Liberando acesso para alguns IP



  • como liberar acesso a alguns IP
    com essa opção marcada?



  • Ola Junior,

    só relembrando, essa opção bloqueia o destino IP e não a origem.

    Para liberar outros IPs de destino, navegue em "Services > Proxy filter > Target categories" e crie uma categoria com o nome "IPs_liberados ou outro nome", adicione os IPs a serem liberados e depois navegue até  "Services > Proxy filter > Common acl ou grupos acl e marque a categoria criada como "whitelist". (geralmente crio duas categorias "liberados" e "bloqueados", e marco em todos os grupos acls e common ac como whitelist e block respectivamente).

    att,

    Bruno Pinheiro



  • @Bruno:

    Ola Junior,

    só relembrando, essa opção bloqueia o destino IP e não a origem.

    Para liberar outros IPs de destino, navegue em "Services > Proxy filter > Target categories" e crie uma categoria com o nome "IPs_liberados ou outro nome", adicione os IPs a serem liberados e depois navegue até  "Services > Proxy filter > Common acl ou grupos acl e marque a categoria criada como "whitelist". (geralmente crio duas categorias "liberados" e "bloqueados", e marco em todos os grupos acls e common ac como whitelist e block respectivamente).

    att,

    Bruno Pinheiro

    mas é o Ip de destino mesmo… kkk

    porque tem alguns sites aqui que abre por IP :S



  • Beleza pura,

    faça os testes e report aqui no forum.

    abraços.

    att,

    Bruno Pinheiro



  • @Bruno:

    Beleza pura,

    faça os testes e report aqui no forum.

    abraços.

    att,

    Bruno Pinheiro

    Quando marca a opção, não consigo liberar IP de jeito nenhum :(



  • Entendi, faça assim, preencha os dois campos abaixo:

    ip interno do cliente (ex: 10.1.1.2):
    ip de destino (ex: 200.100.10.2):

    1- copie as informações do arquivo /var/db/squidGuard/tarrget_criada_por_voce/domains para um bloco de notas.
    2- navegue até "Services > Proxy filter > log > Filter config", copie todo o conteudo dessa opção para um bloco de notas.

    Feito isso post os arquivos aqui no forum para analisarmos.

    abraços.

    att,

    Bruno Pinheiro



  • Crie um ponteiro DNS para os endereços IP.

    Exemplo: 192.168.0.10 é um servidor de ECM, no PFSense crie um ponteiro de nome ECM apontando para o IP do servidor, com isso ele resolve pelo nome.

    Lembrando que para isso funcionar é preciso que o DNS onde está o ponteiro seja o servidor de DNS preferencial. Inclusive, se você possui um controlador de dominio nessa rede, use o DNS dele para criar o ponteiro.



  • O problema é se for um IP em site da Internet. Tem muitos administradores de websites e aplicações web que não criam dns para todos os hots da rede.

    Um ex: A petrobras coloca no site da empresa um link com a lista de aprovados no concurso, mas esse link está em um servidor diferente do servidor web, e por comodidade (hehe petrobras  :P) ela não cria um dns para o servidor que está com esse arquivo, e deixa o link com IP publico.

    Nessa situação não tem como voce criar dns, a não ser que voce faça rescrita de url no proxy (vai ter trabalho pra vida toda).

    A situação do nosso colega Luiz seria util para IPs locais (dentro da sua LAN , DMZ, Rede servidores.. etc). Onde voce teria a possibilidade informar dns no acesso em vez IP.

    abraços,

    att,

    Bruno Pinheiro



  • esse é o IP : http://201.47.246.171/soltel/

    Queria liberar ele, porém deixar a opção marcada  :-\



  • @LFCavalcanti:

    Crie um ponteiro DNS para os endereços IP.

    Exemplo: 192.168.0.10 é um servidor de ECM, no PFSense crie um ponteiro de nome ECM apontando para o IP do servidor, com isso ele resolve pelo nome.

    Lembrando que para isso funcionar é preciso que o DNS onde está o ponteiro seja o servidor de DNS preferencial. Inclusive, se você possui um controlador de dominio nessa rede, use o DNS dele para criar o ponteiro.

    usar o DNS do PFsense para fazer rodar?



  • Faz assim, manda o print do erro ao acessar, contendo as informações de bloqueio.

    att,

    Bruno Pinheiro.



  • @Bruno:

    Faz assim, manda o print do erro ao acessar, contendo as informações de bloqueio.

    att,

    Bruno Pinheiro.

    tela de bloqueio, com categoria : in-addr

    Amanhã no trabalho eu tiro um print (y)



  • Perceba que voce caiu na categoria padrão (Common ACL). Agora navegue até "Services > Proxy Filter > Target categories" e crie um categoria "Liberados, IPs ou como achar melhor" adicione o IP 201.47.246.171 em dominios, depois salve.

    Agora navegue até "Services > Proxy Filter > Common ACL > Target Rules", expanda as categorias, encontre a categoria criada e aplique a ação "Whitelist"

    Salve e de um Apply.

    aguardo,

    Att,

    Bruno Pinheiro.



  • @Bruno:

    Perceba que voce caiu na categoria padrão (Common ACL). Agora navegue até "Services > Proxy Filter > Target categories" e crie um categoria "Liberados, IPs ou como achar melhor" adicione o IP 201.47.246.171 em dominios, depois salve.

    Agora navegue até "Services > Proxy Filter > Common ACL > Target Rules", expanda as categorias, encontre a categoria criada e aplique a ação "Whitelist"

    Salve e de um Apply.

    aguardo,

    Att,

    Bruno Pinheiro.

    vou fazer (y)



  • @JuniorAndrade:

    @Bruno:

    Faz assim, manda o print do erro ao acessar, contendo as informações de bloqueio.

    att,

    Bruno Pinheiro.

    tela de bloqueio, com categoria : in-addr

    Amanhã no trabalho eu tiro um print (y)

    amigo desculpe mudar de assunto mais por gentileza você poderia me enviar o codigo dessa pagina de erro do squidguard…
    naum estou mais conseguindo axar aqui no forum...

    desde já agradeço



  • @Bruno:

    Perceba que voce caiu na categoria padrão (Common ACL). Agora navegue até "Services > Proxy Filter > Target categories" e crie um categoria "Liberados, IPs ou como achar melhor" adicione o IP 201.47.246.171 em dominios, depois salve.

    Agora navegue até "Services > Proxy Filter > Common ACL > Target Rules", expanda as categorias, encontre a categoria criada e aplique a ação "Whitelist"

    Salve e de um Apply.

    aguardo,

    Att,

    Bruno Pinheiro.

    Funcionou !

    Agora porque não tava funcionando quando eu colocava Allow?



  • @favelax:

    @JuniorAndrade:

    @Bruno:

    Faz assim, manda o print do erro ao acessar, contendo as informações de bloqueio.

    att,

    Bruno Pinheiro.

    tela de bloqueio, com categoria : in-addr

    Amanhã no trabalho eu tiro um print (y)

    amigo desculpe mudar de assunto mais por gentileza você poderia me enviar o codigo dessa pagina de erro do squidguard…
    naum estou mais conseguindo axar aqui no forum...

    desde já agradeço

    #########################################################
    #                                                      #
    #  Página de Erro do SquidGuard customizada  - Inicio  #
    #                                                      #
    #########################################################

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    IE displayed self-page, if them size > 1024

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    function get_error_page($er_code_id, $err_msg='') {
            global $err_code;
            global $cl;
            global $g;
            global $config;
            $str = Array();

    header("HTTP/1.1 " . $err_code[$er_code_id]);

    $str[] = '';
            $str[] = '';
    $str[] = '';
            $str[] = '';
    $str[] = '';
    $str[] = '';
    $str[] = '';
    $str[] = '![logo](http://INSERIR CAMINHO DO LOGO DO TOPO DA PAGINA/logo.jpg)';
    $str[] = '

    O endereço requisitado não pôde ser aberto:
    <a style="font-size:80%; font-family:Helvetica; color:#7f7f7f;">The requested address could not be opened:</a>';
    $str[] = '

    ';
    if ($cl['u'])        $str[] = "{$cl['u']}";
    $str[] = '';
    $str[] = "

    Motivo - Reason:  {$err_code[$er_code_id]}

    ";
    $str[] = '
    O controle de acessos identificou este site como inadequado de acordo com nossa organização.
    Todo ou qualquer acesso à internet é registrado em nosso sistema de relatórios.';
    $str[] = '<a style="font-size:70%; font-family:Helvetica; color:#7f7f7f;">The access control identified this site as inappropriate according to the Organization.
    All Internet access is logged into our reporting system.</a>';
    $str[] = '

    Information Technology - IT
    Tel: xxxx-xxxx Ramal xxxx/xxxx  - E-mail: admin@empresa.com.br

    ';
    $str[] = 'Additional Information:';
    $str[] = '';
            if ($cl['n'])        $str[] = "Client Name: {$cl['n']} | ";
            if ($cl['a'])        $str[] = "Client IP: {$cl['a']} | ";
            if ($cl['i'])        $str[] = "Client User: {$cl['i']} | ";
            if ($cl['s'])        $str[] = "Group: {$cl['s']} | ";
            if ($cl['t'])        $str[] = "Category: {$cl['t']} ";
    $str[] = '';

    $str[] = "";
            $str[] = "";

    return implode("\n", $str);
    }

    #########################################################
    #                                                      #
    #  Página de Erro do SquidGuard customizada  - Fim    #
    #                                                      #
    #########################################################

    https://forum.pfsense.org/index.php?topic=51016.0



  • @JuniorAndrade:

    Funcionou !

    Agora porque não tava funcionando quando eu colocava Allow?

    Tambem achei meio confuso, vou tentar explicar :D

    –--: Desconsidera a categoria.
    Deny: Aplica imediatamente quando casa com a categoria. (bloqueia imediatamente)
    Whitelist: Aplica imediatamente quando casa com a categoria. (libera imediatamente)
    Allow: Quando casar com a categoria marcada, ele vai deixar no gatilho (pronto pra liberar, mas não vai liberar de imediato) e em seguida vai ler todas as outras categorias que contem "Whitelist" e "Deny"COM EXCEÇÃO DA CATEGORIA "Default access [all]". Se ao casar com Whitelist, vai liberar imediatamente, se ao casar com Deny, vai negar imediatamente, se não casar com ambos COM EXCEÇÃO DA CATEGORIA "Default access [all]" ele dispara o gatilho (dispara a liberação).

    A opção "Do not allow IP-Addresses in URL" tambem é verificado quando é marcado a ação "Allow". Creio que foi isso que ocorreu no seu caso.

    Resumindo: O allow não aplica antes de verificar todas as outras categorias com a adição do "Do not allow IP-Addresses in URL" e exceção do "Default access [all]".

    Geralmente eu não costumo deixar com allow, pois ele fica aguardando ler toda a base marcada para poder tomar uma decisão. Eu utilizo logo o whitelist.

    Não sei se ficou bem claro. Qualquer duvida post ai.

    abraços, att,

    Bruno Pinheiro.