Respostas no Fórum
-
Posts
-
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Olha, a principio a melhor solução é usar uma VPN, assim você acessa a sua rede interna e a partir daí você pode acessar, através desta conexão, qualquer serviço ou equipamento dentro da sua rede, inclusive RDP.
Mas se você quiser liberar o RDP basta fazer o redirecionamento para a porta 3389.
A configuração que eu uso para acesso externo ao meu servidor é a seguinte:
Access From: Uplink Main
Target: Uplink Main
Filter: Allow
Service Port: TCP/80
Translate To: IP
DNAT: NAT
Insert IP: <IP DO SERVIDOR WEB>
Port Range: 80
No entanto, se você usar a versão 2.3, e se você não tiver dificuldades em usar o linux, eu faria o que eu fiz aqui:
Acessando o endian via ssh, eu criei no diretório /etc/dansguardian/blacklists um subdiretório chamado “messenger”. Dentro deste subdiretório criei um arquivo chamado “domains”, e coloquei dentro deste arquivo os domínios dos web im mais comuns.
Além disso é preciso consertar o bug descrito em
http://endian.eth0.com.br/topic/blacklist-do-dansguardian
Isto tem a vantagem por que você pode escolher em cada filtro de conteúdo se você vai bloquear o domínio ou não, e só tem que alterar em um único lugar.
Apenas para ajudar, mas a lista é quase infinita, estes são os que eu bloqueio aqui:
messenger.live.com
iloveim.com
e-messenger.net
msn2go.com.br
onlinemessenger.nl
msnger.com
ebuddy.com
e-messenger.net
imaginarlo.com
meebo.com
messbrasil.com.br
messenger-online.com
msn2go.com
msnanywhere.com
onlinemessenger.nl
web2messenger.com
messengerfx.com
imo.im
Se você usar a versão 2.3 crie uma política de acesso assim:
access denied ANY .iloveim.com not required Always ANY
Repare no ponto no início do domínio. Se você usar a versão 2.2 coloque na blacklist o domínio iloveim.com (sem o ponto inicial).
Isto faz com que todo mundo possa acessar o google.com.br, que a máquina 10.3.1.1 pode acessar qualquer página, que na máquina 10.2.1.1 os membros do grupo “GrupoDoAD” possam navegar a vontade mas qualquer outra pessoa seja proibida, e todos os outros sites e máquinas acessam usando o filtro de conteúdo ‘content1’.
Apenas como exemplo segue uma possível relação de access policy
1 unfiltered access GREEN .google.com.br not required Always ANY
2 unfiltered access 10.3.1.1 ANY not required Always ANY
3 unfiltered access 10.2.1.1 ANY GrupoDoAD Always ANY
4 access denied 10.2.1.1 ANY not required Always ANY
5 filter using ‘content1’ GREEN ANY not required Always ANY
Se agora está bloqueando tudo, fica mais fácil de ajudar, por que agora temos certeza de que você está efetivamente passando pelo proxy.
Passo 1) Crie uma access policy liberando um site.
Vá em Proxy -> Access Policy -> Add Access Policy
Altere Destination Type para Domain
acrescente os domínios que você quer liberar (Ex: .google.com .globo.com .etho.com.br)
Em access policy deixe Allow Access e dê update
Dê apply
Esta deve ser sua primeira regra. A partir deste momento o domínio que você indicou ficará liberado para acesso.
Se isso funcionar aí você deve começar a pensar em como devem ser suas políticas de acesso, lembrando que as políticas são avaliadas de cima para baixo e a primeira política que o endian encontrar que corresponda a solicitação será a que ele utilizará.
Se você instalou a versão 2.3, vá em System -> GUI Settings -> Português.
Eu baixei direto do site do endian, mesmo…. Tem várias linguas diponíveis, mas novamente a tradução não é completa.
Na versão 2.3 é possível escolher a interface em português, embora a tradução ainda não esteja completa.
Sem querer ser chato, mas a documentação básica do endian cobre este assunto:
http://docs.endian.com/firewall.html
Qualquer dúvida mais específica, pode contar com a gente.
Um abraço.
1º Passo) Desconecte a máquina que tem o Endian da Rede. Os clientes continuam navegando? Então existe outro gateway na sua rede e os seus clientes estão apontando para ele. Recoloque o cabo de rede e reconfigure os seus clientes para o ip do seu endian, ou desligue o outro gateway e mude o ip interno do seu endian para o que está naquele.
2º Passo) Se ao desconectar os seus clientes pararam de navegar, significa que a parte de IP dos clientes e do Endian estão corretas. Vá em proxy e habilite o proxy transparente. Vá no firewall -> outgoing e bloqueie a porta 80 e a porta 443.
Antes de mais nada, verifique no log do SQUID se os seus clientes estão navegando por ele. Se não estiverem significa que você ou não bloqueou a porta 80 ou que você não colocou o proxy transparente.
Este é o primeiro passo, ter certeza que seus clientes estão navegando pelo seu proxy. Se não o problema pode ser outro: eles podem estar navegando através de outro roteador, por exemplo, podem estar utilizando outro proxy e por aí vai.
Na versão 2.2 a configuração é muito simples, você só tem um filtro de conteúdo configurado.
Depois de ter certeza que eles estão navegando no seu proxy, coloque na blacklist personalizada algum site exótico para que você possa testar: http://www.albany.org, por exemplo
