PfSense 2.1.3 (i386)+squid+SquidGuard+AD (Bloqueio não funciona) [RESOLVIDO]
-
Olá pessoal!
Configurei um ambiente de integração entre pfSense e Active Directory baseando-me nesse material:
http://www.dev2infra.com/pfsense-squid-squidguard-autenticacao-transparente/A integração aparentemente está funcionando bem.
Quando executo o "wbinfo -u" e o "wbinfo -g", consigo visualizar os usuários e grupos do AD.O problema é que o bloqueio do SquidGuard simplesmente não funciona.
Mesmo se eu tentar bloquear pelo "Common ACL" e pelo "Groups ACL", colocando "deny" em todas as "Target Categories" o acesso funciona normalmente.Obs: O proxy está configurado no navegador.
Dados do ambiente:
pfSense: 2.1.3-RELEASE (i386)
IP: 192.168.1.254Packages:
Sarg: 2.3.6_2 pkg v.0.6.3
squid: 2.7.9 pkg v.4.3.4
squidGuard-devel: 1.5_1beta pkg v.1.5.6AD: Server 2012
IP: 192.168.1.1Proxy Config:
Do not edit manually !
http_port 192.168.1.254:3128
icp_port 0pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/pbi/squid-i386/etc/squid/errors/Portuguese
icon_directory /usr/pbi/squid-i386/etc/squid/icons
visible_hostname PROXYSERVER
cache_mgr contato@dominio.com.br
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
logfile_rotate 0
shutdown_lifetime 3 secondsAllow local network(s) on interface(s)
acl localnet src 192.168.1.0/255.255.255.0
uri_whitespace stripcache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 100 16 256
minimum_object_size 0 KB
maximum_object_size 10 KB
offline_mode offNo redirector configured
Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 802
acl sslports port 443 563
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
acl allowed_subnets src 192.168.1.0/24
cache deny dynamic
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
http_access allow localhost
request_body_max_size 0 KB
reply_body_max_size 0 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allCustom options
url_rewrite_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf
url_rewrite_bypass off
url_rewrite_children 16 startup=8 idle=4 concurrency=0
auth_param ntlm program /usr/local/bin/ntlm_auth –domain=MEUDOMINIO --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
http_access allow password localnet
http_access allow password allowed_subnetsDefault block all to be sure
http_access deny all
Filter Config:
============================================================
SquidGuard configuration file
This file generated automaticly with SquidGuard configurator
(C)2006 Serg Dvoriancev
email: dv_serg@mail.ru
============================================================
logdir /var/squidGuard/log
dbhome /var/db/squidGuard
ldapbinddn cn=Administrator,cn=Users,dc=MEUDOMINIO,dc=intranet
ldapbindpass minhasenha
ldapprotover 3
stripntdomain trueSites bloqueados
src Diretoria {
ldapusersearch 'ldap://192.168.1.1/DC=MEUDOMINIO,DC=intranet?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Diretoria%2cOU=EMPRESA%2cDC=MEUDOMINIO%2cDC=intranet))'
log block.log
}SitesBloqueados
dest Bloqueados {
domainlist Bloqueados/domains
redirect http://192.168.1.254:80/sgerror.php?url=403%20PAGINA%20BLOQUEADA&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
log block.log
}rew safesearch {
s@(google../search?.q=.)@&safe=active@i
s@(google../images.q=.)@&safe=active@i
s@(google../groups.q=.)@&safe=active@i
s@(google../news.q=.)@&safe=active@i
s@(yandex../yandsearch?.text=.)@&fyandex=1@i
s@(search.yahoo../search.p=.)@&vm=r&v=1@i
s@(search.live../.q=.)@&adlt=strict@i
s@(search.msn../.q=.)@&adlt=strict@i
s@(.bing..*/.q=.)@&adlt=strict@i
log block.log
}acl {
Sites bloqueados
Diretoria {
pass !Bloqueados none
log block.log
}default {
pass !Bloqueados none
redirect http://192.168.1.254:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
log block.log
}
}Alguém tem alguma ideia? Gastei bastante tempo revendo as configurações e não encontro o erro.
-
O problema foi solucionado!
O que causou a falha é que a minha senha possui caractere especial, no caso uma exclamação (!) e isso estava causando erro de sintaxe no SquidGuard.conf
Aproveitando o tópico, alguém sabe se existe alguma forma de inserir esse caractere de outra forma?
Grato!
-
caro colega vc esta usando ntlm ou ldap para seus bloqueios squidguard ?
-
caro colega vc esta usando ntlm ou ldap para seus bloqueios squidguard ?
Em Proxy filter / General settings estou usando as opções LDAP e em Proxy server / Auth Settings estou usando o Authentication Method: Winbind NTLM.
Pra mais detalhes basta acessar essa página: http://www.dev2infra.com/pfsense-squid-squidguard-autenticacao-transparente/