Respostas no Fórum
- Posts
Pois então, obrigado pela dica, para os próximos irei usar a 2.5.1, porém, não tenho como tirar esse firewall de lá agora, pior que faz uns 6 meses que já esta rodando lá. Enfrento muitos problemas com lentidão no proxy também, mesmo já alterando os parâmetros do Dansguardian e tudo.
Mas essa da Interface do Firwall não aplicar as configurações é foda e nova.
Mas será qual o comando para fazer um reload pelo terminal?Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
No Endian navegue até Proxy -> Configurações -> Bypass Proxy Transparente
Alí irá ter duas caixas de textos, a primeira coloca o endereço local (Origem) que vc quer que seja ignorado pelo proxy e na outra coloca-se os endereços de destinos que quer que sejam ignorados pelo proxy, exemplo caso vc queira que os sites da caixa economica não passem pelo Proxy vc coloca o endereço IP da caixa.
Mas o importante pra vc é colocar os IPs dos Diretores na primeira caixinha de Texto.Olá, também possuo proxy transparente em alguns clientes, para liberar acesso fora do proxy para Diretoria eu amaro o IP ao MAC ADDRESS diretamente no DHCP do Endian e posteriormente coloco o IP que desejo liberar no BYPASS do Proxy, a também não pode esquecer de liberar as outras portas 80, 443, 20 e 21 dentre outras para os IPs em TRAFEGO DE SAÍDA, no Firewall .
Pois quando é utilizado proxy transparente é criado uma regra de redirecionamento da porta 80 em PREROUTING, ou seja, essa regra redireciona todo o trafego HTTP (porta 80) para a porta do SQUID (3128 ou 8080 ou outra definida pelo ADM), dessa forma não adianta liberar a porta 80 na saída do Firewall, já que o PREROUTING é processado antes do FORWARD, por isso deve ser liberado dentro do próprio SQUID, isso faz com que quando uma requisição do IP que está no BYPASS chega no SQUID ele já o repassa para o TRAFEGO DE SAÍDA.
Enfim acredito ser isso.
Olá, então vou reinstalar o endian.
Como estava configurado antes.
1 – Proxy autenticado, com opções padrões;
2 – Dois grupos de usuários, um grupo com nome de “Liberado” e outro como “Moderado”, o grupo “liberado” possui os usuários com acesso irrestrito e o “Moderado” possui alguns bloqueios como facebook, etc. Detalhe é que o mesmo usuário no caso criei um chamado “contabil”, é usado para autenticar todos os usuários, ou seja, o mesmo login e senha é usado por todos (Exigência do dono), não sei como é feito esse tratamento pelo proxy;
3 – Criei um Profile, somente para os usuários do grupo “Moderado”, além claro do profile padrão que não da pra remover (Detalhe é que uso odansguardiam.cgimodificado para bloquear downloads por extensão);
4 – Em politica de segurança, criei 3:
– A primeira é a liberação dos domínios, acesso não filtrado.
.certificadodigital.com.br
.serasaexperian.com.br
.amazonaws.com.br
.amazon.com– A segunda é acesso com autenticação do grupo “Liberado”, esse acesso não passa por nenhum profile, ou seja, passa direto, só faz autenticação e log.
– A terceira é acesso autenticado do grupo “Moderado”, esse acesso usa o profile “moderado”.5 – O arquivo
/usr/lib/efw/dansguardian/default/settingsPICS_ENABLE=off
NAUGHTYNESSLIMIT=160
BLACKLIST=
PHRASELIST=
HAVP=off
PORT=
MAXCHILDREN=256
MINCHILDREN=16
MINSPARECHILDREN=8
PREFORKCHILDREN=16
MAXSPARECHILDREN=32
MAXAGECHILDREN=1000
DANSGUARDIAN_LOG_ROTATE=
UPDATEFREQUENCE=monthly
BLACKLIST_URL=http://cri.univ-tlse1.fr/blacklists/download/blacklists.tar.gz
BLACKLIST_ETAG=
BLACKLIST_TAR_PREFIX=blacklists
BLACKLIST_SYSTEM_PATH=/var/signatures/dansguardian/blacklists/
PHRASELIST_URL=http://contentfilter.futuragts.com/phraselists/phraselistsoct23.tar.gz
PHRASELIST_ETAG=
PHRASELIST_TAR_PREFIX=_current phraselists
PHRASELIST_SYSTEM_PATH=/var/signatures/dansguardian/phraselists/
CREDENTIALS=off
SIGNATURES_VERSION=2.10.1.1Mas vc sabe onde realmente desativo o havp no dansguardian, pois os parâmetros de childrem, eu alterei direto no dansguardian.conf.tmpl, mas não sei onde eu configuro para o dansguardian não usar o havp. Apesar de que o serviço do havp nem esta iniciado e nem iniciando…
Obrigado por responder.
Assim que tiver uma brecha vou colocar todas as configurações de proxy e firewall, vou tentar explicar todos o detalhes.Mas no arquivo/usr/lib/efw/dansguardian/default/settings
Modifiquei os parâmetros e dasativei o havp, porem percebi que ele não altera no danguardian.conf.Poxa amigo, desculpa aí, mas é que ontem tive que tirar o enduan do cliente pois, praticamente sem internet, fiquei nervoso, sabe como é cliente…reinstalei ele, mas realmente não funciona direito, nem sei mais se estou fazendo algo errado…infelismente ele precisa de proxy autenticado.
Você usa configuração padrão? Quantos usuários utilizam?
Aqui o volume de acessos é grande, principalmente a sites de banco e governo, pois se trata de uma contabilidade, cara desanima mesmo…mas enfim vou ir atrás de outra, pois como eu disse sempre, que fui testar ele fica lento, só que dessa vez tinha resolvido alterando os parâmetros do dabsguardian, mas depois voltou a lentidão, vou testar o brasilfw, vc sugere algum bom que tenha proxy autenticado?Obrigado…
Bom, não consegui descobrir o porque o HAVP para de iniciar junto com o Endian, mas consegui uma solução paleativa, conforme havia dito eu sabia que se eu desse um restart no serviço do HAVP ou no Squid ele voltava a funcionar, então coloquei um script para iniciar no boot, já desliguei e reiniciei várias vezes e até agora o HAVP está iniciando no boot, abaixo segue os procedimentos:
1 – Para Habilitar o Envio de Event Notifications eu segui o post http://endian.eth0.com.br/forums/topic/notificacoes-de-eventos/, as notificações estão chegando OK, bem legal gostei muito dessa opção;
2 – Criar um script dentro de
/etc/rc.d/init.d/eu criei com nome de “erro_havp”, já criei com o vi direto,
# vi /etc/rc.d/init.d/erro_havp3 – Dentro do arquivo coleque o seguinte:
#!/bin/bash /usr/local/bin/restartsquid.py exit 04 – De permissão de execução nesse script:
#chmod +x /etc/rc.d/init.d/erro_havp5 – Edite o arquivo
/etc/rc.d/rc.ipace no final antes da linhaexit 0coloque o caminho do script que foi criado anteriormente, um detalhe é que tem que ter o ponto antes do caminho, o meu ficou conforme abaixo:#!/bin/sh # # +-----------------------------------------------------------------------------+ # | Endian Firewall | # +-----------------------------------------------------------------------------+ # | Copyright (c) 2005-2006 Endian | # | Endian GmbH/Srl | # | Bergweg 41 Via Monte | # | 39057 Eppan/Appiano | # | ITALIEN/ITALIA | # | info@endian.it | # | | # | This program is free software; you can redistribute it and/or | # | modify it under the terms of the GNU General Public License | # | as published by the Free Software Foundation; either version 2 | # | of the License, or (at your option) any later version. | # | | # | This program is distributed in the hope that it will be useful, | # | but WITHOUT ANY WARRANTY; without even the implied warranty of | # | MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the | # | GNU General Public License for more details. | # | | # | You should have received a copy of the GNU General Public License | # | along with this program; if not, write to the Free Software | # | Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA. | # | http://www.fsf.org/ | # +-----------------------------------------------------------------------------+ # echo "Setting up ip accounting" /etc/rc.d/helper/writeipac.pl /usr/sbin/fetchipac -S ./etc/rc.d/init.d/erro_havp exit 06 – Reinicie o Endian verifique na interface Web em Estado se o HAVP esta iniciado, se não tente iniciar de novo.
