[FECHADO!]squidguard não bloqueia por horario



  • Boa tarde,

    Gente esto tentando configurar o Squidguard para bloquear uma maquina por horario e não esto conseguindo, segui as configurações abaixo de como eu estou fazendo.

    CRIO PRIMEIRO O HORARIO E OS DIAS DE BLOQUEIO!

    Proxy filter SquidGuard: Times: Edit
    Name: BlockTime
    Values: 14:00-16:20

    DEPOIS VOU EM Groups ACL

    Proxy filter SquidGuard: Groups Access Control List (ACL)
    Client (source): 192.168.1.111
    Time:BlockTime
    Target Rules: !all [ !all] -> esta como "deny"

    Mais não bloqueia nada!

    Por favor se alguem tive alguma dica por favor postar!

    Desde já obrigado!



  • @claudevan:

    Boa tarde,

    Gente esto tentando configurar o Squidguard para bloquear uma maquina por horario e não esto conseguindo, segui as configurações abaixo de como eu estou fazendo.

    CRIO PRIMEIRO O HORARIO E OS DIAS DE BLOQUEIO!

    Proxy filter SquidGuard: Times: Edit
    Name: BlockTime
    Values: 14:00-16:20

    DEPOIS VOU EM Groups ACL

    Proxy filter SquidGuard: Groups Access Control List (ACL)
    Client (source): 192.168.1.111
    Time:BlockTime
    Target Rules: !all [ !all] -> esta como "deny"

    Mais não bloqueia nada!

    Por favor se alguem tive alguma dica por favor postar!

    Desde já obrigado!

    Como esta sua configuração?

    Você esta usando proxy transparente?

    O Firewall nao esta liberando todas as portas?



  • reinaldo.feitosa

    Como esta sua configuração?

    De qual configuração você esta falando.

    Você esta usando proxy transparente?

    Sim uso proxy transparente.

    O Firewall nao esta liberando todas as portas?

    Não entendi esta pergunta.



  • @claudevan:

    reinaldo.feitosa

    Como esta sua configuração?

    De qual configuração você esta falando.

    Você esta usando proxy transparente?

    Sim uso proxy transparente.

    O Firewall nao esta liberando todas as portas?

    Não entendi esta pergunta.

    Posta um print das Telas Firewall->rules e Proxy Filter-> Comum ACL



  • Cara aqui no forum eu não sei anexa uma imagem já tente mas não consigo, e não vejo o icone de anexo, se você souber e pode dizer eu agradeço!



  • Bom dia, clique em: Attachments and other options.

    Veja na imagem.




  • holiveira

    Muito obrigado cara!



  • reinaldo.feitosa

    Segui os print em anexo!





    ![Group ACL.png](/public/imported_attachments/1/Group ACL.png)
    ![Group ACL.png_thumb](/public/imported_attachments/1/Group ACL.png_thumb)



  • Boa tarde!

    Sua Regras default do pfSense estão ativas ou seja tudo que sair da LAN net para any ipv4 e ipv6 estão sendo permitido no firewall, ou seja está tudo aberto menos os bloqueios explícitos(block) que você fez. Desta forma se você não interceptou o HTTPS (443) esta passando por fora do squid.

    Faz um teste na maquina 192.168.1.111 colocando as configurações de proxy mo browser para testar a regra em group acl. outra coisa posta o comum acl do proxy filter, pois se estiver permitindo tudo nem vai no group acl.



  • Opa!

    Vc não postou o print das confs das target rules do group acl… Por um acaso você reparou que para bloquear (ou liberar) dentro de um horário especificado, vc tem que alterar a coluna da direita né? A coluna da esquerda são as regras FORA do horário que vc especificou...



  • reinaldo.feitosa

    rickytaki

    Cara as regras ainda estão liberadas eu irei fechar tudo e abri apenas o que vou precisar como as portas 80, 8080, 110, 53 etc…

    Porem eu não posso bloquear a porta 443 pois tem serviços que depende dela.

    Mesmo eu configurando o proxy no navegador não bloqueia!

    ![Common ACL.png](/public/imported_attachments/1/Common ACL.png)
    ![Common ACL.png_thumb](/public/imported_attachments/1/Common ACL.png_thumb)
    ![Common ACL1.png](/public/imported_attachments/1/Common ACL1.png)
    ![Common ACL1.png_thumb](/public/imported_attachments/1/Common ACL1.png_thumb)
    ![Groups ACL.png](/public/imported_attachments/1/Groups ACL.png)
    ![Groups ACL.png_thumb](/public/imported_attachments/1/Groups ACL.png_thumb)
    ![Groups ACL1.png](/public/imported_attachments/1/Groups ACL1.png)
    ![Groups ACL1.png_thumb](/public/imported_attachments/1/Groups ACL1.png_thumb)



  • Bom dia!

    Sua Common  ACL está liberando a nagegação. Para funcionar coloque sua Common ACL para Default Deny e após Crie um Group ACL Abaixo do bloqueio com o conteúdo que está na Common ACL, pois ele lê as regras regra de cima para baixo a primeira que atender não lê mais as outras.

    Explicando:

    1º - Common ACL
    2º - Regra 1
    3º - Regra 3
    4º - Regra 4

    Se a primeira liberar a navegação nem lê a segunda e assim por diante

    No seu caso bloqueie tudo na common acl, depois crie a regra de bloqueio por horário e após ele crie outra regra com a liberação que esta no ACL.

    Espero ter conseguido explicar e ajudar a muitos...



  • reinaldo.feitosa

    Cara a "Common ACL" esta como "deny" bloqueando tudo e só liberando algumas listas como de "Banco e governamental" o resto ta tudo bloqueado, tentei fazer o que você falou em maquina virtual para não mexer aqui na empresa pois esta em produção, e também não funcionou, você usa o bloqueio por horário com você esta funcionando?



  • Sim esta liberando nos horários normalmente conforme as regras em anexo:

    ![Group ACL.png](/public/imported_attachments/1/Group ACL.png)
    ![Group ACL.png_thumb](/public/imported_attachments/1/Group ACL.png_thumb)
    ![Liberado por Time.png](/public/imported_attachments/1/Liberado por Time.png)
    ![Liberado por Time.png_thumb](/public/imported_attachments/1/Liberado por Time.png_thumb)



  • Claudevan,

    Como assim configurar o proxy no navegador se o proxy é transparente? Só se for instalar certificado pq bloqueia o ssl.
    Vc deu uma olhada nos logs e se certificou que tá passando pelo squid mesmo?
    Aqui eu uso restriçao por horário e funciona de boa…
    Vamos supor que eu queira liberar  navegação no período entre 12:00 e 13:00,
    Crio o time e no group acl eu dou allow all no target categories (coluna da ESQUERDA) e no off-time (coluna da DIREITA) coloco deny all.
    A coluna da direita são para as instruções FORA do time...



  • reinaldo.feitosa

    Cara a sua regra é de liberados, você já testou bloquear para vê se bloqueia mesmo nesse horário, pois eu tento bloquear e não consigo, já tentei de varias formas que vocês estão falando e não vai.




  • rickytaki

    Colocar as informações de proxy no navegador foi um teste que o "reinaldo.feitosa" pedio pra fazer.

    E como eu disse agora em cima para o "reinaldo.feitosa" suas regras de "Times" estão liberando, a minha é o contrario eu estou bloqueando, por favor tentar bloquear pra vê se você consegui.




  • @claudevan:

    reinaldo.feitosa

    Cara a sua regra é de liberados, você já testou bloquear para vê se bloqueia mesmo nesse horário, pois eu tento bloquear e não consigo, já tentei de varias formas que vocês estão falando e não vai.

    Claudevan isso é só uma questão de lógica, as regras de bloqueio tem que vir antes das regras de liberação. o que esta ocorrendo é que sua regras na common acl esta liberando o trafego.
    Teste assim
    Bloqueia tudo na common acl
    Cria primeiro a regra de bloqueio para as maquinas que vc quer por ip
    depois crie a regra liberando os outros ip ai pode até liberar sua rede 192.168.1.0/24

    IMPORTANTE quando é regra de bloqueio tem que vir antes das liberações!



  • Kkkkkkkk

    Tá ficando muito confuso isso aqui!!! Se vc tá bloqueando um horário, obviamente tá liberando no outro horário!!!!
    Você quer bloquear em que horário?? Coloca a situação, horário que vc quer bloquear e eu faço o troço aqui posto, daí se não funcionar, sabemos que não são as regras e deve ser algo com a configuração



  • rickytaki

    srsrsrsr Olha é o seguinte esta maquina fica no escritório e esta liberado tudo só nela, para o pessoal dos outros setores fazerem pesquisa, mas a direção da empresa quer que ela só teja liberada no horário comercial das 8:00 as 12:00 - 14:00 as 18:00 e sábado e domingo esteja bloqueada ta entendendo.



  • Opa!

    Então, fiz as regras conforme imagens e aqui funcionam. No dropbox ORDER deixe como a primeira regra.
    Estou me baseando que o seu proxy é transparente e vc já testou algum bloqueio e/ou olhou os logs pra ver que está passando pelo squid mesmo…

    Testa aí e fala o resultado!!  :)

    ![Screen Shot 2015-03-17 at 4.51.28 PM.png](/public/imported_attachments/1/Screen Shot 2015-03-17 at 4.51.28 PM.png)
    ![Screen Shot 2015-03-17 at 4.51.28 PM.png_thumb](/public/imported_attachments/1/Screen Shot 2015-03-17 at 4.51.28 PM.png_thumb)
    ![Screen Shot 2015-03-17 at 4.52.53 PM.png](/public/imported_attachments/1/Screen Shot 2015-03-17 at 4.52.53 PM.png)
    ![Screen Shot 2015-03-17 at 4.52.53 PM.png_thumb](/public/imported_attachments/1/Screen Shot 2015-03-17 at 4.52.53 PM.png_thumb)
    ![Screen Shot 2015-03-17 at 4.54.00 PM.png](/public/imported_attachments/1/Screen Shot 2015-03-17 at 4.54.00 PM.png)
    ![Screen Shot 2015-03-17 at 4.54.00 PM.png_thumb](/public/imported_attachments/1/Screen Shot 2015-03-17 at 4.54.00 PM.png_thumb)



  • rickytaki

    Cara olha ai tá igual a sua mais não bloqueia nada, coloquei para boqueia hoje a tarde toda e nada!

    O IP dessa maquina 192.168.1.111 não esta nos logs.

    Já não sei mas o que fazer!



    ![Group ACL.png](/public/imported_attachments/1/Group ACL.png)
    ![Group ACL.png_thumb](/public/imported_attachments/1/Group ACL.png_thumb)
    ![Group ACL1.png](/public/imported_attachments/1/Group ACL1.png)
    ![Group ACL1.png_thumb](/public/imported_attachments/1/Group ACL1.png_thumb)



  • Ué, como não está nos logs???  :-\ :-
    Algumas coisas pra testar/certificar:
    Vc testou com páginas http normais, porta 80, certo?
    Esse ip não está em mais nenhuma regra nem em bypass, certo?
    Não existe nenhum mistypo de ip/mascara em nenhuma regra, certo?
    Vc clicou no apply all em general settings, certo?
    Pergunto todas essas bobeiras pq são as que sempre me fazem perder mais tempo, qto mais fácil mais demorado fica!!! kkkkkk
    De resto, se vc, momentaneamente tirar o horario e tentar só bloquear esse ip ele bloqueia? E se deixar só em common acl??



  • Cladevan desde o inicio estamos falando que a regra de bloqueio tem que ser antes da liberação.

    Na sua tela do log filter o ip que vc esta bloqueando tambem esta numa regra que está bloqueando, para funcionar o bloqueio esta regra de block tem que estar antes desta diretoria.

    O seu problema é só a orderm das regras no Group ACL. Coloca a sua regra de bloqueio antes da diretoria. Use o campo order para mover ela para antes da diretoria.

    Nosso amigo ricky ja disse isso no post que fez os exemplos. Você esta ignorando a ordem desde o inicio.

    oricky disse:
    Então, fiz as regras conforme imagens e aqui funcionam. No dropbox ORDER deixe como a primeira regra.



  • reinaldo.feitosa

    rickytaki

    Gente olha ai, fiz da forma que vocês pediram e mesmo assim não bloqueia coloquei para bloqueia minha maquinha "192.168.1.102" pela parte da manhã "8:00 as 12:00" mas estou acessando tudo normalmente como se não tivesse bloqueio de tempo.

    Se tiver mas alguma dica eu agradeço.

    E desde já obrigado pela paciência de vocês!

    ![Group ACL.png](/public/imported_attachments/1/Group ACL.png)
    ![Group ACL.png_thumb](/public/imported_attachments/1/Group ACL.png_thumb)



  • Opa!!!

    Não coloca um IP em duas regras diferentes, quando vc colocar em block-time, tira do diretoria.



  • rickytaki

    Cara se eu tirar IP: 192.168.1.102 da diretoria vai bloqueia tudo, esses IP´s que estão na "diretoria" é que tem passe livre!

    Em "Common ACL" eu boquiei tudo "deny" e só abri alguns sites de intereci da empresa como "Banco e Gorvernamental"



  • Man, se vc tirar da acl diretoria, o squid vai obedecer a proxima regra, q eh a block-time… E vai bloquear tudo no periodo q vc especificou, mas liberar no resto.
    Ou se quiser ir direto, coloca a regra de time DENTRO da acl diretoria e apaga o block-time, vai funcionar



  • Bom dia!

    Agora suas regras estão certas, para não funcionar ou não esta passando no proxy ou esqueceu de clicar no apply na guia geral.

    Reproduzi seu senário aqui e teste com minha maquina ip 192.168.0.142










  • reinaldo.feitosa

    rickytaki

    Gente muito obrigado pela ajuda fiz como vocês pediram mas não funciona aqui, em casa vou testar em maquina virtual pra vê o que pode tá errado. Desde já peço muito obrigado pelo empenho do reinaldo.feitosa e do rickytaki que tevi a paciência de mim orientar!

    Não sei onde pode esta o erro, porem não bloqueia aqui comigo!



  • Amigo, sei que faz tempo, mas estava com este mesmo problema e entendi a lógica da configuração e agora está funcionando, precisa de auxilio ainda?


Log in to reply