• Boa Noite Senhores!

    Estou em um projeto novo, estou construindo um mini portal para alguns gerentes acessarem e fazerem um input direto nas acls do Squid, já criei a pagina simples em PHP e está funcionando muito bem, porem preciso colocar essa pagina no Pfsense, para que eu possa configurar o squid.conf para colher a ACL e aplicar as restrições.

    Vi que existe o pacote vHosts, porem não consigo iniciar o serviço e infelizmente não tenho nenhum log para ver por onde começar.

    Alguem já trabalhou com o pacote?

    Obrigado.

    Atenciosamente.

    Thiago Moura


  • tenta executar o serviço pela console.

    O pacote funciona mas é meio "bugado".

    Pergunta:

    Porque não colocar esta página direto no servidor php do pfsense? (/usr/local/www)


  • Marcelão Salvador da Patria!rsrs

    Então…não coloquei a principio no servidor do Pfsense, por não saber se é possivel, eu teria como acessar pela porta 80 ou pela porta da interface WebGUI?


  • Opa! Progressos, desinstalei o pacote e instalei de novo e ele passou a rodar, ainda que no Widget ele apareça como parado mesmo.

    Agora estou com outro problema e esse tenho certeza que o marcelloc vai saber de cara.

    Eu criei o codigo em PHP, ele está funcionando e tudo mais, ai eu fui verificar no squid.conf o caminho da blacklist.acl pra ver onde vou inputar com meu codigo.
    O problema é que ele aceita o codigo na ACL só que não aplica as restrições e quando reinicio o serviço ele exclui o arquivo (tendo em vista que na interface do squid pela WebGui não tem nada)

    Tem ideia do que seja?


  • Se o que você quer é gerar a acl a partir do seu código usando o pacote do squid para configurar o resto, é melhor fazer o código para editar o xml em vez de criar o arquivo de configuração.

    Se for o caso, é melhor usar a proprio php do pfsense para usar a framework a seu favor.


  • Mas como eu editaria o XML diretamente?
    Eu inputei em /var/squid/acl/blacklist.acl


  • Da uma olhada no squid.inc e veja que ele trata o xml como um array php.

    http://forum.pfsense.org/index.php/topic,41928.msg237822.html#msg237822

    Este script que habilita e desabilita o ipsec vai te ajudar a fazer um php que altera o conteúdo do xml como você quer.

    att,
    Marcello Coutinho


  • Bom Dia!

    Desculpe a ignorancia, mas onde fica o arquivo squid.inc? Os dados relacionados a bloqueio não são carregados a partir do arquivo blacklist.acl?


  • Onde você cadastra normalmente os bloqueios?

    já pensou em usar as pemissões de acesso do proprio pfsense e liberar para os gerentes somente acesso ao squidguard(ou pacotes que usam xml) por exemplo?


  • Normalmente uso o SquidGuard, mas esse é um caso isolado, se trata de um projeto de laboratório…

    Os bloqueios eu cadastro via web...Services>Proxy Server>Access Control> Blacklist

    Ai analisando o squid.conf (/usr/local/etc/squid/squid.conf) eu achei essa linha:

    acl blacklist dstdom_regex -i "/var/squid/acl/blacklist.acl"

    Ai coloquei meu script pra alterar esse arquivo "blacklist.alc"
    porem as restrições que eu coloco la não são lidas pelo squid, tanto que quando vou em

    Services>Proxy Server>Access Control> Blacklist

    não muda nada.


  • Não muda porque a configuração é gravada no xml.

    depois de alterar o arquivo, voce precisa reiniciar o serviço.

    Dependendo da forma com que o pacote foi escrito, cada restart do serviço o daemon executa o procedimento de leitura do xml e gravação em disco.


  • E você sabe informar onde fica o XML?


  • @thimoura:

    E você sabe informar onde fica o XML?

    O xml fica em /conf/config.xml mas não recomendo editar ele via script.

    A melhor forma é usar as funções do php para editar o campo que você precisa.

    Aquele post que te passei esta cheio de comentários e mostra um php que liga e desliga o ipsec.

    /*
        check_mpls.php
        Versao 1.1
        Este script tem como funcao habilitar ou desabilitar tuneis de VPN para serem usados
        como backup em caso de falhas em linhas dedicadas ou links ponto-a-ponto.
        Este script deve ser instalado no diretorio /usr/local/www, ter permisao de
        execucao e devera ser chamado atraves do cron na peridiocidade desejada.
        O script recebe como parametro o IP de origem para determinar a interface pela
        qual o teste sera realizado, o IP de destino que sera verificado se esta
        on-line ou n## e o nummero da VPN.
        No caso o numero da VPN e obtido contando-se apenas os itens de Fase 1 na 
        configuracao do IPSec do pfSense de cima para baixo comecando do 0.
        Exemplo:
        php -q /usr/local/www/check_mpls.php <ip de="" origem=""> <ip a="" ser="" testado=""> <numero da="" vpn="" ipsec="">
        php -q /usr/local/www/check_mpls.php 192.168.0.1 192.168.10.3 0
    */
    
    require_once("util.inc");
    require_once("functions.inc");
    require_once("pkg-utils.inc");
    require_once("globals.inc");
    require_once("filter.inc");
    require_once("shaper.inc");
    require_once("ipsec.inc");
    require_once("vpn.inc");
    
    /* Pega o ultimo parametro informado na chamada, e armazena na variavel $VPN_ID */
    $VPN_ID=array_pop($argv);
    
    /* Pega o IP de destino informado e checa se e valido, se sim continua o programa */ 
    $dsthost=array_pop($argv);
    if (! is_ipaddr($dsthost)){
            print "Invalid Destination IP address!\n";
            exit(1);
    }
    
    /* Pega o IP de origem informado e checa se e valido, se sim continua o programa */
    $srchost=array_pop($argv);
    if (! is_ipaddr($srchost)){
            print "Invalid Source IP address!\n";
            exit(1);
    }
    
    /* Verifica se o IPSec esta ligado no pfSense, se sim continua o programa */
    $ipsec=&$config['ipsec'];
    if (! isset($ipsec['enable'])) {
            exit(1);
    }
    
    /* Armazena as configuracoes das fases 1 e 2 do IPSec nas variaveis e verifica se a VPN informada existe ou nao */
    $a_phase1 = &$config['ipsec']['phase1'];
    $a_phase2 = &$config['ipsec']['phase2'];
    if (isset($a_phase1[$VPN_ID]['ikeid'])) {
        $ikeid = $a_phase1[$VPN_ID]['ikeid'];
    } else {
        print "VPN Tunnel didn't exist!\n";
        exit(1);
    }
    
    /* Determina a quantidade de pings que serao realizados, o tunel sera ativado se a quantdade de erros for maior ou igual a 50% desse valor */
    $qtdping=10;
    
    $exit=0;
    for ($i=1; $i<=$qtdping; $i++) {
        exec("/sbin/ping -c 1 -t 1 -S $srchost $dsthost",$ret,$exit1);
        if ($exit1 <> 0) {
           $exit=$exit+1;
        }
    }
    
    /* Se a quantidade for menor que 50% o link esta online, se a VPN estiver ativada sera desligada, caso contrario
    imprime a mensagem informativa e encerra o programa. */
    if ($exit < ($qtdping/2)) {
    	#link online
    	if (! isset($a_phase1[$VPN_ID]['disabled'])) {
    		print "Link online, Disabling Tunnel!\n";
    		$a_phase1[$VPN_ID]['disabled']="";
    		if (is_array($a_phase2) && (count($a_phase2))) {
    			foreach ($a_phase2 as &$phase2) {
    				if ($phase2['ikeid'] == $ikeid) {
    					$phase2['disabled']="";
    				}
    			}
    			unset($phase2);
    		}
    		write_config();       
    
    		/* flush SPD and SAD */
    		mwexec("/usr/local/sbin/setkey -F");
    		mwexec("/usr/local/sbin/setkey -FP");
    
    		vpn_ipsec_refresh_policies();
    		vpn_ipsec_configure();         
    		filter_configure();
    		exit(0);
    	}
    	else {
    		print "Link online, Tunnel already Disabled!\n";
    		exit(0);
    	}
    }
    	/* Se a quantidade de erros for maior ou igual a 50% o link esta offline, então a VPN sera ativada.
    	Caso ela ja esteja ligada, imprime a mensagem informativa e encerra o programa */
    else {
    	if (isset($a_phase1[$VPN_ID]['disabled'])) {
    		print "Link offline, Enabling Tunnel!\n";
    		unset ($a_phase1[$VPN_ID]['disabled']);
    		if (is_array($a_phase2) && (count($a_phase2))) {
    			foreach ($a_phase2 as &$phase2) {
    				if ($phase2['ikeid'] == $ikeid) {
    					unset ($phase2['disabled']);
                   	}
    			}
    			unset($phase2);
            }
    		write_config();
    
    		/* flush SPD and SAD */
    		mwexec("/usr/local/sbin/setkey -F");
    		mwexec("/usr/local/sbin/setkey -FP");
    
    		vpn_ipsec_refresh_policies();
    		vpn_ipsec_configure();                
    		filter_configure();
    		exit(0);
    	}
    	else {
    		print "Link offline, Tunnel already Enabled!\n";
    		exit(0);
    	}
    }
    ?></numero></ip></ip>
    

    No seu caso, a configração deve estar no array $config['installedpackages']['squidnac'][0][config]


  • Quando chegar no escritorio vou testar dessa forma e posta aqui os resultados.

    Por hora muito obrigado.


  • Acessando um cliente rapidamente eu verifiquei essa estrutura:

    <squidnac><config><allowed_subnets><unrestricted_hosts>MTkyLjE2OC4wLjEwNg==</unrestricted_hosts>
    <banned_hosts><whitelist><blacklist>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</blacklist> <ext_cachemanager><addtl_ports><addtl_sslports></addtl_sslports></addtl_ports></ext_cachemanager></whitelist></banned_hosts></allowed_subnets></config></squidnac>

    Não sei como farei pra mexer na estrutura…Programação não é muito minha praia...rs


  • Tenta entender o script que eu postei. É a melhor forma de alterar a configuração da blacklist.

    Não esqueça de fazer backup da configuração antes de testar seu código.


  • Estou montando o ambiente para testar, agradeço a força Marcelo!


  • @thimoura:

    Estou montando o ambiente para testar, agradeço a força Marcelo!

    o campo da blacklist esta codificado com base64

    para ler, use a função base64_decode() do php.

    para codificar a função é base64_encode()

    att,
    Marcello Coutinho