4. Integração com AD - Squidguard ou Dansguardian?

Integração com AD - Squidguard ou Dansguardian?

  • W

    Ola a todos,

    Continuo estudando o pfsense e já abri mão de usar o tmg, pois o pfsense está cada vez superando espectativas. No momento estou tentando a configuração de proxy no meu pfsense com o AD.
    Instalei o Squid e consegui fazer com que ele funcionasse junto com AD (maravilha), instalei o Lightsquid e tb está ok (apesar de só estar mostrando os dados pelo IP e não pelo usuario), agora vem a duvida SquidGuard ou Dansguardian?
    Lembrando que sou bem novato em Pfsense e pra fazer o que fiz, já tomei uma bela surra, portanto, peço ajuda aos amigos experts na ferramenta para eu conseguir essa configuração com sucesso.
    Então para integrar com AD qual seria o mais simples? O Squidguard ou Dansguardian? Vou montar 3 grupos no AD: internet_operacao (com acesso restrito), Internet_administrativo (acesso menos restrito) e Internet_liberado (acesso full, está será somente para o TI e diretoria).
    Conto a ajuda de todos, pois juro, que li e reli, varios posts e tutos antes de postar, tudo sem sucesso. Acho que ainda não compreendi bem o funcionamento dessas ferramentas.
    Muito obrigado a todos.

    0

  • Walter,

    Eu prefiro o dansguardian, mas isso vai de cada admin.

    Usando o  dansguardian, você vai colocar ele na frente do squid, e apontar os clientes para a porta 8080 por exemplo.

    No squidguard, fica tudo como está e você adiciona as regras uma vez que ele é um helper do squid.

    att,
    Marcello Coutinho

    0
  • W

    Fiz o download do dansguardian e vi que ele esta com diversas opções, Parabéns Marcello, mas o máximo que consegui fazer foi inserir os dados do meu ad e baixar uma blacklist. Notei que agora as requisições estão saindo pela porta 8080 como disse, porém quando tento o acesso ele pede o login e senha mas não autentica mais. Procurei alguns tutoriais do pfsense sobre este tipo de configuração mas não encontrei nada. Você poderia me auxiliar com algum tutorial? Outra coisa que percebi é que depois de pegar a blacklist não apareceu nenhuma opção de bloqueios por categoria, é assim mesmo ou tenho que fazer isso na mão?
    Obrigado pela ajuda!

    0

  • @Walter:

    Porém quando tento o acesso ele pede o login e senha mas não autentica mais.

    seu dansguardian esta configurado na porta 8080 e usando o squid na 127.0.0.1 porta 3128?
    Nas configurações do dansguardian você configurou o 'Auth Plugins' na aba general com proxy-basic?
    Viu se o serviço do dansguardian e  do squid estão rodando?

    @Walter:

    Outra coisa que percebi é que depois de pegar a blacklist não apareceu nenhuma opção de bloqueios por categoria, é assim mesmo ou tenho que fazer isso na mão?

    você configurou todos os item da blacklist?

    List on com banned and exception
    Update frequency de never para qualquer outro valor

    0
  • W

    @marcelloc:

    seu dansguardian esta configurado na porta 8080 e usando o squid na 127.0.0.1 porta 3128?
    Nas configurações do dansguardian você configurou o 'Auth Plugins' na aba general com proxy-basic?
    Viu se o serviço do dansguardian e  do squid estão rodando?

    Sim, o dansguardian está praticamente com a configuração default. Na aba Daemon eu só apontei para lan, o resto está default;
    Na verdade se eu deixo apontando para 127.0.0.1 na 3128 nada acontece, cai na mensagem que o navegador não pode ser aberta, eu tenho que apontar para o ip 10.0.0.1 que é ele mesmo na rede pela 3128 ai vai, só que acessa somente as paginas que eu libero no squid  :-
    Na aba General está toda default tb, com proxy-basic
    Na aba LDAP eu coloquei a configuração do meu AD deixando "mask"  branco
    Os serviços estão rodando, eu parei e reinicei os 2 serviços por garantia.

    @marcelloc:

    você configurou todos os item da blacklist?

    List on com banned and exception
    Update frequency de never para qualquer outro valor

    Depois de restaurar o dansguardian eu deixei como default a blacklist e o pfsense diz que esta aplicado
    Coloquei como banned and exception e o update frequency como Once a week.
    o dansguardian já vem com alguma blacklist?
    Não sei se no meu caso eu tenho que usar a aba access list, group e users, mesmo querendo criar os grupos somente no AD.

    0

  • @Walter:

    Na verdade se eu deixo apontando para 127.0.0.1 na 3128 nada acontece, cai na mensagem que o navegador não pode ser aberta, eu tenho que apontar para o ip 10.0.0.1 que é ele mesmo na rede pela 3128 ai vai, só que acessa somente as paginas que eu libero no squid  :-\

    O squid responde na 3128 se você marcar a loopback nas configurações do squid  ;)

    @Walter:

    o dansguardian já vem com alguma blacklist?

    Mńima mas vem

    @Walter:

    Não sei se no meu caso eu tenho que usar a aba access list, group e users, mesmo querendo criar os grupos somente no AD.

    Use a configuração do ad e crie os grupos com o mesmo nome.

    No horario agendado, o script atualiza a lista de users com a lista do ad.

    att,
    Marcello Coutinho

    0
  • S

    @marcelloc:

    O squid responde na 3128 se você marcar a loopback nas configurações do squid  ;)

    Marcello…
    tenho o mesmo problema descrito pelo colega... mesmo a interface loopback estando marcada no squid...

    []s

    0

  • Respeitando a seqüência de instalação, marque na configuração do squid apenas a interface loopback e no dansguardian marque a interface lan preservando a comunicação com o squid na 127.0.0.1porta 3128.

    Tente inicar o squid e o dansguardian via console/ssh para identificar possíveis erros de configuração

    0
  • S

    @marcelloc:

    Respeitando a seqüência de instalação, marque na configuração do squid apenas a interface loopback e no dansguardian marque a interface lan preservando a comunicação com o squid na 127.0.0.1porta 3128.

    Tente inicar o squid e o dansguardian via console/ssh para identificar possíveis erros de configuração

    fiz como descrito, startei os serviços via ssh e nenhuma mensagem de erro foi gerada, (nem com o loopback marcado no squid e inserido no dans , nem com a lan/loopback marcados no squid e a lan inserida no dans)…
    Anyway... está funcionando , apenas com o ip do pfsense inserido no dans..

    0

  • @sosmicro:

    Anyway… está funcionando , apenas com o ip do pfsense inserido no dans..

    Neste caso, para evitar que os usuarios pulem o dansguardian, não deixe de criar uma regra na lan impedindo a comunicação direta entre as estações e o squid.

    0
  • S

    @marcelloc:

    @sosmicro:

    Anyway… está funcionando , apenas com o ip do pfsense inserido no dans..

    Neste caso, para evitar que os usuarios pulem o dansguardian, não deixe de criar uma regra na lan impedindo a comunicação direta entre as estações e o squid.

    blz… regra criada...

    []s

    0
  • W

    Marcello,

    Voltei novamente a configuração antes da instalação do dans, e tentei fazer com que o squid rodasse no loopback port 3128 e sem sucesso, só funciona na lan na porta 3128. Tentei marcar lookback como disse mas nao deu certo. Eu fiz uma alteração no squid.inc que foi;

    external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=redeinterna,dc=net" -D "cn=Administrador,cn=Users,dc=redeinterna,dc=net" -w "pwd1admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=redeinterna,dc=net))" -h 10.0.0.2 -p 389

    Eu teria que adicionar algo como http_acess deny all ou http_acess allow all e deixar o dans fazer o resto?
    Acredito que resolvendo essa questão o dansguardian irá funcionar :)

    0

  • @Walter:

    Voltei novamente a configuração antes da instalação do dans, e tentei fazer com que o squid rodasse no loopback port 3128 e sem sucesso, só funciona na lan na porta 3128. Tentei marcar lookback como disse mas nao deu certo. Eu fiz uma alteração no squid.inc que foi;

    Colocando o squid na loopback, só daemons que estão no próprio pfsense conseguem se comunicar com ele.

    A configuração que uso(portanto sei que funciona) e recomendo é a seguinte:

    usuario –-> dansguardian@ip_da_lan ---> squid@127.0.0.1 ---> internet

    att,
    Marcello Coutinho

    0
  • W

    Ola a Todos,

    Bom só para fechar o Tópico… Após de diversas tentativas sem sucesso e o tempo curto para a implementação, resolvi deixar o pfsense fazendo somente o papel de firewall e subi um Debian para rodar o squid + Squidguard + AD, que rodou sem dificuldades.

    Valeu a todos pela ajuda!!

    0
  • S

    marcello….

    como eu conseguiria ver os logs do processo de autenticação pelo squid??? quero saber se o squid conseguiu conectar ao AD mas em todo log que olho (system, squid...) não veja nada relacionado... Caso
    o processo de conexão ao AD esteja configurado incorretamente alguma notificação é feita via log???

    []s

    0

  • O cache.log do squid é o log a ser analisado para encontrar erros na autenticação.

    0
  • K

    Walter, recomendo utilizar o squidGuard visto que o Dansguardian não é tão simples de implementar para iniciantes, apanhei muito e depois de tudo pronto, percebi que ele não filtrava subdomínios no modo whitelist, por exemplo: talk.google.com; se você libera o google.com, o talk.google.com também está liberado; já no squidGuard isso não acontece.
    Tenho um squid autenticado no AD com squidGuard rodando, se precisar de ajuda caso queria insistir, é só falar.

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy