as access lists desta forma?
coloca o log no modo dansguardian para ver o erro com mais detalhes
att,
Marcello CoutinhoMarcelloc,
eu criei um novo grupo na access list/site e bloqueei tudo no Banned e coloquei o "google.com" e "gmail.com" no Exception. A questão de não aparecer imagem na verdade era por conta do "glbimg.com", isso foi resolvido colocando tb no Exception, porém o "https://chatenabled.mail.google.com" que continua na exceção e não bloqueia. 4ª linha de baixo pra cima.
Acredito que o "google.com" deveria estar em vez da Exception, na Grey list, mas não sei como utilizar a Grey list,ao menos até agora não tive sucesso.
O meu objetivo é bloquear o chat do gmail.2012.5.29 16:43:42 marketing 192.168.1.2 http://www.gmail.com EXCEPTION Sítio está na lista de exceções. GE T 225 0 56 301 - G_M_ST_Marketing - -
2012.5.29 16:43:42 marketing 192.168.1.2 http://mail.google.com/mail/ EXCEPTION Sítio está na lista de exce ções. GET 352 0 56 302 - G_M_ST_Marketing - -
2012.5.29 16:43:58 marketing 192.168.1.2 https://accounts.google.com:443 EXCEPTION Sítio está na lista de e xceções. CONNECT 2009 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:43:58 marketing 192.168.1.2 https://urs.microsoft.com:443 DENIED Sítio proibido: Bloqueio gera l está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:43:59 marketing 192.168.1.2 https://accounts.youtube.com:443 DENIED Sítio proibido: Bloqueio g eral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:43:59 marketing 192.168.1.2 https://ssl.google-analytics.com:443 DENIED Sítio proibido: Bloque io geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:43:59 marketing 192.168.1.2 https://urs.microsoft.com:443 DENIED Sítio proibido: Bloqueio gera l está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:03 marketing 192.168.1.2 https://urs.microsoft.com:443 DENIED Sítio proibido: Bloqueio gera l está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2003 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2003 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2003 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2003 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2003 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2003 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:05 marketing 192.168.1.2 https://www.googleadservices.com:443 DENIED Sítio proibido: Bloque io geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:05 marketing 192.168.1.2 https://urs.microsoft.com:443 DENIED Sítio proibido: Bloqueio gera l está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:11 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2005 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:11 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2005 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:11 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2005 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:13 marketing 192.168.1.2 https://accounts.google.com.br:443 EXCEPTION Sítio está na lista d e exceções. CONNECT 1987 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:15 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 1395 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 1379 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://mail-attachment.googleusercontent.com:443 DENIED Sítio pro ibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Market ing - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 3357 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 2024 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://lh5.googleusercontent.com:443 DENIED Sítio proibido: Bloqu eio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://accounts.google.com:443 EXCEPTION Sítio está na lista de e xceções. CONNECT 20020 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://accounts.google.com.br:443 EXCEPTION Sítio está na lista d e exceções. CONNECT 1840 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 6500 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 14563 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 1760 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 811 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 675 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 3735 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç ões. CONNECT 24511 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 27715 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://www.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2004 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://clients2.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2596 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 643 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 931 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://pagead2.googleadservices.com:443 DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 1816 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 627 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://apis.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2596 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://689u13pemu4kl6g1t2glju1qaad62cqo-a-gm-opensocial.googleusercontent.com:443 DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://www.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 550 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://plus.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2596 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://www-gm-opensocial.googleusercontent.com:443 DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2005 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:20 marketing 192.168.1.2 https://mail-attachment.googleusercontent.com:443 DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0 56 403 - G_M_ST_Marketing - -
2012.5.29 16:44:20 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 5132 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:21 marketing 192.168.1.2 https://chatenabled.mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2080 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:22 marketing 192.168.1.2 https://b.mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2080 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:44:34 marketing 192.168.1.2 https://clients2.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 443 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 23952 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 199295 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 279622 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 277099 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:20 marketing 192.168.1.2 https://apis.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 82389 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:20 marketing 192.168.1.2 https://apis.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 37218 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:21 marketing 192.168.1.2 https://chatenabled.mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 627 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:23 marketing 192.168.1.2 https://plus.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 10722 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:23 marketing 192.168.1.2 https://plus.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 104247 0 56 200 - G_M_ST_Marketing - -
2012.5.29 16:46:34 marketing 192.168.1.2 https://www.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 390 0 56 200 - G_M_ST_Marketing - - -
muda o exception de google.com para
mail.google.com
apis.google.com
www.google.com
plus.google.com
.
.
.Acredito que desta forma funcione.
-
Marcelloc,
Quase funcionou, dessa forma que vc falou realmente fica mais granular a liberação do domínio, o problema é que se eu libero o "mail.google.com" para acessar o gmail, o "chatenabled.mail.google.com" cai na exceção também por conta do "mail.google.com".
Um outro problema acontece com a página google.com.br/talk,se eu coloco essa url na lista de bloqueio, ele não bloqueia porque o google.com.br está na lista de exceção. Pelo que entendo, se o dominio está na exceção, o DG não faz nenhum outro tipo de filtro, então eu deveria colocá-lo na Grey list, mas aí faz é bloquear o domínio google.com.br. -
Se estiver usando o dns do pfsense, crie uma entrada apontando chatenabled do google para 127.0.0.1. Esta é a forma mais simples de bloquear o gtalk.
-
Isso resolve em partes, porque vai bloquear pra todo mundo, mas deveria ser pra um grupo somente. Dessa forma eu poderia ate colocar chatenabled.mail.google.com na blacklist do squid que iria bloquear pra todo mundo.
De qualquer forma, obrigado pela ajuda. -
Marcelloc,
Dê uma olhada nesse link, "http://sourceforge.net/tracker/?func=detail&aid=3418261&group_id=131757&atid=722100".
É um patch que parece resolver a questão dos subdomínios utilizando whitelist. Será possível implementar isso no pF? -
Kelsen,
vou testar a compilação e se der certo, vou incluir este patch no ports do freebsd e submeter ao mantenedor.
Bela garimpada ;)
att,
Marcello Coutinho -
link para o pacote com o patch aplicado.
Atualize antes o pacote do dansguardian, subi hoje uma correção para tratar corrigir um erro na verificação da greylist na aba site.
amd64:
http://e-sac.siteseguro.ws/packages/amd64/8/All/dansguardian-2.12.0.0_2.tbzTesta e posta o resultado.
att,
Marcello Coutinho -
Na instalação do pacote apareceu esses erros de bibliotecas.
pkg_add: warning: package 'dansguardian-2.12.0.0_2' requires 'perl-5.12.4_4', but 'perl-5.12.4_3' is installed
pkg_add: can't open dependency file '/var/db/pkg/pcre-8.30/+REQUIRED_BY'!
dependency registration is incomplete
pkg_add: can't open dependency file '/var/db/pkg/libltdl-2.4.2/+REQUIRED_BY'!
dependency registration is incomplete
pkg_add: can't open dependency file '/var/db/pkg/clamav-0.97.4/+REQUIRED_BY'!
dependency registration is incomplete
Package dansguardian-2.12.0.0_2 registered in /var/db/pkg/dansguardian-2.12.0.0_2Na hora de subir aparece isso tb
dansguardian start
/libexec/ld-elf.so.1: Shared object "libpcreposix.so.0" not found, required by "dansguardian" -
você esta usando a versão 64 bits? aqui instalou sem erros.
-
sim, as vezes fiz um procedimento errado.
desinstalei o DG na interface grafica e dpois instalei pelo pkg_add -rv "link". -
instala o pacote via interface gráfica e depois na console
pkg_delete dansguardian_2.12.xxxx
pkg-add -rv http://e-sac.siteseguro.ws/packages/amd64/8/All/dansguardian-2.12.0.0_2.tbz -
reinstalei ele e quando tento remover aparece essas mensagens
pkg_delete: '/usr/local/share/dansguardian/blockedflash.swf' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/share/dansguardian/languages/ptbrazilian/template.html' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/etc/dansguardian/lists/authplugins/ipgroups' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/etc/dansguardian/lists/filtergroupslist' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/etc/dansguardian/lists/contentscanners/exceptionvirusmimetypelist' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/etc/dansguardian/lists/contentscanners/exceptionvirusextensionlist' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/etc/dansguardian/lists/contentscanners/exceptionvirussitelist' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/etc/dansguardian/lists/contentscanners/exceptionvirusurllist' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/etc/dansguardian/dansguardian.conf' fails original MD5 checksum - not deleted.
pkg_delete: '/usr/local/etc/dansguardian/dansguardianf1.conf' fails original MD5 checksum - not deleted.
pkg_delete: unable to completely remove directory '/usr/local/share/dansguardian/languages/ptbrazilian'
pkg_delete: unable to completely remove directory '/usr/local/share/dansguardian/languages'
pkg_delete: unable to completely remove directory '/usr/local/share/dansguardian'
pkg_delete: unable to completely remove directory '/usr/local/etc/dansguardian/lists/contentscanners'
pkg_delete: unable to completely remove directory '/usr/local/etc/dansguardian/lists/blacklists'
pkg_delete: unable to completely remove directory '/usr/local/etc/dansguardian/lists/authplugins'
pkg_delete: unable to completely remove directory '/usr/local/etc/dansguardian/lists'
pkg_delete: unable to completely remove directory '/usr/local/etc/dansguardian'
If permanently deleting this package, /var/log/dansguardian.log must be removed manually
If permanently deleting this package, custom configuration files must be removed manually
pkg_delete: file '/usr/local/etc/rc.d/dansguardian' doesn't exist
pkg_delete: couldn't entirely delete package (perhaps the packing list is
incorrectly specified?)tentei instalar e aparece as mesmas msg do post anterior.
na GUI aparece isso quando tento subir o DGphp: /pkg_edit.php: The command '/usr/local/etc/rc.d/dansguardian.sh start' returned exit code '1', the output was 'kern.ipc.somaxconn: 16384 -> 16384 kern.maxfiles: 131072 -> 131072 kern.maxfilesperproc: 104856 -> 104856 kern.threads.max_threads_per_proc: 4096 -> 4096 Starting dansguardian. /libexec/ld-elf.so.1: Shared object "libpcre.so.1" not found, required by "dansguardian" /usr/local/etc/rc.d/dansguardian.sh: WARNING: failed to start dansguardian'
-
força a instalação do pcre, tem ele no meu repositorio e no repostorio oficial.
-
Marcello,
Você conseguiu andar com a questão dos filtros SSL no Dansguardian? Gostaria muito de entender como opera essa funcionalidade…
Ele faz apenas filtro de requisições HTTPS ou ele abre os pacotes HTTPS das reuisições do cliente e entrega um certificado do proxy (pfSense) ao cliente, em vez de entregar o certificado do site acessado?
Seria alguma coisa parecida com o DPI-SSL do SonicWall? Por que se for, seria excelente!!
Abraços,
Marcio Mota -
Logo lançarei uma documentação completa para ajudar o povo. Pra quem teve problema no squid 3.1, de ficar toda hora dando control+f5 pra carregar paginas https.
O problema acabou usando lusca-cache.Funcionando bloqueios https e http.
Um proxy autenticado na base local. Usando Wpad + dansguardian + lusca-cache .Fiz aqui na empresa, funcionou tranquilo.
Só tive um problema com MSN. Pois em algumas Maquinas o msn se perdia, e não conectava.
Em outras funcionavam normal.att,
Cristiano B.Hellwig
-
Marcello,
Você conseguiu andar com a questão dos filtros SSL no Dansguardian? Gostaria muito de entender como opera essa funcionalidade…
Não, o código liberado no dansguardian 2.12 não é 100% funcional para o filtro ssl.
Consigo gerar os certificados para filtrar o conteúdo do ssl mas o browser rejeita o certificado criado.Ele faz apenas filtro de requisições HTTPS ou ele abre os pacotes HTTPS das reuisições do cliente e entrega um certificado do proxy (pfSense) ao cliente, em vez de entregar o certificado do site acessado?
Seria alguma coisa parecida com o DPI-SSL do SonicWall? Por que se for, seria excelente!!
Ele abre os pacotes.
-
Logo lançarei uma documentação completa para ajudar o povo. Pra quem teve problema no squid 3.1, de ficar toda hora dando control+f5 pra carregar paginas https.
O problema acabou usando lusca-cache.Será uma excelente crontribuição :)
Funcionando bloqueios https e http.
Um proxy autenticado na base local. Usando Wpad + dansguardian + lusca-cache .Verificação de url ou de conteúdo ssl?
-
Consigo filtrar requisições https pela url.
-
Versão 1.6 do pacote lançada:
principal melhoria:
Na definição dos grupos, agora é possível agrupar access lists :)
Isso traz um flexibilidade fantástica para o pacote.