Respostas no Fórum
-
Posts
-
Faça um acesso ssh no endian. Execute o comando restartsquid.py. Quais as mensagens que ele dá?
Depois disso vá ao diretório /var/log e dê o comando “grep dans *.log”. O que ele mostra?
🚀 Apresentando o Hotspot Beacon! 🚀
Desbloqueie o potencial do seu Wi-Fi com o Hotspot Beacon. Personalize sua página de acesso para mostrar anúncios, promoções ou informações e engajar seus clientes, impulsionando o seu negócio.
💡 Principais Funcionalidades:
- Interface amigável e intuitiva
- Opções de personalização completas para sua marca
- Gerenciamento de propagandas e promoções
- Integração fácil com sistemas existentes via API
- Limitação de velocidade ou largura de banda por usuário
- Controle de acesso por horário
🔗 Confira o site para saber mais: https://hotspotbeacon.comBrulinux, só acho que não tem sentido você fazer cache de um objeto de 10Gb… Na verdade, uma objeto de mais de 1MB já é grande demais pra ser cacheado….
Pra mim, a melhor solução seria trocar na gui (/home/httpd/cgi-bin/proxyconfig.cgi) as linhas
MAX_SIZE => {
label => _(“Maximum object size (MB)”),
required => 1,
checks => [“int”]},
MIN_SIZE => {
label => _(“Minimum object size (MB)”),
required => 1,
checks => [“int”]},
por
MAX_SIZE => {
label => _(“Maximum object size (KB)”),
required => 1,
checks => [“int”]},
MIN_SIZE => {
label => _(“Minimum object size (KB)”),
required => 1,
checks => [“int”]},
Mas é só uma opinião.
O Squid está ativo? Existe alguma access policy ativa usando algum content filter? O Dansguardian só “starta” se o endian considerar necessário, ou seja se houver pelo menos uma policy ativa usando filtro de conteúdo.
IPS significa Intrusion Prevent System. Se você dá ALLOW no pacote, o snort a princípio não irá tratar este pacote. Caso você dê ALLOW WITH IPS, o pacote é liberado mas passará pelo snort.
Para bloquear vídeos é fácil: crie uma access policy negando por mimetype e escolha “video/*”. Assim você bloqueará os vídeos tanto do uol, quanto do terra, quanto de qualquer lugar. Se for para bloquear os vídeos só destes lugares, apenas coloque na regra além do mimetype o domínio que você está bloqueando.
Com relação aos jogos, aí fica mais complicado. Como você quer bloquear apenas parte do domínio, você terá que entrar manualmente nas blacklists do dansguardian “/etc/dansguardian/blacklists”, criar um diretório com um nome que você reconheça, por exemplo “personalizado”, criar um arquivo chamado urls e dentro dele botar um a um as urls que você quer bloquear. Com isso aparecerá na GUI do endian uma nova opção de bloqueio no dansguardian com o nome que você criou, na parte uncategorized. Aí basta proibir esta nova categoria e todas aquelas urls estão bloqueadas neste filtro de conteúdo.
Agora, vídeo e audio, eu até recomendo que você bloqueie pois gastam uma banda monstruosa, mesmo em um uso adequado da internet. Com relação a jogos eu acho melhor uma política educativa. Deixe passar e quando algum usuário acessar procure-o e mostre que ficou registrado e que se ele repetir o acesso o chefe dele será informado. Este tipo de política é muito melhor do que o bloqueio puro e simples. Primeiro não incentiva as pessoas a usarem proxies (o que facilita o registro do acesso). Segundo você não corre o risco de bloquear mais do que deve. Terceiro, Dá muito menos trabalho, e, na minha experiência, muito mais resultado.
Na interface não, mas você pode colocar configurações do squid em custom.tmpl. Com relação ao gráfico, acho que não tem uma forma fácil…
Crie as regras identificadas nos dois artigos que eu coloquei aí em cima, dentro do arquivo custom.tmpl.
acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+
acl skype_ua browser ^skype^
http_access deny CONNECT numeric_IPs all
http_access deny skype_ua
depois é só devolver o arquivo para dentro do endian.
Duas coisas:
A) ***NÃO*** mexa no squid.conf do endian. O squid.conf é gerado automaticamente pelo endian de acordo com os arquivos de configuração. Se você alterar o squid.conf na primeira reinicialização do endian todas as mudanças somem. Mexa somente no arquivo custom.tmpl.
B) Instale o WINSCP numa máquina com windows. Habilite o SSH no endian. Aí você pode baixar os arquivos do endian para sua máquina, editar no notepad e depois colocar de volta no endian.
C) Se você quiser mexer mesmo no linux, instale na sua máquina o PuTTy e habilite o ssh no endian, assim você pode fazer acesso remoto. Use o software nano (que é mais fácil), ou o vi (que é mais potente, mas mais dificil de usar). Você pode baixar o vi para windows, e aprender a usá-lo.
Um abraço.
Dois detalhes:
No texto da base de conhecimento onde está escrito custom-acl.conf, na versão 2.3 virou custom.tmpl.
No diretório /var/efw/proxy, há também um arquivo chamado useragents, nele podem ser cadastrados novos useragents e aí você pode utilizar a gui para proibir (ou permitir estes agentes). Bloquear por user agents pode ser uma boa alternativa, embora também tenha os seus problemas.
Maiores detalhes em http://docs.endian.com/archive/2.1/efw.proxy.http.html
PS.: Apenas um cuidado. Depois disso você não conseguirá acessar mais nenhuma página na internet que tenha apenas números via proxy.
Verifique os seguintes links
http://kb.endian.com/entry/48/
e
http://www.htmlstaff.org/ver.php?id=23808
Junte as dicas dos dois. Isso fará com que o skype pare de funcionar, desde que, óbvio, as portas no firewall estejam bloqueadas e todo mundo só consiga navegar pelo proxy.
Um abraço.
Duas faixas distintas de IPs na RED ou na GREEN? IPs Públicos? Podia explicar melhor, porque não há nenhum impedimento a nada disso.
Se o que você quer é colocar vários IPs públicos no endian, basta colocá-los, 1 a 1, na tela 4/8 da configuração da rede em “Add additional addresses (one IP/Netmask or IP/CIDR per line) :”
Se o que você quer é direcionar vários IPs públicos que você possui mas que ficam na sua rede interna (GREEN, BLUE or ORANGE) use em firewall -> incoming routing traffic. Neste caso a configuração extrapola o endian e outras máquinas precisam ter também a configuração adequada.
Se você tem vários blocos de ip privados na sua rede interna, basta fazer o mesmo que na rede externa, mas na tela 3/8.
Mas eu to tentando adivinhar por que realmente não entendi direito o seu problema.
Pelo que eu vi colocarei algumas possibilidades de erro que as vezes passam desapercebidas.
A) rede original e rede de destino com a mesma numeração de IP. É muito comum colocar nas redes privadas o endereço 192.168.0.x/24. Se na sua casa você tem uma rede sem fio é provavel que o seu roteador use esta rede. Como as duas rede estão na mesma numeração o openvpn pode se confundir.
B) Se você utiliza windows vista na máquina cliente você deve utilizar o openvpn gui como administrador (botão direito no atalho, “run as administrator”) senão não funciona.
C) Na configuração que você colocou do cliente lá em cima está a porta 5001 enquanto que no endian você configurou a porta 1195. As portas tem que ser iguais.
D) Se o seu endian roda dentro de uma máquina virtual, a placa de rede ligada a sua rede interna tem que estar como bridge e no modo promíscuo.
Agora algumas diferenças entre a sua configuração e a minha.
A) No VPN Traffic eu coloquei Source ALL OpenVPN User, Destination ANY e Service ANY (você colocou apenas a porta 1195)
B) Você não colocou Block DHCP responsing comming from tunnel. Isso pode gerar problemas, principalmente se no lado do cliente você usa um roteador sem fio.
C) Você não habilitou o push name servers. Isso pode dificultar acessar os equipamentos da sua rede interna.
D) Eu não precisei criar nenhuma system access rule.
São as diferenças que eu encontrei entre a minha VPN e a sua. E este post é uma prova de que ela está funcionando… ;^)
