Respostas no Fórum
-
Posts
-
Sem problema, basta criar uma regra antes do bloqueio de mimetype liberando o acesso para a receita. As regras do access policy são avaliadas de cima pra baixo, na primeira regra onde a requisição se encaixa o squid para de avaliar as seguintes.
Exemplo
1 unfiltered access GREEN .gov.br not required Always ANY
2 access denied
application//* 10.18.0.0/16 ANY not required Always ANY
3 filter using ‘content1’ GREEN ANY not required Always ANY
Estas três regras vão liberar completamente o acesso a sites do governo, bloquear downloads que não tenham sido liberados na primeira regra, e filtra por conteúdo aquilo que não foi liberado ou bloqueado pelas regras anteriores.
Agora você tem que ter alguns cuidados com sites do governo por que nem todos os serviços funcionam atrás do squid. A caixa econômica mesmo tem alguns programas que precisam ser completamente liberados no firewall para poderem funcionar.
🚀 Apresentando o Hotspot Beacon! 🚀
Desbloqueie o potencial do seu Wi-Fi com o Hotspot Beacon. Personalize sua página de acesso para mostrar anúncios, promoções ou informações e engajar seus clientes, impulsionando o seu negócio.
💡 Principais Funcionalidades:
- Interface amigável e intuitiva
- Opções de personalização completas para sua marca
- Gerenciamento de propagandas e promoções
- Integração fácil com sistemas existentes via API
- Limitação de velocidade ou largura de banda por usuário
- Controle de acesso por horário
🔗 Confira o site para saber mais: https://hotspotbeacon.comNão há muita diferença prática, mas vamos lá.
Liberar/bloquear pelo Access Policy é mais rápido pois o squid libera/bloqueia o site sem perguntar para o dansguardian o que ele “acha” disso. Além disso se você liberar/bloquear muitos sites, pelo Access Policy a coisa pode ficar confusa na interface.
Liberar/bloquear pelo Filtro de conteúdo é mais lento, mas a interface fica mais clara.
Em resumo, libere/bloqueie sites pela access policy apenas para aqueles sites EXTREMAMENTE importantes, e faça a liberação/bloqueio dos outros através das blacklists.
Por exemplo, aqui eu só bloqueio no access policy o youtube, o resto eu bloqueio tudo por blacklist.
A princípio não há razão para mais interfaces. Em princípio só são necessárias realmente quatro interfaces, uma para cada zona: GREEN, BLUE, ORANGE and RED.
Uma para a sua rede interna (GREEN), uma para a sua rede externa (RED), uma para máquinas que embora estejam dentro da sua rede serão acessadas a partir de fora (ORANGE ou DMZ), e uma para máquinas que apesar de ser da sua rede interna são inseguras como laptops de visitantes, por exemplo, BLUE.
O resto que eu consigo pensar como causa pra sua pergunta, podem ser resolvidas todas com estas quatro interfaces e um uso esperto do firewall e ips adicionais. Usando VLAN então nem se fala.
Ricardo, o meu sarg.conf está como no final desta mensagem. Com esta configuração ocorre o seguinte:
a) assim como o seu ele roda o sarg toda noite corretamente (a menos que o cron dê problema, mas isso não é com o sarg)
b) em http://<IP>/sarg aparece uma página com os sargs rodados sozinhos e uma entrada ONE-SHOT que não funciona pra nada. Não há outras entradas.
c) para acessar os relatórios diários eu tenho que digitar http://<IP>/sarg/daily (ou weekly, ou monhtly, conforme o caso). Aí aparecem todos os gerados pelo cron.
language Portuguese
graphs yes
index yes
access_log /var/log/squid/access.log
access_log /var/log/squid/access.log_short
title “Relatorio de Acessos a Internet”
temporary_dir /tmp
output_dir /home/httpd/html/sarg
resolve_ip yes
topuser_sort_field BYTES reverse
/etc/sarg/exclude_users
date_format e
overwrite_report yes
records_without_userid ip
use_comma yes
topsites_num 100
topsites_sort_order BYTES D
index_sort_order A
max_elapsed 28800000
long_url no
charset Latin1
Eduardo, na verdade nem tentei, já que o monit faz exatamente isto: verifica se o serviço está rodando, se não está rodando o executa novamente, e dependendo da configuração que você fizer nele, ele envia email, para de tentar restartar o serviço após x tentativas em determinado tempo, etc. etc. etc.
O meu problema aqui são dois:
a) descobrir por que ele está caindo (concordo com você, pode ser a minha blacklist, mas queria descobrir que é isso antes de mudar)
b) descobrir por que o monit tenta reiniciar ele e não consegue, apesar de eu manualmente conseguir de forma fácil.
Para isso eu preciso de um log do dansguardian que me dissesse o que causou o crash, mas não consegui descobrir nenhum log existente ou opção no arquivo de configuação do dans que me desse esta informação.
Regra de exemplo pra você fazer o que quer:
Em Firewall-> Port forwarding / NAT -> Destination NAT
Access From: ANY
Target:
Type: Zone/VPN/UPLINK
select interfaces: Uplink Main
Filter Policy: Allow
Service: User Defined
Protocol: TCP
Target port/range: 7474
Translate to:
Type: IP
DNAT Policy: NAT
Insert IP: <IP do Servidor Interno>
Port/Range: <Porta Interna do Servidor>
Cada laboratório de informática meu possui um sub-rede própria. Após toda a configuração básica do endian criei uma regra em Firewall->System-Access para cada um dos laboratórios bloqueando o acesso daquele laboratório tipo:
Source: 192.168.11.0/24
Interface: GREEN
Service: <ANY>
Isso está rodando dentro de um equipamento com três máquinas virtuais, e os professores tem o login apenas daquela que controla os laboratórios, desta forma se eles sujarem a configuração do endian só atrapalha a vida deles.
Mas reconheço que essa não é uma solução para qualquer público, tanto que apenas os professores de informática é que tem este acesso.
Por que por padrão um roteador sem fio que tenha porta WAN vai vir configurado com alguma coisa nesta porta. Imagine que a configuração padrão do AP para a WAN seja o IP 192.168.0.1? Vai dar conflito. Por isso eu estou te dizendo que você deve configurar a WAN do AP de forma a não conflitar com o endian na sua rede.
Quando isso acontece, basta rodar restartdansguardian.py e ele volta a funcionar….
Mas eu preciso que ele volte automaticamente. Alguma idéia?
Services -> Intruse Prevention
Após habilitar e atualizar as regras vá em Services -> Intruse Prevention -> Editor
Escolha o conjunto auto/emerging-policy.rules, escolha as regras que você quer usar pra bloquear e transforme o triângulo amarelo em um escudo vermelho clicando em cima.
Não exagere nos bloqueios por que o IDS dá falsos positivos, então isso pode te trazer problemas.
O ideal era você usar um access point puro, ou seja, sem porta WAN. Mas você pode usar “ignorando” a porta WAN e ligando o endian em uma das portas LAN. Você tem de lembrar de desabilitar o DHCP do AP, para não conflitar com o do endian, e deve também configurar a WAN (IPs, gateway, etc.) de forma que o AP não se perca.
