Integração com AD - Squidguard ou Dansguardian?



  • Ola a todos,

    Continuo estudando o pfsense e já abri mão de usar o tmg, pois o pfsense está cada vez superando espectativas. No momento estou tentando a configuração de proxy no meu pfsense com o AD.
    Instalei o Squid e consegui fazer com que ele funcionasse junto com AD (maravilha), instalei o Lightsquid e tb está ok (apesar de só estar mostrando os dados pelo IP e não pelo usuario), agora vem a duvida SquidGuard ou Dansguardian?
    Lembrando que sou bem novato em Pfsense e pra fazer o que fiz, já tomei uma bela surra, portanto, peço ajuda aos amigos experts na ferramenta para eu conseguir essa configuração com sucesso.
    Então para integrar com AD qual seria o mais simples? O Squidguard ou Dansguardian? Vou montar 3 grupos no AD: internet_operacao (com acesso restrito), Internet_administrativo (acesso menos restrito) e Internet_liberado (acesso full, está será somente para o TI e diretoria).
    Conto a ajuda de todos, pois juro, que li e reli, varios posts e tutos antes de postar, tudo sem sucesso. Acho que ainda não compreendi bem o funcionamento dessas ferramentas.
    Muito obrigado a todos.



  • Walter,

    Eu prefiro o dansguardian, mas isso vai de cada admin.

    Usando o  dansguardian, você vai colocar ele na frente do squid, e apontar os clientes para a porta 8080 por exemplo.

    No squidguard, fica tudo como está e você adiciona as regras uma vez que ele é um helper do squid.

    att,
    Marcello Coutinho



  • Fiz o download do dansguardian e vi que ele esta com diversas opções, Parabéns Marcello, mas o máximo que consegui fazer foi inserir os dados do meu ad e baixar uma blacklist. Notei que agora as requisições estão saindo pela porta 8080 como disse, porém quando tento o acesso ele pede o login e senha mas não autentica mais. Procurei alguns tutoriais do pfsense sobre este tipo de configuração mas não encontrei nada. Você poderia me auxiliar com algum tutorial? Outra coisa que percebi é que depois de pegar a blacklist não apareceu nenhuma opção de bloqueios por categoria, é assim mesmo ou tenho que fazer isso na mão?
    Obrigado pela ajuda!



  • @Walter:

    Porém quando tento o acesso ele pede o login e senha mas não autentica mais.

    seu dansguardian esta configurado na porta 8080 e usando o squid na 127.0.0.1 porta 3128?
    Nas configurações do dansguardian você configurou o 'Auth Plugins' na aba general com proxy-basic?
    Viu se o serviço do dansguardian e  do squid estão rodando?

    @Walter:

    Outra coisa que percebi é que depois de pegar a blacklist não apareceu nenhuma opção de bloqueios por categoria, é assim mesmo ou tenho que fazer isso na mão?

    você configurou todos os item da blacklist?

    List on com banned and exception
    Update frequency de never para qualquer outro valor



  • @marcelloc:

    seu dansguardian esta configurado na porta 8080 e usando o squid na 127.0.0.1 porta 3128?
    Nas configurações do dansguardian você configurou o 'Auth Plugins' na aba general com proxy-basic?
    Viu se o serviço do dansguardian e  do squid estão rodando?

    Sim, o dansguardian está praticamente com a configuração default. Na aba Daemon eu só apontei para lan, o resto está default;
    Na verdade se eu deixo apontando para 127.0.0.1 na 3128 nada acontece, cai na mensagem que o navegador não pode ser aberta, eu tenho que apontar para o ip 10.0.0.1 que é ele mesmo na rede pela 3128 ai vai, só que acessa somente as paginas que eu libero no squid  :-
    Na aba General está toda default tb, com proxy-basic
    Na aba LDAP eu coloquei a configuração do meu AD deixando "mask"  branco
    Os serviços estão rodando, eu parei e reinicei os 2 serviços por garantia.

    @marcelloc:

    você configurou todos os item da blacklist?

    List on com banned and exception
    Update frequency de never para qualquer outro valor

    Depois de restaurar o dansguardian eu deixei como default a blacklist e o pfsense diz que esta aplicado
    Coloquei como banned and exception e o update frequency como Once a week.
    o dansguardian já vem com alguma blacklist?
    Não sei se no meu caso eu tenho que usar a aba access list, group e users, mesmo querendo criar os grupos somente no AD.



  • @Walter:

    Na verdade se eu deixo apontando para 127.0.0.1 na 3128 nada acontece, cai na mensagem que o navegador não pode ser aberta, eu tenho que apontar para o ip 10.0.0.1 que é ele mesmo na rede pela 3128 ai vai, só que acessa somente as paginas que eu libero no squid  :-\

    O squid responde na 3128 se você marcar a loopback nas configurações do squid  ;)

    @Walter:

    o dansguardian já vem com alguma blacklist?

    Mńima mas vem

    @Walter:

    Não sei se no meu caso eu tenho que usar a aba access list, group e users, mesmo querendo criar os grupos somente no AD.

    Use a configuração do ad e crie os grupos com o mesmo nome.

    No horario agendado, o script atualiza a lista de users com a lista do ad.

    att,
    Marcello Coutinho



  • @marcelloc:

    O squid responde na 3128 se você marcar a loopback nas configurações do squid  ;)

    Marcello…
    tenho o mesmo problema descrito pelo colega... mesmo a interface loopback estando marcada no squid...

    []s



  • Respeitando a seqüência de instalação, marque na configuração do squid apenas a interface loopback e no dansguardian marque a interface lan preservando a comunicação com o squid na 127.0.0.1porta 3128.

    Tente inicar o squid e o dansguardian via console/ssh para identificar possíveis erros de configuração



  • @marcelloc:

    Respeitando a seqüência de instalação, marque na configuração do squid apenas a interface loopback e no dansguardian marque a interface lan preservando a comunicação com o squid na 127.0.0.1porta 3128.

    Tente inicar o squid e o dansguardian via console/ssh para identificar possíveis erros de configuração

    fiz como descrito, startei os serviços via ssh e nenhuma mensagem de erro foi gerada, (nem com o loopback marcado no squid e inserido no dans , nem com a lan/loopback marcados no squid e a lan inserida no dans)…
    Anyway... está funcionando , apenas com o ip do pfsense inserido no dans..



  • @sosmicro:

    Anyway… está funcionando , apenas com o ip do pfsense inserido no dans..

    Neste caso, para evitar que os usuarios pulem o dansguardian, não deixe de criar uma regra na lan impedindo a comunicação direta entre as estações e o squid.



  • @marcelloc:

    @sosmicro:

    Anyway… está funcionando , apenas com o ip do pfsense inserido no dans..

    Neste caso, para evitar que os usuarios pulem o dansguardian, não deixe de criar uma regra na lan impedindo a comunicação direta entre as estações e o squid.

    blz… regra criada...

    []s



  • Marcello,

    Voltei novamente a configuração antes da instalação do dans, e tentei fazer com que o squid rodasse no loopback port 3128 e sem sucesso, só funciona na lan na porta 3128. Tentei marcar lookback como disse mas nao deu certo. Eu fiz uma alteração no squid.inc que foi;

    external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=redeinterna,dc=net" -D "cn=Administrador,cn=Users,dc=redeinterna,dc=net" -w "pwd1admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=redeinterna,dc=net))" -h 10.0.0.2 -p 389

    Eu teria que adicionar algo como http_acess deny all ou http_acess allow all e deixar o dans fazer o resto?
    Acredito que resolvendo essa questão o dansguardian irá funcionar :)



  • @Walter:

    Voltei novamente a configuração antes da instalação do dans, e tentei fazer com que o squid rodasse no loopback port 3128 e sem sucesso, só funciona na lan na porta 3128. Tentei marcar lookback como disse mas nao deu certo. Eu fiz uma alteração no squid.inc que foi;

    Colocando o squid na loopback, só daemons que estão no próprio pfsense conseguem se comunicar com ele.

    A configuração que uso(portanto sei que funciona) e recomendo é a seguinte:

    usuario –-> dansguardian@ip_da_lan ---> squid@127.0.0.1 ---> internet

    att,
    Marcello Coutinho



  • Ola a Todos,

    Bom só para fechar o Tópico… Após de diversas tentativas sem sucesso e o tempo curto para a implementação, resolvi deixar o pfsense fazendo somente o papel de firewall e subi um Debian para rodar o squid + Squidguard + AD, que rodou sem dificuldades.

    Valeu a todos pela ajuda!!



  • marcello….

    como eu conseguiria ver os logs do processo de autenticação pelo squid??? quero saber se o squid conseguiu conectar ao AD mas em todo log que olho (system, squid...) não veja nada relacionado... Caso
    o processo de conexão ao AD esteja configurado incorretamente alguma notificação é feita via log???

    []s



  • O cache.log do squid é o log a ser analisado para encontrar erros na autenticação.



  • Walter, recomendo utilizar o squidGuard visto que o Dansguardian não é tão simples de implementar para iniciantes, apanhei muito e depois de tudo pronto, percebi que ele não filtrava subdomínios no modo whitelist, por exemplo: talk.google.com; se você libera o google.com, o talk.google.com também está liberado; já no squidGuard isso não acontece.
    Tenho um squid autenticado no AD com squidGuard rodando, se precisar de ajuda caso queria insistir, é só falar.


Locked