Como liberar CIDR no SquidGuard?



  • Pessoal, etou com uma dúvida que parece ser bem simples mas não estou conseguindo resolver.
    Meu firewall deixei como default deny, libero somente o que preciso e uso wpad para autoconfigurar o proxy, forçando proxy nos clientes de forma transparente ao usuário (não confundir com squid modo transparente).
    Estou usando squid+squidguard.
    Minha dúvida é: como liberar os clientes para acessar a rede 10.0.0.0/8 via web?
    Já tentei criar um target categorie e adicionar 10.0.0.0/8 em domain list, mas não é aceito por não ser domínio.
    Alguém sabe como posso liberar?

    pfsense 2.2-RELEASE (amd64)
    squid 3.4.10_2 pkg 0.2.6
    squidguard 1.4_7 pkg v.1.9.10



  • Você cria um grupo em Groups ACL e no campo Client (source) coloca a rede, ip, faixa, etc…



  • Não é isso amigo, meus grupos estão configurados direitinho.
    A rede 10.0.0.0/8 eu quero liberar como destino, não como source.
    Os usuários internos precisam acessar diretamente via IP na porta 80, mas não estou sabendo como liberar o destino no squidguard.



  • Opa!!!

    Então, pra ver se eu entendi, vc quer liberar como destino 10.0.0.0/8 pela porta 80?
    Então vai em firewall > Rules > Lan e configura um pass na porta 80 pra esse ip com src lan net…

    É isso?



  • Mais ou menos isso, só que nosso firewall tá configurado pra bloquear tudo, e as máquinas clientes tem proxy forçado para o pfsense, assim só navega 80 ou 443 com proxy. Nas regras do squidguard, mesma coisa, deny em tudo e whitelist só para os sites necessários ao trabalho de cada departamento. Consigo liberar de boa domínios e IP's, mas não CIDR. Com certeza não é no campo domain, talvez seja no campo para regex…




  • bom, vc pode tentar por range tipo 10.0.0.0-10.255.255.255
    Nunca fiz isso e não sei se dá certo, geralmente eu trato isso pelo firewall e não por acl, mas vale a tentativa



  • Bom, funcionou como regex mesmo, usando a expressão

    ^10\.
    

    Dentro do campo "Regular Expression", em Target Categories.
    Acontece que temos uma rede com milhares de dispositivos remotos acessados somente através do IP.
    Não sei se é a maneira correta, mas funcionou pra mim, por enquanto.
    Valeu aí pelo interesse em ajudar  :)


Log in to reply