Squid
-
Boa tarde
Pessoal, precisava de uma dica, recentemente migrei o gateway da empresa para o pfsense. Depois de algumas semanas de brigas com gateway, regras, redirecionamentos de portas e etc o proximo passo eh o filtro pra web. Eu instalei o squid e vi que a configuracao dele eh bem basica. O que preciso eh poder controlar o que o pessoal pode acessar. Ja havia feito isso com squid em gateways anteriores porem eram debian ou outro linux. Nao sei se posso editar o squid.conf e nem sei se o que eu colocar la ia funcionar. Vi uma caixa de dialogo que creio que seja pra isso, porem editar os arquivos com os ips dos clientes seria um problema. Entao o que preciso saber eh se existe algum outro pacote que juntamente com o squid ou nao(nao sei) faca isso. Preciso exclusivamente filtrar, exemplo: setor recepcao so' acessa xxx.com.br e yyyy.com.br, financeiro so' acessa bancoa.com.br, bancob.com.br e bancoz.com.br , o ip tal acessa sem restricao, o ip tal acessa tudo menos o que tiver bloqueado, o ip tal nao acessa nada. Grato e abracos.
-
laos,
Sugiro você usar pacotes de filtro de conteúdo que trabalham em conjunto com o squid.
No pfsense hoje tem disponível o squidguard e o dansguardian.att,
Marcello Coutinho -
eles fazem esse tipo de coisa que preciso? abraco.
laos,
Sugiro você usar pacotes de filtro de conteúdo que trabalham em conjunto com o squid.
No pfsense hoje tem disponível o squidguard e o dansguardian.att,
Marcello Coutinho -
-
Laos,
uso o squidguard e realmente é uma mão na roda. Uso também uma blacklist (http://www.shallalist.de/Downloads/shallalist.tar.gz) que é muito boa. A pesar de não ser 'brasileira' tem praticamente todos os sites que eu precisei bloquear.
Também é possível faze o controle por grupos, horários, como você precisa.
Att
Ederson -
Antes de avançar muito, num primeiro momento instalei somente o squid e usando ele transparente, fiz alguns testes, entre eles o uso da web quando o link principal cai, quando isso acontece a navegação para, o segundo link fica ativo pois da estação pingo pra fora ips ou nomes, então o dns esta ok, fui pro console do pfsense e ips eu consigo pingar, nomes não! acho que é por ai o problema mas aonde mexer? grato
Laos,
uso o squidguard e realmente é uma mão na roda. Uso também uma blacklist (http://www.shallalist.de/Downloads/shallalist.tar.gz) que é muito boa. A pesar de não ser 'brasileira' tem praticamente todos os sites que eu precisei bloquear.
Também é possível faze o controle por grupos, horários, como você precisa.
Att
Ederson -
… da estação pingo pra fora ips ou nomes, então o dns esta ok, fui pro console do pfsense e ips eu consigo pingar, nomes não! acho que é por ai o problema mas aonde mexer? grato
laos, reveja suas configurações em Services: DNS forwarder.
Reveja também suas regras na LAN. Tem alguma regra que pode estar bloqueando o Netbios? -
Só pra deixar claro que sem o squid a navegação funciona sem problemas em qualquer combinação de links. Segue o dns forwarder e regras de lan. Outra coisa, instalei o pacote do sarg e nao consegui ver o relatorio… o log consigo ver ok. No console se rodo o sarg ele gera o relatorio ok, pelo menos nao retorna erro. Acho que é algo relacionado a caminho mas como sou novo no pfsense ainda estou meio perdido nos caminhos. Ja procurei no forum e nao achei nada relacionado.
… da estação pingo pra fora ips ou nomes, então o dns esta ok, fui pro console do pfsense e ips eu consigo pingar, nomes não! acho que é por ai o problema mas aonde mexer? grato
laos, reveja suas configurações em Services: DNS forwarder.
Reveja também suas regras na LAN. Tem alguma regra que pode estar bloqueando o Netbios?
-
o squid só vai usar o balanceamento se voce incluir o tcp_ougoing_addres 127.0.0.1 no campo custom options e criar a mesma regra de balanceamento em firewall -> rules -> floating.
No sarg, você verificou se marcou todas as opções padrão[items com descrição (yes)] na aba general e configurou um agendamento para ele rodar?
-
Tente habilitar estas duas opções em Services: DNS forwarder:
Register DHCP leases in DNS forwarder
Register DHCP static mappings in DNS forwarderNão esqueça de Salvar e, logo em seguida Aplicar, se necessário.
Eu não me lembro se é necessário reiniciar o sistema após este procedimento.
Faça um teste. No meu sistema, com as configurações acima, eu resolvo ping pelo nome. -
O sarg eu substitui pelo lightsquid… ja me resolveu. O squid usar o balanceamento é essencial pois o intuito de usa-lo é justamente não perder a navegação que é vital para o funcionamento da empresa. Vou testar essas coisas e retorno.
o squid só vai usar o balanceamento se voce incluir o tcp_ougoing_addres 127.0.0.1 no campo custom options e criar a mesma regra de balanceamento em firewall -> rules -> floating.
No sarg, você verificou se marcou todas as opções padrão[items com descrição (yes)] na aba general e configurou um agendamento para ele rodar?
-
Mesma regra que tu falas é aquela regra default que tem em lan? allow lan to any rule?
o squid só vai usar o balanceamento se voce incluir o tcp_ougoing_addres 127.0.0.1 no campo custom options e criar a mesma regra de balanceamento em firewall -> rules -> floating.
No sarg, você verificou se marcou todas as opções padrão[items com descrição (yes)] na aba general e configurou um agendamento para ele rodar?
-
Dando uma procurada melhor achei esse topico tutorial http://forum.pfsense.org/index.php/topic,37776.0.html
porém o resultado é o que segue em anexo e no access.log:1339890157.428 0 192.168.0.110 TCP_DENIED/400 2353 GET NONE:// - NONE/- text/html
1339890157.870 0 192.168.0.110 TCP_DENIED/400 2304 GET NONE:// - NONE/- text/htmlMesma regra que tu falas é aquela regra default que tem em lan? allow lan to any rule?
o squid só vai usar o balanceamento se voce incluir o tcp_ougoing_addres 127.0.0.1 no campo custom options e criar a mesma regra de balanceamento em firewall -> rules -> floating.
No sarg, você verificou se marcou todas as opções padrão[items com descrição (yes)] na aba general e configurou um agendamento para ele rodar?
-
Tenta com squid3, seu screenshot indica que voce está usando a versão 2
-
Boa tarde reativando este topico. Pesquisando no forum vi que ao que tudo indica ha uma limitação do squid com load balance. A solução seria colocar o squid em outra máquina. O que preciso e desculpem pela pergunta é a regra pra redirecionar a saida da porta 80 pra fazer o proxy transparente em outra maquina ou aonde eu vejo exemplos de regras, procurei pelo forum rapidamente e não achei nada. Ah preciso também uma regra que determinado ip não passe pelo proxy saia como hoje afim de evitar problemas com acesso a sites de banco e etc. Grato e abraço a todos.
-
Pesquisando no forum vi que ao que tudo indica ha uma limitação do squid com load balance.
Funciona sim, o problema está em como você quer que isso funcione.
O tcp_outgoing_address + regras na aba floating + whitelist resolvem a questão.
-
Ja tentei algumas coisas que me foram sugeridas anteriormente aqui mesmo nesse topico porem todas sem sucesso ou eu não soube fazer o que é mais provavel pois a recem estou começando com o pfsense pfsense, vou tentar mais um pouco senão der vou procurar outra solução. Fiz o que achei neste topico http://forum.pfsense.org/index.php/topic,37776.msg195019.html
Pesquisando no forum vi que ao que tudo indica ha uma limitação do squid com load balance.
Funciona sim, o problema está em como você quer que isso funcione.
O tcp_outgoing_address + regras na aba floating + whitelist resolvem a questão.
