Squid



  • Boa tarde

    Pessoal, precisava de uma dica, recentemente migrei o gateway da empresa para o pfsense. Depois de algumas semanas de brigas com gateway, regras, redirecionamentos de portas e etc o proximo passo eh o filtro pra web. Eu instalei o squid e vi que a configuracao dele eh bem basica. O que preciso eh poder controlar o que o pessoal pode acessar. Ja havia feito isso com squid em gateways anteriores porem eram debian ou outro linux. Nao sei se posso editar o squid.conf e nem sei se o que eu colocar la ia funcionar. Vi uma caixa de dialogo que creio que seja pra isso, porem editar os arquivos com os ips dos clientes seria um problema. Entao o que preciso saber eh se existe algum outro pacote que juntamente com o squid ou nao(nao sei) faca isso. Preciso exclusivamente filtrar, exemplo: setor recepcao so' acessa xxx.com.br e yyyy.com.br, financeiro so' acessa bancoa.com.br, bancob.com.br e bancoz.com.br , o ip tal acessa sem restricao, o ip tal acessa tudo menos o que tiver bloqueado, o ip tal nao acessa nada. Grato e abracos.



  • laos,

    Sugiro você usar pacotes de filtro de conteúdo que trabalham em conjunto com o squid.
    No pfsense hoje tem disponível o squidguard e o dansguardian.

    att,
    Marcello Coutinho



  • eles fazem esse tipo de coisa que preciso? abraco.

    @marcelloc:

    laos,

    Sugiro você usar pacotes de filtro de conteúdo que trabalham em conjunto com o squid.
    No pfsense hoje tem disponível o squidguard e o dansguardian.

    att,
    Marcello Coutinho



  • @laos:

    eles fazem esse tipo de coisa que preciso?

    Sim, qualquer um dos dois.



  • Laos,

    uso o squidguard e realmente é uma mão na roda. Uso também uma blacklist (http://www.shallalist.de/Downloads/shallalist.tar.gz) que é muito boa. A pesar de não ser 'brasileira' tem praticamente todos os sites que eu precisei bloquear.

    Também é possível faze o controle por grupos, horários, como você precisa.

    Att
    Ederson



  • Antes de avançar muito, num primeiro momento instalei somente o squid e usando ele transparente, fiz alguns testes, entre eles o uso da web quando o link principal cai, quando isso acontece a navegação para, o segundo link fica ativo pois da estação pingo pra fora ips ou nomes, então o dns esta ok, fui pro console do pfsense e ips eu consigo pingar, nomes não! acho que é por ai o problema mas aonde mexer? grato

    @epboeira:

    Laos,

    uso o squidguard e realmente é uma mão na roda. Uso também uma blacklist (http://www.shallalist.de/Downloads/shallalist.tar.gz) que é muito boa. A pesar de não ser 'brasileira' tem praticamente todos os sites que eu precisei bloquear.

    Também é possível faze o controle por grupos, horários, como você precisa.

    Att
    Ederson



  • @laos:

    … da estação pingo pra fora ips ou nomes, então o dns esta ok, fui pro console do pfsense e ips eu consigo pingar, nomes não! acho que é por ai o problema mas aonde mexer? grato

    laos, reveja suas configurações em Services: DNS forwarder.
    Reveja também suas regras na LAN. Tem alguma regra que pode estar bloqueando o Netbios?

    http://pt.wikipedia.org/wiki/NetBIOS



  • Só pra deixar claro que sem o squid a navegação funciona sem problemas em qualquer combinação de links.  Segue o dns forwarder  e regras de lan. Outra coisa, instalei o pacote do sarg e nao consegui ver o relatorio… o log consigo ver ok. No console se rodo o sarg ele gera o relatorio ok, pelo menos nao retorna erro. Acho que é algo relacionado a caminho mas como sou novo no pfsense ainda estou meio perdido nos caminhos. Ja procurei no forum e nao achei nada relacionado.

    @johnnybe:

    @laos:

    … da estação pingo pra fora ips ou nomes, então o dns esta ok, fui pro console do pfsense e ips eu consigo pingar, nomes não! acho que é por ai o problema mas aonde mexer? grato

    laos, reveja suas configurações em Services: DNS forwarder.
    Reveja também suas regras na LAN. Tem alguma regra que pode estar bloqueando o Netbios?

    http://pt.wikipedia.org/wiki/NetBIOS




  • o squid só vai usar o balanceamento se voce incluir o tcp_ougoing_addres 127.0.0.1 no campo custom options e criar a mesma regra de balanceamento em firewall -> rules -> floating.

    No sarg, você verificou se marcou todas as opções padrão[items com descrição (yes)] na aba general e configurou um agendamento para ele rodar?



  • Tente habilitar estas duas opções em Services: DNS forwarder:
    Register DHCP leases in DNS forwarder
    Register DHCP static mappings in DNS forwarder

    Não esqueça de Salvar e, logo em seguida Aplicar, se necessário.
    Eu não me lembro se é necessário reiniciar o sistema após este procedimento.
    Faça um teste. No meu sistema, com as configurações acima, eu resolvo ping pelo nome.



  • O sarg eu substitui pelo lightsquid… ja me resolveu. O squid usar o balanceamento é essencial pois o intuito de usa-lo é justamente não perder a navegação que é vital para o funcionamento da empresa. Vou testar essas coisas e retorno.

    @marcelloc:

    o squid só vai usar o balanceamento se voce incluir o tcp_ougoing_addres 127.0.0.1 no campo custom options e criar a mesma regra de balanceamento em firewall -> rules -> floating.

    No sarg, você verificou se marcou todas as opções padrão[items com descrição (yes)] na aba general e configurou um agendamento para ele rodar?



  • Mesma regra que tu falas é aquela regra default que tem em lan? allow lan to any rule?

    @marcelloc:

    o squid só vai usar o balanceamento se voce incluir o tcp_ougoing_addres 127.0.0.1 no campo custom options e criar a mesma regra de balanceamento em firewall -> rules -> floating.

    No sarg, você verificou se marcou todas as opções padrão[items com descrição (yes)] na aba general e configurou um agendamento para ele rodar?



  • Dando uma procurada melhor achei esse topico tutorial http://forum.pfsense.org/index.php/topic,37776.0.html
    porém o resultado é o que segue em anexo e no access.log:

    1339890157.428      0 192.168.0.110 TCP_DENIED/400 2353 GET NONE:// - NONE/- text/html
    1339890157.870      0 192.168.0.110 TCP_DENIED/400 2304 GET NONE:// - NONE/- text/html

    @laos:

    Mesma regra que tu falas é aquela regra default que tem em lan? allow lan to any rule?

    @marcelloc:

    o squid só vai usar o balanceamento se voce incluir o tcp_ougoing_addres 127.0.0.1 no campo custom options e criar a mesma regra de balanceamento em firewall -> rules -> floating.

    No sarg, você verificou se marcou todas as opções padrão[items com descrição (yes)] na aba general e configurou um agendamento para ele rodar?




  • Tenta com squid3, seu screenshot indica que voce está usando a versão 2



  • Boa tarde reativando este topico. Pesquisando no forum vi que ao que tudo indica ha uma limitação do squid com load balance. A solução seria colocar o squid em outra máquina. O que preciso e desculpem pela pergunta é a regra pra redirecionar a saida da porta 80 pra fazer o proxy transparente em outra maquina ou aonde eu vejo exemplos de regras, procurei pelo forum rapidamente e não achei nada. Ah preciso também uma regra que determinado ip não passe pelo proxy saia como hoje afim de evitar problemas com acesso a sites de banco e etc. Grato e abraço a todos.



  • @laos:

    Pesquisando no forum vi que ao que tudo indica ha uma limitação do squid com load balance.

    Funciona sim, o problema está em como você quer que isso funcione.

    O tcp_outgoing_address + regras na aba floating + whitelist resolvem a questão.



  • Ja tentei algumas coisas que me foram sugeridas anteriormente aqui mesmo nesse topico porem todas sem sucesso ou eu não soube fazer o que é mais provavel pois a recem estou começando com o pfsense pfsense, vou tentar mais um pouco senão der vou procurar outra solução. Fiz o que achei neste topico http://forum.pfsense.org/index.php/topic,37776.msg195019.html

    @marcelloc:

    @laos:

    Pesquisando no forum vi que ao que tudo indica ha uma limitação do squid com load balance.

    Funciona sim, o problema está em como você quer que isso funcione.

    O tcp_outgoing_address + regras na aba floating + whitelist resolvem a questão.


Locked