Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Integração com AD - Squidguard ou Dansguardian?

    Portuguese
    4
    17
    8765
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      Walter last edited by

      Ola a todos,

      Continuo estudando o pfsense e já abri mão de usar o tmg, pois o pfsense está cada vez superando espectativas. No momento estou tentando a configuração de proxy no meu pfsense com o AD.
      Instalei o Squid e consegui fazer com que ele funcionasse junto com AD (maravilha), instalei o Lightsquid e tb está ok (apesar de só estar mostrando os dados pelo IP e não pelo usuario), agora vem a duvida SquidGuard ou Dansguardian?
      Lembrando que sou bem novato em Pfsense e pra fazer o que fiz, já tomei uma bela surra, portanto, peço ajuda aos amigos experts na ferramenta para eu conseguir essa configuração com sucesso.
      Então para integrar com AD qual seria o mais simples? O Squidguard ou Dansguardian? Vou montar 3 grupos no AD: internet_operacao (com acesso restrito), Internet_administrativo (acesso menos restrito) e Internet_liberado (acesso full, está será somente para o TI e diretoria).
      Conto a ajuda de todos, pois juro, que li e reli, varios posts e tutos antes de postar, tudo sem sucesso. Acho que ainda não compreendi bem o funcionamento dessas ferramentas.
      Muito obrigado a todos.

      1 Reply Last reply Reply Quote 0
      • marcelloc
        marcelloc last edited by

        Walter,

        Eu prefiro o dansguardian, mas isso vai de cada admin.

        Usando o  dansguardian, você vai colocar ele na frente do squid, e apontar os clientes para a porta 8080 por exemplo.

        No squidguard, fica tudo como está e você adiciona as regras uma vez que ele é um helper do squid.

        att,
        Marcello Coutinho

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • W
          Walter last edited by

          Fiz o download do dansguardian e vi que ele esta com diversas opções, Parabéns Marcello, mas o máximo que consegui fazer foi inserir os dados do meu ad e baixar uma blacklist. Notei que agora as requisições estão saindo pela porta 8080 como disse, porém quando tento o acesso ele pede o login e senha mas não autentica mais. Procurei alguns tutoriais do pfsense sobre este tipo de configuração mas não encontrei nada. Você poderia me auxiliar com algum tutorial? Outra coisa que percebi é que depois de pegar a blacklist não apareceu nenhuma opção de bloqueios por categoria, é assim mesmo ou tenho que fazer isso na mão?
          Obrigado pela ajuda!

          1 Reply Last reply Reply Quote 0
          • marcelloc
            marcelloc last edited by

            @Walter:

            Porém quando tento o acesso ele pede o login e senha mas não autentica mais.

            seu dansguardian esta configurado na porta 8080 e usando o squid na 127.0.0.1 porta 3128?
            Nas configurações do dansguardian você configurou o 'Auth Plugins' na aba general com proxy-basic?
            Viu se o serviço do dansguardian e  do squid estão rodando?

            @Walter:

            Outra coisa que percebi é que depois de pegar a blacklist não apareceu nenhuma opção de bloqueios por categoria, é assim mesmo ou tenho que fazer isso na mão?

            você configurou todos os item da blacklist?

            List on com banned and exception
            Update frequency de never para qualquer outro valor

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • W
              Walter last edited by

              @marcelloc:

              seu dansguardian esta configurado na porta 8080 e usando o squid na 127.0.0.1 porta 3128?
              Nas configurações do dansguardian você configurou o 'Auth Plugins' na aba general com proxy-basic?
              Viu se o serviço do dansguardian e  do squid estão rodando?

              Sim, o dansguardian está praticamente com a configuração default. Na aba Daemon eu só apontei para lan, o resto está default;
              Na verdade se eu deixo apontando para 127.0.0.1 na 3128 nada acontece, cai na mensagem que o navegador não pode ser aberta, eu tenho que apontar para o ip 10.0.0.1 que é ele mesmo na rede pela 3128 ai vai, só que acessa somente as paginas que eu libero no squid  :-
              Na aba General está toda default tb, com proxy-basic
              Na aba LDAP eu coloquei a configuração do meu AD deixando "mask"  branco
              Os serviços estão rodando, eu parei e reinicei os 2 serviços por garantia.

              @marcelloc:

              você configurou todos os item da blacklist?

              List on com banned and exception
              Update frequency de never para qualquer outro valor

              Depois de restaurar o dansguardian eu deixei como default a blacklist e o pfsense diz que esta aplicado
              Coloquei como banned and exception e o update frequency como Once a week.
              o dansguardian já vem com alguma blacklist?
              Não sei se no meu caso eu tenho que usar a aba access list, group e users, mesmo querendo criar os grupos somente no AD.

              1 Reply Last reply Reply Quote 0
              • marcelloc
                marcelloc last edited by

                @Walter:

                Na verdade se eu deixo apontando para 127.0.0.1 na 3128 nada acontece, cai na mensagem que o navegador não pode ser aberta, eu tenho que apontar para o ip 10.0.0.1 que é ele mesmo na rede pela 3128 ai vai, só que acessa somente as paginas que eu libero no squid  :-\

                O squid responde na 3128 se você marcar a loopback nas configurações do squid  ;)

                @Walter:

                o dansguardian já vem com alguma blacklist?

                Mńima mas vem

                @Walter:

                Não sei se no meu caso eu tenho que usar a aba access list, group e users, mesmo querendo criar os grupos somente no AD.

                Use a configuração do ad e crie os grupos com o mesmo nome.

                No horario agendado, o script atualiza a lista de users com a lista do ad.

                att,
                Marcello Coutinho

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • S
                  sosmicro last edited by

                  @marcelloc:

                  O squid responde na 3128 se você marcar a loopback nas configurações do squid  ;)

                  Marcello…
                  tenho o mesmo problema descrito pelo colega... mesmo a interface loopback estando marcada no squid...

                  []s

                  Oswaldo Romano
                  SOSMICRO - uberaba - MG

                  1 Reply Last reply Reply Quote 0
                  • marcelloc
                    marcelloc last edited by

                    Respeitando a seqüência de instalação, marque na configuração do squid apenas a interface loopback e no dansguardian marque a interface lan preservando a comunicação com o squid na 127.0.0.1porta 3128.

                    Tente inicar o squid e o dansguardian via console/ssh para identificar possíveis erros de configuração

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • S
                      sosmicro last edited by

                      @marcelloc:

                      Respeitando a seqüência de instalação, marque na configuração do squid apenas a interface loopback e no dansguardian marque a interface lan preservando a comunicação com o squid na 127.0.0.1porta 3128.

                      Tente inicar o squid e o dansguardian via console/ssh para identificar possíveis erros de configuração

                      fiz como descrito, startei os serviços via ssh e nenhuma mensagem de erro foi gerada, (nem com o loopback marcado no squid e inserido no dans , nem com a lan/loopback marcados no squid e a lan inserida no dans)…
                      Anyway... está funcionando , apenas com o ip do pfsense inserido no dans..

                      Oswaldo Romano
                      SOSMICRO - uberaba - MG

                      1 Reply Last reply Reply Quote 0
                      • marcelloc
                        marcelloc last edited by

                        @sosmicro:

                        Anyway… está funcionando , apenas com o ip do pfsense inserido no dans..

                        Neste caso, para evitar que os usuarios pulem o dansguardian, não deixe de criar uma regra na lan impedindo a comunicação direta entre as estações e o squid.

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • S
                          sosmicro last edited by

                          @marcelloc:

                          @sosmicro:

                          Anyway… está funcionando , apenas com o ip do pfsense inserido no dans..

                          Neste caso, para evitar que os usuarios pulem o dansguardian, não deixe de criar uma regra na lan impedindo a comunicação direta entre as estações e o squid.

                          blz… regra criada...

                          []s

                          Oswaldo Romano
                          SOSMICRO - uberaba - MG

                          1 Reply Last reply Reply Quote 0
                          • W
                            Walter last edited by

                            Marcello,

                            Voltei novamente a configuração antes da instalação do dans, e tentei fazer com que o squid rodasse no loopback port 3128 e sem sucesso, só funciona na lan na porta 3128. Tentei marcar lookback como disse mas nao deu certo. Eu fiz uma alteração no squid.inc que foi;

                            external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=redeinterna,dc=net" -D "cn=Administrador,cn=Users,dc=redeinterna,dc=net" -w "pwd1admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=redeinterna,dc=net))" -h 10.0.0.2 -p 389

                            Eu teria que adicionar algo como http_acess deny all ou http_acess allow all e deixar o dans fazer o resto?
                            Acredito que resolvendo essa questão o dansguardian irá funcionar :)

                            1 Reply Last reply Reply Quote 0
                            • marcelloc
                              marcelloc last edited by

                              @Walter:

                              Voltei novamente a configuração antes da instalação do dans, e tentei fazer com que o squid rodasse no loopback port 3128 e sem sucesso, só funciona na lan na porta 3128. Tentei marcar lookback como disse mas nao deu certo. Eu fiz uma alteração no squid.inc que foi;

                              Colocando o squid na loopback, só daemons que estão no próprio pfsense conseguem se comunicar com ele.

                              A configuração que uso(portanto sei que funciona) e recomendo é a seguinte:

                              usuario –-> dansguardian@ip_da_lan ---> squid@127.0.0.1 ---> internet

                              att,
                              Marcello Coutinho

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • W
                                Walter last edited by

                                Ola a Todos,

                                Bom só para fechar o Tópico… Após de diversas tentativas sem sucesso e o tempo curto para a implementação, resolvi deixar o pfsense fazendo somente o papel de firewall e subi um Debian para rodar o squid + Squidguard + AD, que rodou sem dificuldades.

                                Valeu a todos pela ajuda!!

                                1 Reply Last reply Reply Quote 0
                                • S
                                  sosmicro last edited by

                                  marcello….

                                  como eu conseguiria ver os logs do processo de autenticação pelo squid??? quero saber se o squid conseguiu conectar ao AD mas em todo log que olho (system, squid...) não veja nada relacionado... Caso
                                  o processo de conexão ao AD esteja configurado incorretamente alguma notificação é feita via log???

                                  []s

                                  Oswaldo Romano
                                  SOSMICRO - uberaba - MG

                                  1 Reply Last reply Reply Quote 0
                                  • marcelloc
                                    marcelloc last edited by

                                    O cache.log do squid é o log a ser analisado para encontrar erros na autenticação.

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • K
                                      kelsen last edited by

                                      Walter, recomendo utilizar o squidGuard visto que o Dansguardian não é tão simples de implementar para iniciantes, apanhei muito e depois de tudo pronto, percebi que ele não filtrava subdomínios no modo whitelist, por exemplo: talk.google.com; se você libera o google.com, o talk.google.com também está liberado; já no squidGuard isso não acontece.
                                      Tenho um squid autenticado no AD com squidGuard rodando, se precisar de ajuda caso queria insistir, é só falar.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post