Respostas no Fórum
-
Posts
-
Outra coisa para poder ajudar um pouco, vá em LOGS/LIVE e escolha para ver o log do web proxy. Vai aparecer uma nova janela com o log ao vivo do proxy. Na parte de cima há uma opção filter, nesta opção digite o IP de uma máquina de teste. A partir desta máquina de teste acesse o site do terra. Se o erro for realmente do proxy aparecerá nesta tela uma linha com os dados necessários para verificar o problema. Poste esta linha aqui.
Um abraço.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Evandro, há uma coisa incorreta na sua configuração. Você está configurando para ele bloquear .iso e .torrent. Isto pelo que eu sei está incorreto. Você deveria colocar não a extensão mas sim o mimetype.
Após muito quebrar a cabeça e muita busca na Internet achei a solução para o problema:
http://bugs.endian.com/view.php?id=2300
Basicamente a solução é editar o arquivo /usr/local/bin/restartdansguardian.py e alterar as linhas 308 e 319:
308: exceptionsitefile = open(“/etc/dansguardian/profiles/%s/exceptionsitelist” % number, “w”)
319: bannedsitefile = open(“/etc/dansguardian/profiles/%s/bannedsitelist” % number, “w”)
Substitua o “w” por “a”. Isto fará com que a lista de sites customizados seja adicionada a lista de sites padrão ao invés de sobrescrevê-la.
Um abraço.
Verifiquei que quando eu marco a opção “Porn” no meu dansguardian ele inclui no arquivo “/etc/dansguardian/profiles/2/bannedurllist” a linha “.Include</etc/dansguardian/blacklists/porn/urls>” mas não faz a inclusão no arquivo “/etc/dansguardian/profiles/2/bannedsitelist” da linha “.Include</etc/dansguardian/blacklists/porn/domains>” que seria necessário para que ele pudesse fazer o bloqueio dos domínios reconhecidamente pornográficos.
Já olhou o log live do Web Proxy e do Filtro de Conteúdo quando o acesso é negado? Como o log é “ao vivo” você pode deixar ele ligado, filtrado pelo equipamento que você está usando, e aí você consegue verificar qual é o problema, ou, pelo menos, postar aqui para que a gente possa te dar uma idéia melhor.
O problema pode ser na sua access policy, ou seja, você pode não ter liberado o acesso ao proxy dos seus clientes, pode ser filtro de conteúdo inadvertidamente habilitado, etc.
Um abraço.
Com relação ao Bug, eu testei no site de demonstração do endian e o bug se repetiu.
Passos para repetir o bug:
A) na blacklist personalizada do filtro de conteúdo default coloque algum site
B) crie um novo filtro de conteúdo e adicione algum site na blacklist personalizada salvando este novo filtro
C) peça para alterar o filtro de conteúdo e esvazie a blacklist e mande salvar
D) vefique que a blacklist não foi esvaziada e continua com o mesmo site que você havia criado.
Note que nos logs que eu copiei o erro é sempre “*DENIED* Banned Regular Expression URL” e do lado a expressão regular que originou o bloqueio.
Note que quando o bloqueio é por que ele excede o Max Score a mensagem de erro no log possui sempre “*DENIED* Weighted phrase limit of XXX : YYYY”
Eu não quero o primeiro tipo de bloqueio, e por isso mudei o expressions. Mas de qualquer forma ele não está bloqueando nenhum site que esteja no arquivo domains no mesmo diretório….
Vamos lá, Eduardo.
A) PICS e Max Score
Entendo o que você falou, mas o problema é que além de desabilitar o PICS desabiltei tambem todas as opções do “Filters pages containing phrases of the following categories. (Content Filtering)”.
Para os testes que estou fazendo, isto é adequado e nenhuma página está sendo bloqueada por que ultrapasse o Max Score. O meu problema aqui é ele não bloquear sites como o playboy.com, apesar de eu estar com a opção Porn marcada em “Filter pages known to have content of the following categories. (URL Blacklist)”
B) Aqui ou eu não entendi nada de Access Policy ou você não entendeu bem o que eu quero. Eu tenho uma lista razoavelmente grandes de sites que eu proibo todos os computadores de acessarem. Hoje eu tenho três filtros de acesso que eu utilizo aqui no trabalho.
O Filtro 1 tem todos estes sites que eu proibo (uns 5000) colocados no campo blacklist
O Filtro 2 tem todos estes sites mais o que os alunos não podem acessar de jeito nenhum (orkut, facebook, e outros deste tipo) mais uns 500
O Filtro 3 tem todos estes sites e mais uns 500 que eles não podem acessar na biblioteca do colégio mas que podem acessar no laboratório sob supervisão.
Como são muitos sites, colocar no campo DESTINY da access policy ficaria muito, muito confuso. Concorda?
C) Você acha que eu fiz mal, mas eu considero que a configuração padrão do endian é que faz muito mal. O bloqueio por URL é um equivoco. Não posso proibir meus alunos de fazerem pesquisas sobre saúde oral. Até fazer uma pesquisa sobre sexo é importante que eles façam. E não posso receber um monte de mensagem de erros simplesmente por que há um tit na URL!
Mas de qualquer forma há um equívoco na sua interpretação. O Endian faz classificação de palavras no conteúdo somando e proibindo apenas os textos que ultrapassam determinado limite (e aí realmente tirar tit, sexo e oral prejudicaria a classificação). Mas não foi isso que eu fiz. O Endian além disso ele faz bloqueios por URL e aí ele não faz classificação: tem tit na url, ele bloqueia. tem oral na url, ele bloqueia. Isso pra mim é inaceitável. Por isso mudei o arquivo expressions (que não interfere em nada na classificação) a classificação é controlada pelos arquivos no diretório phraselists.
D) O único arquivo que eu alterei na mão foi aquele. Mais nada. A minha instalação é nova por que a antiga teve problemas.
Acabei descobrindo outro bug no Endian. Não consigo limpar a minha blacklist através da interface web. Eu consigo modificar a blacklist personalizada mas não consigo apagá-la.
Para este exemplo você tem duas maneiras. A primeira é criar uma regra bloqueando o orkut para este IP específico.
1 deny access 192.168.1.150 .orkut.com not required Always QUALQUER
2 unfiltered access QUALQUER QUALQUER not required Always QUALQUER
Ou então você pode criar um filtro de conteúdo que coloque o orkut na blacklist e atribuir este filtro a esta máquina.
1 filter using ‘content3’ 192.168.1.150 QUALQUER not required Always QUALQUER
2 unfiltered access GREEN QUALQUER not required Always QUALQUER
De qualquer forma você tem que ter (a princípio) uma access dizendo que a green pode acessar qualquer coisa.
Chego a conclusão de que é efetivamente um bug do Endian. Entrei no diretório /etc/dansguardian/blacklists/porn e alterei o arquivo expressions, retirando dele as palavras tit, sex e oral, e após restartar o dansguardian ele parou de bloquear urls que possuíam estas palavras. No entanto nenhum dos domínios presentes no arquivo domains ou urls presentes no arquivo urls do mesmo diretório estão sendo bloqueadas.
Se você estiver na versão 2.3, você tem que criar os filtros de conteúdo e depois definir a política de acesso. Além disso você deve verificar os logs do filtro de conteúdo e do proxy web para verificar se o tráfego efetivamente está sendo travado pelo proxy.
Como não há maiores informações sobre a sua configuração eu imagino que os seus clientes não estejam navegando via proxy e que a porta 80 esteja aberta no seu firewall (o que faz com que qualquer um acesse orkut, playboy, etc. independente das regras de acesso e de filtro de conteúdo). As rádios online que não estão funcionando devem estar utilizando outras portas que não a 80, mas aqui é um pouco de chute.
Se você usa proxy, crie uma regra no squid na parte de access policy garantindo acesso irrestrito (ou com apenas verificação de virus) colocando como origem os ips das estações e como destino o ip, rede ou domínio do webmail. Logo abaixo crie uma access policy negando o acesso destas estações a qualquer local. Lembre de bloquear o acesso direto do equipamento no firewall.
Exemplo: Permitindo o acesso da estação 192.168.1.6 ao http://www.webmail.empresa.com.br e mais nada
1 unfiltered access 192.168.1.6 http://www.webmail.empresa.com.br not required Always QUALQUER
2 access denied 192.168.1.6 QUALQUER not required Always QUALQUER
Se você não usa proxy, crie uma regra no firewall colocando como origens os ips das estações e como destino o ip ou rede do webmail e logo abaixo uma regra proibindo os ips das estações de acessar qualquer lugar.
Exemplo: Supondo que o endereço do webmail é 254.254.254.254
1 192.168.1.6 Vermelha 254.254.254.254 Allow Lib. acesso a 1 site
2 192.168.1.6 Vermelha <QUALQUER> Deny Proibe o resto
Ok, eduardo, eu estou chamando de Dansguardian simplesmente a parte da administração Web do Endian relativa a controle de conteúdo. O meu max score é de 300.
Deixa eu dizer exatamente o que eu preciso, e preciso bastante, para ver se você pode me ajudar:
a) que o endian não faça bloqueio por URL
Bloqueio por URL sempre trava mais do que deveria. (Bloquear tit e oral em português não tem sentido)
b) que eu possa ter uma blacklist dentro de um único arquivo do endian com os sites que eu preciso bloquear, pois pela interface eu tenho que repetir a lista de sites proibidos em cada um dos profiles, e eu tenho que ter vários profiles.
