Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloqueio por IP - Squid - squidguard

    Scheduled Pinned Locked Moved Portuguese
    11 Posts 3 Posters 15.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mulambo
      last edited by

      Bom dia a todos.
      Conheci o Pfsense por indicação e nunca tinha usado um server, sou leigo no assunto.
      estou lendo vários tópicos e configurando aos poucos o server.

      So que ate agora infelizmente não tive exito em achar um tutorial de como bloquear por maquina.

      Seguinte situação:
      -bloqueei toda a rede usado o proxy transparente squid e colocando palavras chave.
      -instalei o squidguard e subi Blacklist
      -So que preciso que algumas maquinas acesses so o Gmail,yahoo(não estou conseguindo entender algumas regras de alguns tutorias).
      -Não entendi também como bloquear apenas o Gtalk que aparece no email fiz a configuração que mostra em um tutorial mas não funcionou.

      Se alquem poder me da uma ajuda agradeço

      1 Reply Last reply Reply Quote 0
      • JackLJ
        JackL
        last edited by

        @mulambo:

        Bom dia a todos.
        Conheci o Pfsense por indicação e nunca tinha usado um server, sou leigo no assunto.
        estou lendo vários tópicos e configurando aos poucos o server.

        Seja bem-vindo ao "Fantástico mundo pfSense"! :)

        -So que preciso que algumas maquinas acesses so o Gmail,yahoo(não estou conseguindo entender algumas regras de alguns tutorias).

        Basta você criar uma categoria com estas exceções (domínios e urls) que fazem parte dela. Isso você faz em: Services->Proxy filter SquidGuard->Target categories

        Depois é só criar um novo grupo (contendo os IPs das estações que fazem parte dele) em: Services->Proxy filter SquidGuard->Groups Access Control List (ACL). Aqui, em Client (source), você coloca os IPs das máquinas integrantes, e em Target Rules você especifica que para a categoria criada a cima, a política deve ser de whitelist ou allow!

        -Não entendi também como bloquear apenas o Gtalk que aparece no email fiz a configuração que mostra em um tutorial mas não funcionou.

        Veja este outro tópico aqui do fórum que trata disso: http://forum.pfsense.org/index.php/topic,43612.0.html

        Abraços!
        Jack

        Treinamentos de Elite: http://sys-squad.com
        Soluções: https://conexti.com.br

        1 Reply Last reply Reply Quote 0
        • M
          mulambo
          last edited by

          Basta você criar uma categoria com estas exceções (domínios e urls) que fazem parte dela. Isso você faz em: Services->Proxy filter SquidGuard->Target categories

          Esse e o meu problema não estou entendo oque e como colocar nos campos.E depois qual o procedimento e fazer.
          A minha dificuldade e mais na "leitura" de oque e que cada campo faz.

          eu tentei fazer alguns testes mais não surgiu efeito :'( nao see e pq no squid eu coloquei por exemplo facebook e la na regra eu coloca pra liberar o facebook para determinado IP ao fica bloqueado do mesmo jeito

          Depois é só criar um novo grupo (contendo os IPs das estações que fazem parte dele) em: Services->Proxy filter SquidGuard->Groups Access Control List (ACL). Aqui, em Client (source), você coloca os IPs das máquinas integrantes, e em Target Rules você especifica que para a categoria criada a cima, a política deve ser de whitelist ou allow!

          -Não entendi também como bloquear apenas o Gtalk que aparece no email fiz a configuração que mostra em um tutorial mas não funcionou.

          Uma duvida que ja escrevi em cima é possível bloquear no squid pela palavra "facebook" e depois tirar usando o squidquard ou e feito tudo pelo o squidquard?

          Veja este outro tópico aqui do fórum que trata disso: http://forum.pfsense.org/index.php/topic,43612.0.html

          eu li sobre esse procedimento não la não fala onde por os links.

          1 Reply Last reply Reply Quote 0
          • JackLJ
            JackL
            last edited by

            @mulambo:

            Esse e o meu problema não estou entendo oque e como colocar nos campos.E depois qual o procedimento e fazer.
            A minha dificuldade e mais na "leitura" de oque e que cada campo faz.
            eu tentei fazer alguns testes mais não surgiu efeito :'( nao see e pq no squid eu coloquei por exemplo facebook e la na regra eu coloca pra liberar o facebook para determinado IP ao fica bloqueado do mesmo jeito

            mulambo,

            Isto está realmente bem confuso… Mas, se você está usando SquidGuard para efetuar os bloqueios/liberações de domínios e URLs, faça isso somente através dele. Não precisa misturar configurações deste gênero no Squid com ACLs do SquidGuard.

            Quanto a dificuldade mencionada "…entendo oque e como colocar nos campos", veja que abaixo de cada campo há um pequeno descritivo sobre o que faz tal função e os prováveis valores aceitos. Você também pode começar obtendo maiores informações aqui: http://doc.pfsense.org/index.php/Main_Page

            Uma duvida que ja escrevi em cima é possível bloquear no squid pela palavra "facebook" e depois tirar usando o squidquard ou e feito tudo pelo o squidquard?

            Concentre todas as ACLs no SquidGuard!

            Abraços!
            Jack

            Treinamentos de Elite: http://sys-squad.com
            Soluções: https://conexti.com.br

            1 Reply Last reply Reply Quote 0
            • M
              mulambo
              last edited by

              mulambo,

              Isto está realmente bem confuso… Mas, se você está usando SquidGuard para efetuar os bloqueios/liberações de domínios e URLs, faça isso somente através dele. Não precisa misturar configurações deste gênero no Squid com ACLs do SquidGuard.

              Quanto a dificuldade mencionada "…entendo oque e como colocar nos campos", veja que abaixo de cada campo há um pequeno descritivo sobre o que faz tal função e os prováveis valores aceitos. Você também pode começar obtendo maiores informações aqui: http://doc.pfsense.org/index.php/Main_Page

              Então estou tentando me concentrar apenas no squidquad e deixar o squid pra la.
              Oque eu entendi ate agora que eu so posso fazer a liberação não IP por IP e sim por range Ex: 192.168.1.10 ate 192.168.1.20 assim essa faixa fica bloqueada ou liberada!
              Com isso eu tenho que sair fixando IP em todas as maquinas.
              Mas oque acontece se uma maquina X tem que te acesso a bb,itau,hsbc e outra tem que ter acesso apenas em ibb,itau,caixa?

              1 Reply Last reply Reply Quote 0
              • L
                leandruco
                last edited by

                Não seria mais fácil fazer as liberações/bloqueios por usuário ao invés de por IP? Assim não precisaria fixar ip e conseguiria separar pela necessidade de cada usuário ou departamento.

                1 Reply Last reply Reply Quote 0
                • JackLJ
                  JackL
                  last edited by

                  mulambo,

                  A idéia do  leandruco é válida. Se a sua preocupação é não ter que ficar controlando sua rede por endereços IPs, considere a opção de configurar seu proxy (Squid) como "autenticado". Neste caso, você passa a efetuar liberações e restrições (inclusive via SquidGuard), baseado no login de cada funcionário (sem se preocupar mais com IPs).

                  Você pode fazer com que o seu pfSense use uma base de usuários pré-existe (como um Servidor MS Active Directory, OpenLDAP ou RADIUS), bem como, criar os usuários no próprio pfSense em: "System->User Manager".

                  Outra opção no seu caso, pode ser usar o Captive Portal. Neste caso, toda vez que um usuário quiser navegar na web, vai precisar efetuar login numa página pelo browser. As restrições (Squid + SquidGuard) também podem ser baseadas nesta autenticação.

                  Abraços!
                  Jack

                  Treinamentos de Elite: http://sys-squad.com
                  Soluções: https://conexti.com.br

                  1 Reply Last reply Reply Quote 0
                  • M
                    mulambo
                    last edited by

                    @JackL:

                    mulambo,

                    A idéia do  leandruco é válida. Se a sua preocupação é não ter que ficar controlando sua rede por endereços IPs, considere a opção de configurar seu proxy (Squid) como "autenticado". Neste caso, você passa a efetuar liberações e restrições (inclusive via SquidGuard), baseado no login de cada funcionário (sem se preocupar mais com IPs).

                    Você pode fazer com que o seu pfSense use uma base de usuários pré-existe (como um Servidor MS Active Directory, OpenLDAP ou RADIUS), bem como, criar os usuários no próprio pfSense em: "System->User Manager".

                    Outra opção no seu caso, pode ser usar o Captive Portal. Neste caso, toda vez que um usuário quiser navegar na web, vai precisar efetuar login numa página pelo browser. As restrições (Squid + SquidGuard) também podem ser baseadas nesta autenticação.

                    Abraços!
                    Jack

                    Desculpe a demora na resposta,
                    no meu ambiente de trabalho infelizmente não tem como fazer por usuário porque a mesma estação e usada por varias pessoas,
                    caso eu venha a liberar para UM so usuário, ela passa o login para outra e todas acabam ficando liberado, pois o funcionário que na teoria seria o CHEFE usa a mesma estação do usuário PADRÃO oque pode ocorrer de ficar liberado.
                    Oque me passaram para um firewall para os usuários no meu ambiente de trabalho seria o seguinte.

                    -1°-recepção=tudo block apenas sites de trabalho(6)pc's
                    -2°-recepção =block parcial com gmail liberado(4)pc's
                    -3°-Gerentes=block parcial com msn e emails liberados.(10)pc's
                    -4°-diretores=sem block(2)pc's
                    -5°-outros pc's= mesma configuração da recepção 1°

                    Acho que se eu fizer pelos IP's tenho um controle maior.
                    abertos a sugestões.

                    1 Reply Last reply Reply Quote 0
                    • JackLJ
                      JackL
                      last edited by

                      @mulambo:

                      no meu ambiente de trabalho infelizmente não tem como fazer por usuário porque a mesma estação e usada por varias pessoas,
                      caso eu venha a liberar para UM so usuário, ela passa o login para outra e todas acabam ficando liberado, pois o funcionário que na teoria seria o CHEFE usa a mesma estação do usuário PADRÃO oque pode ocorrer de ficar liberado.

                      Agora confesso que não entendi o contexto…

                      Oras, se uma mesma máquina é usada por vários usuários diferentes, você tem justamente a indicação de usar proxy autenticado. Afinal, como você vai saber se foi o "user1" ou "user2" que fez um determinado acesso indevido (se ambos os acessos vieram do mesmo IP de origem)???

                      Esta questão de usuários repassarem suas credenciais já foi discutida aqui mesmo no fórum: http://forum.pfsense.org/index.php/topic,44615.msg232035.html#msg232035

                      Reveja o seu conceito sobre política interna de autenticação... ;)

                      Abraços!
                      Jack

                      Treinamentos de Elite: http://sys-squad.com
                      Soluções: https://conexti.com.br

                      1 Reply Last reply Reply Quote 0
                      • M
                        mulambo
                        last edited by

                        Acontece o seguinte EU realmente preferiria que fosse com um AD usando no Pfsense,
                        se que infelizmente acontece de quando eu passar uns acesso FULL para o usuário X ele infelizmente pode passar a login e senha,
                        para um usuário que e BLOCK que acaba não funcionando direito infelizmente no meu caso.

                        Se eu bloqueio logo o PC que é de uso de todos e fim de papo! Não acessa e ponto final.
                        Onde eu trabalho com em varias empresas todo usuário faz de tudo para burlar a segurança,
                        MAS se eu faço uma AD fica mais fácil ainda eles conseguirem fica acessando pelo oque eu conheço.

                        1 Reply Last reply Reply Quote 0
                        • JackLJ
                          JackL
                          last edited by

                          @mulambo:

                          MAS se eu faço uma AD fica mais fácil ainda eles conseguirem fica acessando pelo oque eu conheço.

                          Blz mulambo… aí realmente é uma questão de escolha de metodologia (escolha sua - enquanto sysadmin). Eu imagino que você não tenha lido este tópico http://forum.pfsense.org/index.php/topic,44615.msg232035.html#msg232035 - mas na prática, o repasse de credenciais dentre os usuários, é uma questão de medida adminstrativa, não técnica!

                          De todo modo, implemente da maneira que atenda a sua expectativa! ;)

                          Abraços!
                          Jack

                          Treinamentos de Elite: http://sys-squad.com
                          Soluções: https://conexti.com.br

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.