Respostas no Fórum
-
Posts
-
1º Passo) Habilite o proxy.
2º Passo) Das duas uma: ou vá no firewall e bloqueie as portas 80 e 443 e configure os seus clientes para usarem o proxy, ou habilite o proxy transparente. A segunda opção é a mais fácil e a mais usada. Nela os clientes imaginam que estão trafegando sem usar proxy, mas a navegação deles é automaticamente redirecionada para o proxy.
3º Passo) Em access policy defina uma politica de acesso usando um filtro de conteúdo (pode ser o default content)
4º Passo) Vá no content filter e configure o que você quer bloquear.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
O OpenVPN não é direcionado para uma máquina específica na rede, o que ele faz é fazer com que uma máquina que está fora da rede se comporte como se estivesse dentro dela. Ou seja, após configurar o OpenVPN você realiza a conexão, e depois você simplesmente faz o acesso remoto como se estivesse fisicamente dentro da rede.
Verifique o seguinte endereço:
http://www.endian.com/fileadmin/documentation/efw-admin-guide/en/efw-admin-guide.html#id2791421
Em português:
http://www.guiadohardware.net/tutoriais/openvpn/pagina2.html
Bom dia, Eduardo. Não lamente por isso. Você se dispôs a me ajudar e pela sua ajuda eu tava topando até chute nas partes… 🙂
Mas brincadeiras a parte deixa apenas eu ponderar um pouco as suas observações sobre o bloqueio por URL.
Realmente ele não bloqueia a url exemplo.com.br/cat/xtity , mas em compensação ele bloqueia a url exemplo.com.br/cat/tit_relatorio_gerencial.html, assim como exemplo.com.br/cat/saude_oral_na_infancia.html. E vou te dizer, antes de mudar, 90% dos meus bloqueios eram por causa da url ter alguma coisa como “tit_”, ou seja, ele bloqueava direto títulos… A mesma coisa acontece muito com sex, principalmente em formulários que acabam gerando uma url com algo do tipo “…?sex=M”
Com relação ao blacklist há um solução sem a necessidade de incluir um bogus. Ao limpar a blacklist altere também uma das opções do bloqueio por url. Salve que aí por causa da alteração no bloqueio por url o endian salva a blacklist vazia. Depois volte a opção alterada para o estado correto e salve novamente.
Um abraço e obrigado pela disposição em ajudar.
Utilize o OpenVPN. É uma solução melhor para acesso remoto. Deixe o redirecionamento de portas para criar servidores de serviços específicos.
Bloqueia, mas apenas se o usuário não tiver a menor capacidade técnica. Basta configurar para usar uma das portas que o Endian deixa aberta como padrão tais como (80, 443, 995, etc.) e o p2p vai funcionar bem. Além disso, vários programas funcionam sem nenhum problema através da porta 80, mesmo utilizando proxy (o skype é um deles).
O bloqueio do endian só funciona para os usuários que não sabem como burlar e para os programas que não sabem como burlar.
Eu possuo aproximadamente umas 500 estações, sendo que como alguns são laboratórios de informática que não são usados constantemente, devo ter uns 200 simultâneos e ele dá conta. O limite de usuários pelo qual o endian dá conta depende mais do equipamento do que dele. A sua configuração deveria dar conta de pelo menos 250 clientes simultâneos sem problema (é o equivalente ao hardware do X2)
O uso do antivirus ou do filtro de conteúdo até fazem a página demorar mais a entrar, por que primeiro a página é carregada pelo endian que aí faz a verificação do conteúdo (por vírus ou por conteúdo impróprio) e somente depois disso libera a página. Isto faz com que a página demore mais a aparecer, mas em compensação quando ela aparece ele aparece muito mais rápido, sendo que como ela fica no cache o próximo usuário recebe a página quase que imediatamente.
Eu particularmente sou contra o uso do antivirus do endian, mas isso é apenas uma opinião. Também não curto o proxy transparente e distribuo o proxy através de políticas, auto-discovery, etc..
Como você não está tendo problemas de memória sendo descarregada no swap, o que eu posso recomendar aqui seria a realização de alguns testes para isolar o problema:
A) retire o proxy transparente e deixe as pessoas navegando pela web através do Endian mas sem proxy. Se você tiver problemas de desempenho neste cenário você tem algum problema com a sua rede (placa, cabo, switch, etc.). Neste cenário o endian não faz praticamente nada e uma configuração como a sua deveria dar conta de milhares de equipamentos sem problemas. O erro também pode ser na configuração básica do endian (IP, Gateway, DNS).
B) habilite novamente o proxy transparente, mas coloque na lista de exceções a sua rede inteira “Bypass transparent proxy from SUBNET/IP/MAC 192.168.0.0/16)” (os números são só um exemplo) Faça uma política de acesso irrestrito (sem antivirus nem filtro de conteúdo), coloque-a em primeiro lugar, permitindo acesso a toda a sua rede.
C) Divida a sua rede em subredes e coloque todas estas sub-redes no Bypass, e vá tirando uma de cada vez e veja o que ocorre com o comportamento delas. Caso ao acrescentar uma sub-rede apareça um problema, coloque-a novamente e retire outra sub-rede. Se isso resolver o problema está naquela sub-rede.
D) Se passou até aqui o problema deve ser o antivirus. Altere a política de acesso e coloque o antivirus e verifique.
Espero ter ajudado.
Primeira consideração: é um desperdício de equipamento. O meu endian funciona dentro uma máquina virtual em um computador com metade desta configuração junto com outras duas máquinas virtuais e dá conta tranquilo….Você com certeza tem uso mais nobre para este equipamento.
Tirando esta consideração, que sequer é da minha conta 🙂 , seria interessante que você fornecesse alguns detalhes sobre como está o comportamento do sistema: No dashboard qual está sendo o tráfego? Qual a memória ocupada? Qual a taxa de utilização dos processadores?
Apenas para explicar o termo: load balance o endian não faz. Load balance é quando o roteador automaticamente divide o tráfego entre dois links independente de origem, destino, protocolo, etc. O que você consegue fazer no endian é dividir o tráfego entre um link e outro baseado em algum critério do tipo tráfego http vai por um link enquanto pop3 e smtp vai pelo outro, ou então máquinas de um segmento da rede vão por um link enquanto máquinas de outro segmento vão por outro. Ou seja, você consegue dividir a carga mas não balancear a carga.
O load balance exige uma alteração no kernel que o endian não tem.
E, por último, como recomendação técnica evite o load balance de links. Você terá vários comportamentos inesperados na navegação pois sua navegação cada hora terá um ip diferente. O ideal é fazer fail over e uma divisão da carga por protocolo.
Quem quiser um firewall free que faça load balance a melhor opção é o pfsense. Mas novamente: recomendo o pfsense e não load balance.
No filtro ‘content2’ você colocou ‘orkut.com’ e ‘orkut.com.br’ na blacklist personalizada? Note que na blacklist personalizada você não coloca um ponto no início.
Aproveite e verifique o log ao vivo do endian para verificar o que está acontecendo.
Última coisa que eu imagino. Verifique o DNS configurado no endian: Acesse via ssh o endian e execute o comando “nslookup http://www.terra.com.br”
Ele deve retornar algo parecido com isso
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: http://www.terra.com.br
Address: 200.154.56.80
Caso ele retorne “** server can’t find http://www.albaney.com.br: NXDOMAIN”, então o problema é no seu DNS.
Bloquear de forma tão eficiente quanto o pp2p não tem como.
Eu aqui no meu trabalho faço o seguinte: uso o endian como um primeiro firewall pois tem uma administração fácil e que resolve 99% do meu trabalho via web, e tenho um segundo firewall para as poucas coisas que o endian não faz. Como a minha rede tem alterações muito dinâmicas ficaria impossível fazer isso no braço e ensinar todo mundo a atualizar todas as opções do iptables. Assim eu ensino a lidar com o endian, crio várias regras que as pessoas só tem clicar para habilitar ou desabilitar conforme a situação e uso o segundo firewall para as atividades que o endian não realiza (load balance, layer 7, etc.) mas que em compensação mudam só de vez em quando.
Quem está bloqueando o seu terra é o Antivirus (veja o havp no log do proxy web).
Para maiores detalhes sobre a solução veja o tópico abaixo
Alguns exemplos de log
Log com acesso negado por proibindo acesso de mimetype (note que neste caso o IP proibido é 127.0.0.1 e não o IP da máquina que está fazendo o acesso):
4029 127.0.0.1 TCP_MISS/403 259 GET http://flashvideo.globo.com/h264/entretenimento/1/mais_voce/ 2010/04/05/EFCGP_T_1242047_mmp4.mp4?031270491847204009975312 70491264484835465933Lz8ye9AzTuk5VXrZBgmA – DIRECT/201.7.189.5 video/x-flv
Log com acesso negado mostrando o IP no web proxy
464 192.168.55.1 TCP_DENIED/403 2968 GET http://flashvideo.globo.com/h264/entretenimento/1/mais_voce/ 2010/04/05/EFCGP_T_1242044_mmp4.mp4?031270492022071757441512 704914393114212528+adjnKgOaQWY9wMTy8Z4+A – FIRST_UP_PARENT/content2 text/html
Este é um log do Dansguardian
127.0.0.2 192.168.55.1 http://www.playboy.com/favicon.ico *DENIED* Banned site: playboy.com GET 0 0 2 403 – Proibe Bastante content2 –
