Bloqueio por IP - Squid - squidguard



  • Bom dia a todos.
    Conheci o Pfsense por indicação e nunca tinha usado um server, sou leigo no assunto.
    estou lendo vários tópicos e configurando aos poucos o server.

    So que ate agora infelizmente não tive exito em achar um tutorial de como bloquear por maquina.

    Seguinte situação:
    -bloqueei toda a rede usado o proxy transparente squid e colocando palavras chave.
    -instalei o squidguard e subi Blacklist
    -So que preciso que algumas maquinas acesses so o Gmail,yahoo(não estou conseguindo entender algumas regras de alguns tutorias).
    -Não entendi também como bloquear apenas o Gtalk que aparece no email fiz a configuração que mostra em um tutorial mas não funcionou.

    Se alquem poder me da uma ajuda agradeço



  • @mulambo:

    Bom dia a todos.
    Conheci o Pfsense por indicação e nunca tinha usado um server, sou leigo no assunto.
    estou lendo vários tópicos e configurando aos poucos o server.

    Seja bem-vindo ao "Fantástico mundo pfSense"! :)

    -So que preciso que algumas maquinas acesses so o Gmail,yahoo(não estou conseguindo entender algumas regras de alguns tutorias).

    Basta você criar uma categoria com estas exceções (domínios e urls) que fazem parte dela. Isso você faz em: Services->Proxy filter SquidGuard->Target categories

    Depois é só criar um novo grupo (contendo os IPs das estações que fazem parte dele) em: Services->Proxy filter SquidGuard->Groups Access Control List (ACL). Aqui, em Client (source), você coloca os IPs das máquinas integrantes, e em Target Rules você especifica que para a categoria criada a cima, a política deve ser de whitelist ou allow!

    -Não entendi também como bloquear apenas o Gtalk que aparece no email fiz a configuração que mostra em um tutorial mas não funcionou.

    Veja este outro tópico aqui do fórum que trata disso: http://forum.pfsense.org/index.php/topic,43612.0.html

    Abraços!
    Jack



  • Basta você criar uma categoria com estas exceções (domínios e urls) que fazem parte dela. Isso você faz em: Services->Proxy filter SquidGuard->Target categories

    Esse e o meu problema não estou entendo oque e como colocar nos campos.E depois qual o procedimento e fazer.
    A minha dificuldade e mais na "leitura" de oque e que cada campo faz.

    eu tentei fazer alguns testes mais não surgiu efeito :'( nao see e pq no squid eu coloquei por exemplo facebook e la na regra eu coloca pra liberar o facebook para determinado IP ao fica bloqueado do mesmo jeito

    Depois é só criar um novo grupo (contendo os IPs das estações que fazem parte dele) em: Services->Proxy filter SquidGuard->Groups Access Control List (ACL). Aqui, em Client (source), você coloca os IPs das máquinas integrantes, e em Target Rules você especifica que para a categoria criada a cima, a política deve ser de whitelist ou allow!

    -Não entendi também como bloquear apenas o Gtalk que aparece no email fiz a configuração que mostra em um tutorial mas não funcionou.

    Uma duvida que ja escrevi em cima é possível bloquear no squid pela palavra "facebook" e depois tirar usando o squidquard ou e feito tudo pelo o squidquard?

    Veja este outro tópico aqui do fórum que trata disso: http://forum.pfsense.org/index.php/topic,43612.0.html

    eu li sobre esse procedimento não la não fala onde por os links.



  • @mulambo:

    Esse e o meu problema não estou entendo oque e como colocar nos campos.E depois qual o procedimento e fazer.
    A minha dificuldade e mais na "leitura" de oque e que cada campo faz.
    eu tentei fazer alguns testes mais não surgiu efeito :'( nao see e pq no squid eu coloquei por exemplo facebook e la na regra eu coloca pra liberar o facebook para determinado IP ao fica bloqueado do mesmo jeito

    mulambo,

    Isto está realmente bem confuso… Mas, se você está usando SquidGuard para efetuar os bloqueios/liberações de domínios e URLs, faça isso somente através dele. Não precisa misturar configurações deste gênero no Squid com ACLs do SquidGuard.

    Quanto a dificuldade mencionada "…entendo oque e como colocar nos campos", veja que abaixo de cada campo há um pequeno descritivo sobre o que faz tal função e os prováveis valores aceitos. Você também pode começar obtendo maiores informações aqui: http://doc.pfsense.org/index.php/Main_Page

    Uma duvida que ja escrevi em cima é possível bloquear no squid pela palavra "facebook" e depois tirar usando o squidquard ou e feito tudo pelo o squidquard?

    Concentre todas as ACLs no SquidGuard!

    Abraços!
    Jack



  • mulambo,

    Isto está realmente bem confuso… Mas, se você está usando SquidGuard para efetuar os bloqueios/liberações de domínios e URLs, faça isso somente através dele. Não precisa misturar configurações deste gênero no Squid com ACLs do SquidGuard.

    Quanto a dificuldade mencionada "…entendo oque e como colocar nos campos", veja que abaixo de cada campo há um pequeno descritivo sobre o que faz tal função e os prováveis valores aceitos. Você também pode começar obtendo maiores informações aqui: http://doc.pfsense.org/index.php/Main_Page

    Então estou tentando me concentrar apenas no squidquad e deixar o squid pra la.
    Oque eu entendi ate agora que eu so posso fazer a liberação não IP por IP e sim por range Ex: 192.168.1.10 ate 192.168.1.20 assim essa faixa fica bloqueada ou liberada!
    Com isso eu tenho que sair fixando IP em todas as maquinas.
    Mas oque acontece se uma maquina X tem que te acesso a bb,itau,hsbc e outra tem que ter acesso apenas em ibb,itau,caixa?



  • Não seria mais fácil fazer as liberações/bloqueios por usuário ao invés de por IP? Assim não precisaria fixar ip e conseguiria separar pela necessidade de cada usuário ou departamento.



  • mulambo,

    A idéia do  leandruco é válida. Se a sua preocupação é não ter que ficar controlando sua rede por endereços IPs, considere a opção de configurar seu proxy (Squid) como "autenticado". Neste caso, você passa a efetuar liberações e restrições (inclusive via SquidGuard), baseado no login de cada funcionário (sem se preocupar mais com IPs).

    Você pode fazer com que o seu pfSense use uma base de usuários pré-existe (como um Servidor MS Active Directory, OpenLDAP ou RADIUS), bem como, criar os usuários no próprio pfSense em: "System->User Manager".

    Outra opção no seu caso, pode ser usar o Captive Portal. Neste caso, toda vez que um usuário quiser navegar na web, vai precisar efetuar login numa página pelo browser. As restrições (Squid + SquidGuard) também podem ser baseadas nesta autenticação.

    Abraços!
    Jack



  • @JackL:

    mulambo,

    A idéia do  leandruco é válida. Se a sua preocupação é não ter que ficar controlando sua rede por endereços IPs, considere a opção de configurar seu proxy (Squid) como "autenticado". Neste caso, você passa a efetuar liberações e restrições (inclusive via SquidGuard), baseado no login de cada funcionário (sem se preocupar mais com IPs).

    Você pode fazer com que o seu pfSense use uma base de usuários pré-existe (como um Servidor MS Active Directory, OpenLDAP ou RADIUS), bem como, criar os usuários no próprio pfSense em: "System->User Manager".

    Outra opção no seu caso, pode ser usar o Captive Portal. Neste caso, toda vez que um usuário quiser navegar na web, vai precisar efetuar login numa página pelo browser. As restrições (Squid + SquidGuard) também podem ser baseadas nesta autenticação.

    Abraços!
    Jack

    Desculpe a demora na resposta,
    no meu ambiente de trabalho infelizmente não tem como fazer por usuário porque a mesma estação e usada por varias pessoas,
    caso eu venha a liberar para UM so usuário, ela passa o login para outra e todas acabam ficando liberado, pois o funcionário que na teoria seria o CHEFE usa a mesma estação do usuário PADRÃO oque pode ocorrer de ficar liberado.
    Oque me passaram para um firewall para os usuários no meu ambiente de trabalho seria o seguinte.

    -1°-recepção=tudo block apenas sites de trabalho(6)pc's
    -2°-recepção =block parcial com gmail liberado(4)pc's
    -3°-Gerentes=block parcial com msn e emails liberados.(10)pc's
    -4°-diretores=sem block(2)pc's
    -5°-outros pc's= mesma configuração da recepção 1°

    Acho que se eu fizer pelos IP's tenho um controle maior.
    abertos a sugestões.



  • @mulambo:

    no meu ambiente de trabalho infelizmente não tem como fazer por usuário porque a mesma estação e usada por varias pessoas,
    caso eu venha a liberar para UM so usuário, ela passa o login para outra e todas acabam ficando liberado, pois o funcionário que na teoria seria o CHEFE usa a mesma estação do usuário PADRÃO oque pode ocorrer de ficar liberado.

    Agora confesso que não entendi o contexto…

    Oras, se uma mesma máquina é usada por vários usuários diferentes, você tem justamente a indicação de usar proxy autenticado. Afinal, como você vai saber se foi o "user1" ou "user2" que fez um determinado acesso indevido (se ambos os acessos vieram do mesmo IP de origem)???

    Esta questão de usuários repassarem suas credenciais já foi discutida aqui mesmo no fórum: http://forum.pfsense.org/index.php/topic,44615.msg232035.html#msg232035

    Reveja o seu conceito sobre política interna de autenticação... ;)

    Abraços!
    Jack



  • Acontece o seguinte EU realmente preferiria que fosse com um AD usando no Pfsense,
    se que infelizmente acontece de quando eu passar uns acesso FULL para o usuário X ele infelizmente pode passar a login e senha,
    para um usuário que e BLOCK que acaba não funcionando direito infelizmente no meu caso.

    Se eu bloqueio logo o PC que é de uso de todos e fim de papo! Não acessa e ponto final.
    Onde eu trabalho com em varias empresas todo usuário faz de tudo para burlar a segurança,
    MAS se eu faço uma AD fica mais fácil ainda eles conseguirem fica acessando pelo oque eu conheço.



  • @mulambo:

    MAS se eu faço uma AD fica mais fácil ainda eles conseguirem fica acessando pelo oque eu conheço.

    Blz mulambo… aí realmente é uma questão de escolha de metodologia (escolha sua - enquanto sysadmin). Eu imagino que você não tenha lido este tópico http://forum.pfsense.org/index.php/topic,44615.msg232035.html#msg232035 - mas na prática, o repasse de credenciais dentre os usuários, é uma questão de medida adminstrativa, não técnica!

    De todo modo, implemente da maneira que atenda a sua expectativa! ;)

    Abraços!
    Jack


Locked