DansGuardian 2.12.0.3 pkg 0.1.8 disponível para pfSense

marcelloc

@kelsen:

fiz oque o danpeal falou e realmente funcionou!
gostaria de saber se há um modo de fazer a busca do grupo recursivamente, por exemplo, um grupo e subgrupo - Financeiro -> Diretores, assim, buscar os usuarios do grupo "Diretores".

O ldap search, até onde testei é recursivo. Crie um grupo diretores e veja se ele consegue importar.

@kelsen:

Outra coisa, consigo autenticar e navego normal mesmo com um usuario que não esta cadastrando em nenhum grupo do DG, coloquei o default pra "banned" mais ai o navegador nem mesmo pede o usuario e senha e bloqueia tudo, como faço para deixar o acesso negado por default e liberar apenas para os grupos?

Defina o grupo default como filtered e na aba sites dentro de access lists,coloque ** no campo config

#Blanket Block.  To block all sites except those in the
#exceptionsitelist and greysitelist files, remove
#the # from the next line to leave only a '':
#

@kelsen:

Coloquei o "Report Language= ptbrazilian" mas o "Report File" continua em inglês, claro que consigo modificar e colocar em português, mas o certo não seria ele modificar isso automaticamente?

Nem tudo está traduzido no dansguardian, você pode tentar excluir o conteúdo da mensagem de erro para ele carregar o arquivo padrão novamente(não esqueça de fazer um backup).

kelsen

@marcelloc:

O ldap search, até onde testei é recursivo. Crie um grupo diretores e veja se ele consegue importar.

bom eu ja fiz esse teste, ele busca os grupos membros do grupo "Financeiro" mas não os usuarios desses grupos membros.

descomentei o "**" no config mas ai o navegador nem chega a pedir as credenciais e o DG manda essa msg "Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre."

Se ele pedisse a autenticação eu poderia testar se ele esta buscando os usuários do grupo "diretores".

marcelloc

kelsen,
Já tentou colocar a página inicial do navegador na whitelist?

Aproveitando o post, publiquei uma atualização no dansguardian que reduz consideravelmente o tempo de inicialização no boot para aprox 20 segundos e pelo menos ate onde testei, resolve a questão do serviço parado depois do boot em algumas instalações.

Para atualizar, basta reinstalar o pacote. Quem estiver usando o squid3, não esqueça de reinstalar ele também após o dansguardian.

att,
Marcello Coutinho

kelsen

Marcelloc,

Acontece o seguinte, fiz oque vc falou, descomentei o #** do Default, coloquei a pagina inicial na withelist, ai sim ele pede as credenciais, porém so pra pagina inicial, o resto continua bloqueado.
      A minha intenção é simplesmente bloquear quem não estiver nos grupos do AD cadastrado no DG, e o mais importante é se é possível buscar usuários dentro de subgrupos (grupo<-subgrupo<-usuário).

Abç!

marcelloc

@kelsen:

Acontece o seguinte, fiz oque vc falou, descomentei o #** do Default, coloquei a pagina inicial na withelist, ai sim ele pede as credenciais, porém so pra pagina inicial, o resto continua bloqueado.

Já olhou se o usuário esta aparecendo nos logs do dansguardian.

@kelsen:

A minha intenção é simplesmente bloquear quem não estiver nos grupos do AD cadastrado no DG, e o mais importante é se é possível buscar usuários dentro de subgrupos (grupo<-subgrupo<-usuário).

Acho que o script busca somente os usuários do grupo, subgrupos não esta contemplado no script.

marcelloc

Acabei de subir a versão 1.5.3 do pacote com opções de report por grupo de usuário, url de erro personalizável e senha para bypass temporário dos filtros.

Lembrando que estas opções são nativas do dansguardian, o que fiz nesta versão foi incluir na GUI estas opções.  ;)

att,
Marcello Coutinho

kelsen

@marcelloc:

@kelsen:

Acontece o seguinte, fiz oque vc falou, descomentei o #** do Default, coloquei a pagina inicial na withelist, ai sim ele pede as credenciais, porém so pra pagina inicial, o resto continua bloqueado.

Já olhou se o usuário esta aparecendo nos logs do dansguardian.

Pelo visto não, olha so o log

2012.5.3 13:30:17 - 192.168.1.2 http://www.google.com.br EXCEPTION Sítio está na lista de exceções. GET 1336 0  1 200 -  Default  - -
2012.5.3 13:30:22 - 192.168.1.2 http://www.google.com.br EXCEPTION Sítio está na lista de exceções. GET 20193 0  1 200 -  Default  - -
2012.5.3 13:30:22 - 192.168.1.2 http://ssl.gstatic.com/gb/images/b_8d5afc09.png DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. GET 0 0  1 403 -  Default  - -
2012.5.3 13:30:22 - 192.168.1.2 http://www.google.com.br/gen_204?atyp=i&ghp=fbg EXCEPTION Sítio está na lista de exceções. GET 0 0  1 204 -  Default  - -
2012.5.3 13:30:22 - 192.168.1.2 http://clients1.google.com.br/generate_204 EXCEPTION Sítio está na lista de exceções. GET 0 0  1 204 -  Default  - -
2012.5.3 13:30:22 - 192.168.1.2 http://www.gstatic.com/inputtools/images/tia.png DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. GET 0 0  1 403 -  Default  - -
2012.5.3 13:30:22 - 192.168.1.2 http://ssl.gstatic.com/gb/js/sem_3fda76275e50af619592c4bc8583bd52.js DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. GET 0 0  1 403 -  Default  - -
2012.5.3 13:30:23 - 192.168.1.2 http://www.google.com.br/csi?v=3&s=webhp&action=&e=17259,18168,36683,37102,37110,37808,38099,38135,38284,38470,38517,38576&ei=nrKiT8XDC8K1twexiOSiCA&imc=3&imn=3&imp=0&rt=xjsls.193,prt.242,ol.280,iml.242,xjses.473,xjsee.621,xjs.661,wsrt.72,cst.0,dnst.0,rqst.174,rspt.174 EXCEPTION Sítio está na lista de exceções. GET 0 0  1 204 -  Default

Acredito que a configuração da aba ldap esteja certa pq ele consegue buscar os usuários, ou é o squid quem autentica e passa pro DG? ainda não estudei bem como o DG funciona.

marcelloc

configura o metodo de autenticação que o dansguardian vai tentar detectar e passar para o squid.

dansguardian -> general -> Auth Plugins

This option handle the extraction of client usernames from various sources, such as Proxy-Authorisation headers and ident servers, enabling requests to be handled according to the settings of the user's filter group

kelsen

Problema Resolvido,

O plugin estava correto, "Proxy-Basic", o problema é que insisti na questão de buscar usuários de subgrupos e por isso não funcionou, até perceber que era isso. Agora basta estudar um pouco mais como ele funciona, pq algumas regras doida dele ta bloqueando ate o site do Terra dizendo que é pornografico na ponderação dele.
        De qualquer forma, Marcelloc, muito obrigado, desculpa a newbice ai.

marcelloc

Aumenta a pontuação do grupo para 300.

kelsen

estou com outro problema, como faço para liberar esse dominio do gmail "thawte.com" ? sem ele não aparece algumas imagens na página, pelo log, parece que esta negando pq não esta sendo passado o usuário.
Outra coisa é como bloquear o chat do gmail,chatenabled.mail.google.com se o dominio está liberado?
a politica default é negar tendo alguns sites como exceção.
Obs: marketing é o nome do usuario

1338312960.205  3460 192.168.1.1 TCP_MISS/200 11793 CONNECT mail.google.com:443 marketing DIRECT/74.125.234.117 -
1338312960.391    426 192.168.1.1 TCP_MISS/200 2901 CONNECT clients2.google.com:443 marketing DIRECT/74.125.234.32 -
1338312960.518  3777 192.168.1.1 TCP_MISS/200 481907 CONNECT mail.google.com:443 marketing DIRECT/74.125.234.117 -
1338312965.216    451 192.168.1.1 TCP_MISS/200 2393 CONNECT chatenabled.mail.google.com:443 marketing DIRECT/74.125.234.253 -
1338312965.876      0 192.168.1.1 TCP_DENIED/407 2076 GET http://ocsp.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQekgmqcTx5S8oekxoKYa0%2F0LpggwQUOzSacJFzsoobDPTpN82zcDKeGFQCEE%2BdltlmsJkrVMKVfLQVfU0%3D - NONE/- text/html
1338312965.937    362 192.168.1.1 TCP_MISS/200 2383 CONNECT b.mail.google.com:443 marketing DIRECT/74.125.234.253 -
1338312971.316      0 192.168.1.1 TCP_DENIED/407 1764 GET http://crl.thawte.com/ThawteSGCCA.crl - NONE/- text/html
1338312971.318  11371 192.168.1.1 TCP_MISS/200 2304 CONNECT www.google.com:443 marketing DIRECT/74.125.234.114 -
1338312976.475  15978 192.168.1.1 TCP_MISS/200 1787 CONNECT clients2.google.com:443 marketing DIRECT/74.125.234.40 -
1338312976.475  16310 192.168.1.1 TCP_MISS/200 141422 CONNECT mail.google.com:443 marketing DIRECT/74.125.234.118 -

marcelloc

kelsen,

O exception list/site/url prevalece sobre o deny, você configurou as access lists desta forma?

coloca o log no modo dansguardian para ver o erro com mais detalhes

att,
Marcello Coutinho

kelsen

@marcelloc:

kelsen,

O exception list/site/url prevalece sobre o deny, você configurou as access lists desta forma?

coloca o log no modo dansguardian para ver o erro com mais detalhes

att,
Marcello Coutinho

Marcelloc,

eu criei um novo grupo na access list/site e bloqueei tudo no Banned e coloquei o "google.com" e "gmail.com" no Exception. A questão de não aparecer imagem na verdade era por conta do "glbimg.com", isso foi resolvido colocando tb no Exception, porém o "https://chatenabled.mail.google.com" que continua na exceção e não bloqueia. 4ª linha de baixo pra cima.
  Acredito que o "google.com" deveria estar em vez da Exception, na Grey list, mas não sei como utilizar a Grey list,ao menos até agora não tive sucesso.
  O meu objetivo é bloquear o chat do gmail.

2012.5.29 16:43:42 marketing 192.168.1.2 http://www.gmail.com EXCEPTION Sítio está na lista de exceções. GE                T 225 0  56 301 -  G_M_ST_Marketing  - -
2012.5.29 16:43:42 marketing 192.168.1.2 http://mail.google.com/mail/ EXCEPTION Sítio está na lista de exce                ções. GET 352 0  56 302 -  G_M_ST_Marketing  - -
2012.5.29 16:43:58 marketing 192.168.1.2 https://accounts.google.com:443 EXCEPTION Sítio está na lista de e                xceções. CONNECT 2009 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:43:58 marketing 192.168.1.2 https://urs.microsoft.com:443 DENIED Sítio proibido: Bloqueio gera                l está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:43:59 marketing 192.168.1.2 https://accounts.youtube.com:443 DENIED Sítio proibido: Bloqueio g                eral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:43:59 marketing 192.168.1.2 https://ssl.google-analytics.com:443 DENIED Sítio proibido: Bloque                io geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:43:59 marketing 192.168.1.2 https://urs.microsoft.com:443 DENIED Sítio proibido: Bloqueio gera                l está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:03 marketing 192.168.1.2 https://urs.microsoft.com:443 DENIED Sítio proibido: Bloqueio gera                l está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2003 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2003 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2003 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2003 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2003 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:04 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2003 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:05 marketing 192.168.1.2 https://www.googleadservices.com:443 DENIED Sítio proibido: Bloque                io geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:05 marketing 192.168.1.2 https://urs.microsoft.com:443 DENIED Sítio proibido: Bloqueio gera                l está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:11 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2005 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:11 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2005 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:11 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2005 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:13 marketing 192.168.1.2 https://accounts.google.com.br:443 EXCEPTION Sítio está na lista d                e exceções. CONNECT 1987 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:15 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 1395 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 1379 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://mail-attachment.googleusercontent.com:443 DENIED Sítio pro                ibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Market                ing  - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 3357 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 2024 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:16 marketing 192.168.1.2 https://lh5.googleusercontent.com:443 DENIED Sítio proibido: Bloqu                eio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://accounts.google.com:443 EXCEPTION Sítio está na lista de e                xceções. CONNECT 20020 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://accounts.google.com.br:443 EXCEPTION Sítio está na lista d                e exceções. CONNECT 1840 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 6500 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 14563 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 1760 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 811 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 675 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 3735 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:17 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceç                ões. CONNECT 24511 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 27715 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://www.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2004 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://clients2.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2596 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 643 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 931 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://pagead2.googleadservices.com:443 DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 1816 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 627 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:18 marketing 192.168.1.2 https://apis.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2596 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://689u13pemu4kl6g1t2glju1qaad62cqo-a-gm-opensocial.googleusercontent.com:443 DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://www.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 550 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://plus.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2596 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://www-gm-opensocial.googleusercontent.com:443 DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:19 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2005 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:20 marketing 192.168.1.2 https://mail-attachment.googleusercontent.com:443 DENIED Sítio proibido: Bloqueio geral está ativo e aquele sítio não está na lista livre. CONNECT 0 0  56 403 -  G_M_ST_Marketing  - -
2012.5.29 16:44:20 marketing 192.168.1.2 https://ssl.gstatic.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 5132 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:21 marketing 192.168.1.2 https://chatenabled.mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2080 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:22 marketing 192.168.1.2 https://b.mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 2080 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:44:34 marketing 192.168.1.2 https://clients2.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 443 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 23952 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 199295 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 279622 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:17 marketing 192.168.1.2 https://mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 277099 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:20 marketing 192.168.1.2 https://apis.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 82389 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:20 marketing 192.168.1.2 https://apis.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 37218 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:21 marketing 192.168.1.2 https://chatenabled.mail.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 627 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:23 marketing 192.168.1.2 https://plus.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 10722 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:23 marketing 192.168.1.2 https://plus.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 104247 0  56 200 -  G_M_ST_Marketing  - -
2012.5.29 16:46:34 marketing 192.168.1.2 https://www.google.com:443 EXCEPTION Sítio está na lista de exceções. CONNECT 390 0  56 200 -  G_M_ST_Marketing  - -

marcelloc

muda o exception de google.com para

mail.google.com
apis.google.com
www.google.com
plus.google.com
.
.
.

Acredito que desta forma funcione.

kelsen

Marcelloc,

Quase funcionou, dessa forma que vc falou realmente fica mais granular a liberação do domínio, o problema é que se eu libero o "mail.google.com" para acessar o gmail, o "chatenabled.mail.google.com" cai na exceção também por conta do "mail.google.com".
    Um outro problema acontece com a página google.com.br/talk,se eu coloco essa url na lista de bloqueio, ele não bloqueia porque o google.com.br está na lista de exceção. Pelo que entendo, se o dominio está na exceção, o DG não faz nenhum outro tipo de filtro, então eu deveria colocá-lo na Grey list, mas aí faz é bloquear o domínio google.com.br.

marcelloc

Se estiver usando o dns do pfsense, crie uma entrada apontando chatenabled do google para 127.0.0.1. Esta é a forma mais simples de bloquear o gtalk.

kelsen

Isso resolve em partes, porque vai bloquear pra todo mundo, mas deveria ser pra um grupo somente. Dessa forma eu poderia ate colocar chatenabled.mail.google.com na blacklist do squid que iria bloquear pra todo mundo.
De qualquer forma, obrigado pela ajuda.

kelsen

Marcelloc,

Dê uma olhada nesse link, "http://sourceforge.net/tracker/?func=detail&aid=3418261&group_id=131757&atid=722100".
      É um patch que parece resolver a questão dos subdomínios utilizando whitelist. Será possível implementar isso no pF?

marcelloc

Kelsen,

vou testar a compilação e se der certo, vou incluir este patch no ports do freebsd e submeter ao mantenedor.

Bela garimpada  ;)

att,
Marcello Coutinho

marcelloc

link para o pacote com o patch aplicado.

Atualize antes o pacote do dansguardian, subi hoje uma correção para tratar corrigir um erro na verificação da greylist na aba site.

amd64:
http://e-sac.siteseguro.ws/packages/amd64/8/All/dansguardian-2.12.0.0_2.tbz

Testa e posta o resultado.

att,
Marcello Coutinho