DansGuardian 2.12.0.3 pkg 0.1.8 disponível para pfSense
-
Logo lançarei uma documentação completa para ajudar o povo. Pra quem teve problema no squid 3.1, de ficar toda hora dando control+f5 pra carregar paginas https.
O problema acabou usando lusca-cache.Funcionando bloqueios https e http.
Um proxy autenticado na base local. Usando Wpad + dansguardian + lusca-cache .Fiz aqui na empresa, funcionou tranquilo.
Só tive um problema com MSN. Pois em algumas Maquinas o msn se perdia, e não conectava.
Em outras funcionavam normal.att,
Cristiano B.Hellwig
-
Marcello,
Você conseguiu andar com a questão dos filtros SSL no Dansguardian? Gostaria muito de entender como opera essa funcionalidade…
Não, o código liberado no dansguardian 2.12 não é 100% funcional para o filtro ssl.
Consigo gerar os certificados para filtrar o conteúdo do ssl mas o browser rejeita o certificado criado.Ele faz apenas filtro de requisições HTTPS ou ele abre os pacotes HTTPS das reuisições do cliente e entrega um certificado do proxy (pfSense) ao cliente, em vez de entregar o certificado do site acessado?
Seria alguma coisa parecida com o DPI-SSL do SonicWall? Por que se for, seria excelente!!
Ele abre os pacotes.
-
Logo lançarei uma documentação completa para ajudar o povo. Pra quem teve problema no squid 3.1, de ficar toda hora dando control+f5 pra carregar paginas https.
O problema acabou usando lusca-cache.Será uma excelente crontribuição :)
Funcionando bloqueios https e http.
Um proxy autenticado na base local. Usando Wpad + dansguardian + lusca-cache .Verificação de url ou de conteúdo ssl?
-
Consigo filtrar requisições https pela url.
- about a month later
-
Versão 1.6 do pacote lançada:
principal melhoria:
Na definição dos grupos, agora é possível agrupar access lists :)
Isso traz um flexibilidade fantástica para o pacote.
- 19 days later
-
Dá pra fazer politicas com base nos usuários do AD. Ou pra isso é melhor usar o squidguard?
-
-
Galera tentando colocar o Dans pra filtrar os usuários do AD deu esse problema:
Eu criei o grupo certinho mas quando cliquei em usuários aparecei o seguinte erro: Warning: Invalid argument supplied for foreach() in /usr/local/www/pkg_edit.php on line 423nesse arquivo a linha 423 é essa:
423 foreach ($pkg['fields']['field'] as $pkga) {
424 if ($pkga['type'] == "sorting")
425 continue;Alguém sabe o que é e pode me ajudar? ???
-
confere a tela de configuração do ldap e a atribuição dela no ldap do pacote.
-
Creio que não seja isso pois eu acabei de excluir a cfg de ldap e o grupo q acabei de criar e mesmo assim o erro persiste.
Para excluir o dansguradian pode ser via interface ou tem que ser via linha de comando?[EDITADO]
Segue o log
Oct 10 16:33:16 php: /pkg_edit.php: XML error: Invalid character at line 101 in /usr/local/pkg/dansguardian_users.xml
Oct 10 16:33:29 php: /pkg_edit.php: XML error: Invalid character at line 101 in /usr/local/pkg/dansguardian_users.xml
Oct 10 16:33:29 php: /pkg_edit.php: XML error: XML_ERR_NAME_REQUIRED at line 1190 in /conf/config.xml -
Descobri.
É que na descrição do grupo eu coloquei caracter especial.
Mas agora a lista de usuários não foi atualizada.
O script que traz os usuários tem que ser colocado la ou quando eu instalo o pacote ele vai junto? -
O script que traz os usuários tem que ser colocado la ou quando eu instalo o pacote ele vai junto?
Já faz parte do pacote(verifique se não existe atualização da versão que você instalou).
Instale o pacote cron para conferir se o agendamento de atualização da lista de usuarios bate com o a informação que você cadastrou.
-
Era marcada de toca minha.
No usuário precisava colocar os CN tbm.
Agora pegou os usuários certinho. VLW pela ajuda manolo. -
Alguem pode me tirar uma dúvida?
Li as 12 páginas do tópico e não conseguir entender algumas coisas.Meu cenário:
Meu squid está autenticando no ad perfeitamente.
Habilitei o dans, o mesmo pegou os usuários dos grupos do AD certinho.O modo de eutenticação do squid etá em NONE.
No dans eu deixei em basic.A unica configuração que eu tenho que fazer para o dans funcionar é mudar na estação a porta do proxy para 8080?
Eu fiz isso e não está funcionando, não abre nenhum página.Alguém pode me explicar como funciona essa passagem do squid para o dans?
-
Alguém pode me explicar como funciona essa passagem do squid para o dans?
Basicamente como você fez, marca a opção de autenticação utilizada no squid e coloca os usuarios para acessar a porta do dansguardian no lugar da porta do squid
usuarios –--> dansguardian ------> squid---> internet
-
Marcelo um apergunta no squid como tem que ficar a opção de autenticação?
Hoje está como none é assim mesmo quando atentica via ad? -
Hoje está como none é assim mesmo quando atentica via ad?
para o squid em modo ntlm use proxy-ntlm
- 4 months later
-
Acabe de subir a versão 0.1.7 do pacote! :)
Principais melhorias
-
corrigido a incompatibilidade com a pcre 8.3
-
Dansguardian atualizado para a versão (2.12.0.3)
-
agora é possível escolher vários metodos de autenticação
-
suporte ao pfsense 2.1
-
melhoria na integração/autenticação com o Active directory
-
algumas alterações na gui
-
-
Amigos tenho uma pergunta,
Nessa altura do campeonato, ainda é preciso fazer todas as quelas alterações via linha de comando e instalar aqueles pacotes manuais, para fazer a autenticação ntlm, ou por um acaso já esta vindo junto com o pacote?? -
Para o dansguardian não, mas para autenticação ntlm sim, porque precisa do samba/kerberus.
-
Marcello
Já ta tudo configurado no server.
O servidor ta no ad, ta trazendo os usarios com o wbinfo, tudo ok.
Porem na aba auth do squid não tem a opção ntlm-auth então eu coloquem em ldap com as configurações em anexo.
Desta forma não esta funcionando, ele ta pedindo o usuario e nem colocando o usuario manualmente ele autentica.
O que você acha que pode ser? ??? -
Coloque as acls na mão no campo custom options.
-
Ja tinha colocado essas:
auth_param ntlm program /usr/local/bin/ntlm_auth –use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 30;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow passwordMas ai eu deixo como none na aba de autenticação do squid??
-
-
Putz,
Fiz isso porem ainda está aparecendo a janela, e mesmo colocando manual não está autenticando.
Tem algum outro teste que eu possa fazer? -
Boa tarde.
Problemas com novo pacote Dansguardian. Site de webmail quando vai anexar arquivo é bloqueado.
Já defini em Max upload size -1, aba limits. E coloquei na ACL URL parte do site em Exceptions.
Na logs do Dans DENIED para post. O que deve ser? Não quero estar liberando por IP no firewall pq antes da atualização esta ok.
Valeu, abraços.
-
Na logs do Dans DENIED para post. O que deve ser? Não quero estar liberando por IP no firewall pq antes da atualização esta ok.
Coloca o log no formato do dansguardian para ver o motivo do bloqueio.
-
Já resolvi o meu problema era a permissão no arquivo /var/db/samba/winbindd_privileged
Mas aproveitando para tirar uma outra duvida.
No dansguardian no filtro por grupo, se eu criar um grupo chamado internet_acesso_total e dentro dele eu colocar os grupos que tem acesso total, vai funcionar? Ou só funciona se dentro do grupo tiver usuários ao invés de outros grupos? -
Já resolvi o meu problema era a permissão no arquivo /var/db/samba/winbindd_privileged
clássico :)
No dansguardian no filtro por grupo, se eu criar um grupo chamado internet_acesso_total e dentro dele eu colocar os grupos que tem acesso total, vai funcionar? Ou só funciona se dentro do grupo tiver usuários ao invés de outros grupos?
Se me lembro bem, eu e o ccesario fizemos uma verificação de dois níveis. gropo e subgrupo.
Só não me lembro se foi para o squidguard ou para os dois. -
no dansguardian n funciona =/
Será que não tem como portar essa função para o dansgradian??? seria de grande ajuda. -
E mais uma coisinha ;D
Como faz pra personalizar a pagina de site bloqueado do Dans??? -
Será que não tem como portar essa função para o dansgradian??? seria de grande ajuda.
Ok, vou colocar na fila ;)
Como faz pra personalizar a pagina de site bloqueado do Dans???
Só precisa personalizar o template na aba "report and log"
-
Vlw Marcello você é o cara.
Na personalização da pagina no dans, não é igual ao squid que pode ser armazenado imagens no servidor, para subir a logo do cliente né? -
Marcello,
http://facebook.com/csrf/csrf-magic.js DENIED SÃtio proibido: facebook.com GET 0 0 Banned Sites 2 403 - netgerente - -
Não é só um caso, percebi que no site acima está sendo bloqueado no BANNED LIST da ACL Sites Lists.
Poŕem na ACL URL Lists tenho essas excessões:
facebook.com/plugins/
facebook.com/crsf/
facebook.com/images/
facebook.com/ajax/
facebook.com/connect/
static.ak.facebook.com/csrf/
platform.twitter.com/csrf/
platform.twitter.com/widgets/
platform.twitter.com/
twitter.com/1/
youtube.com/feeds/
youtube.com/csrf/
youtube.com/embed/
youtube.com/v/
twitter.com/statuses/
ytimg.com/yts/
ytimg.com/vi/
msn.com/csrf/
addthis.com/static/
addthisedge.com/live/
climatempo.com.br/selos/
buscape.com.br/lomadee/
lomadee.com/698/
buscape.com.br/T100x100/
buscape.com/dynatemplate/
googleusercontent.com/static/
ginfes.com.br/report/
portalagf.com.br/postalnet/E ainda mais uma expressão regular para essas:
^[^?].css($|?)
^[^?].jsp?($|?)
^[^?]*.js?($|?)
^[^/]*csrfParece-me que ele está atropelando a ACL URL Lists.
O que acha?
-
Na personalização da pagina no dans, não é igual ao squid que pode ser armazenado imagens no servidor, para subir a logo do cliente né?
Nunca coloquei mensagens com imanges, mas deve funcionar.
-
Parece-me que ele está atropelando a ACL URL Lists.
Você conferiu se esta acl esta associada ao grupo netgerente?
-
Teoricamente se ela não está atrelada quer dizer que ele está permitindo todos esses part sites.
Sempre faço desse jeito:
Grupo netcolaborador ->Atrelado a Sites Lists
->Atelado a Url ListsEm ACL Sites Lists o grupo netcolaborador tem tudo bloqueado no Banned e liberei somente sites que eu quero no exception lists.
Em ACL URL Lists tem parte dos sites que passei anteriormente.Grupo netgerente -> Atrelado a Sites Lists
Em Sites Lists o grupo netgerente não acessa somente alguns sites. Portanto ele pode acessar tudo menos aquilo que está em Banned Lists.
Porém não está atrelado a URL Lists.Em um cliente ele me bloqueia por exemplo telelistas.net o site facebook.com/csrf/csrf-magic.js e no outro não. Entretanto antes da atualização estava blza.
Nos dois clientes faço teste com usuário que está no grupo netgerente.Não sei se fui bem claro.
Att.
Diogo -
Problemas com novo pacote Dansguardian. Site de webmail quando vai anexar arquivo é bloqueado.
Já defini em Max upload size -1, aba limits. E coloquei na ACL URL parte do site em Exceptions.
Talvez esteja relacionado a esta nova verificação:
What's new in DansGuardian 2.12.0.3:
October 2nd, 2012· Fixed memory leaks reported by analysis from coverity
· Improved persistent connection for a better RFC compliant implementation, but not yet fully HTTP 1.1
· Minor improvement for debug output
· Applied patch #11 (Maxuploadsize per filtergroup) by fredbmail35Vou incluir esta opção e subir o código para o github incrementando a versão do pacote.
- 17 days later
-
Boa tarde.
Fiz a instalação com o Ad Server 2008 dessa vez. Porém mesmo com o último pacote do dansguardian não está populando os grupos.
Segue log quando tento gerar pela console:
**Content-type: text/html
Group : netcolaborador
Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/www/dansguardian_ldap.php on line 65**
Nessa linha já verifiquei e coloquei uma senha tipo 123456 para certificar que não era senha. Está na porta padrão 389.
Tenho 8 Pfsense rodando, porém em AD Server 2003.
Somente usando o proxy ele autentica de boa. Quando vai pelo dansguardian ele acaba caindo sempre no Deafult pois como disse não está populando os grupos.
Coloquei -R para recusiva mas acho que o Dansguardian nem ligou pra isso.
Alguma dica onde estou errando ou esquecendo?
Valeu!!
Att.
Diogoots -
para funcionar no 2008, coloque usuario@dominio na conta que autentica no lugar cn=antispam,cn=Users