next »

[marcelloc]

A função de Filtro de ssl parece não ter sido portada 100% para o dansguardian 2.12

Já criei alguns patches para a compilação mas estou esbarrando em algumas dependências de funções de ssl.

Já postei o novo makefile do dansguardian para der atualizado no ports do freebsd e aproveitei para pedir ajuda ao mantenedor brasileiro do pacote no ports.

Quem tiver conhecimento de compilação e resolução de dependências no freebsd e quiser ajudar, ficaria(e acredito que todo mundo que quer ver o filtro de ssl no pfsense/freebsd) imensamente agradecido.

Segue post com a arquivo makefile alterado para incluir a compilação do filtro de ssl.
http://forum.pfsense.org/index.php/topic,46207.msg242062.html#msg242062

[marcelloc]

compilação resolvida, o ermal me ajudou a achar os parametro de bibliotecas que estavam falatando.

http://forum.pfsense.org/index.php/topic,46207.msg242262.html#msg242262

Agora estou tentando me entender com o gerador de certificados do dansguardian, por enquanto só recebo

*DENIED* Failed to negotiate ssl connection to client CONNECT 0 0 SSL Site 1 200 -  Default   - -

Publiquei as atualizações para quem quiser me ajudar a acertar este último 'detalhe'.

Para pegar a ultima versão de compilação, sugiro desinstalar o pacote e instalar denovo.

att,
Marcello Coutinho

[marcelloc]

Para quem quiser chegar no mesmo ponto que estou(ou ir além é claro), os procedimentos para a utilização do filtro ssl no dansguardian são:

• criar uma ca em system->cert manager
• criar um certificado de servidor assinado pela ca criada
• atribuir a nova ca e o novo certificado na aba services-> dansguardian -> general
• Habilitar a opção filter ssl sites forging SSL Certificates

Quem quiser testar essa compilação e o filtro ssl em um freebsd, o ports já esta atualizado (/usr/ports/www/dansguardian-devel)

Revision 1.36: download - view: text, markup, annotated - select for diffs
Sat Feb 18 13:14:31 2012 UTC (4 days, 2 hours ago) by garga
Branches: MAIN
CVS tags: HEAD
Diff to: previous 1.35: preferred, colored
Changes since revision 1.35: +8 -1 lines
- Add a new OPTION to enable experimental SSL support

Submitted by:   Marcello Coutinho <marcellocoutinho@gmail.com>

[marcelloc]

Conforme prometido, acabei de subir a versão 0.1.5 do pacote com a tão sonhado filtro por grupo e não por usuário.

O esquema é o mesmo do script do squidguard com a vantagem de estar 100% integrado com a interface gráfica e suportar multiplos servidores ad/ldap

Para funcionar:

• Crie o grupo no dansguardian com o mesmo nome do grupo no ad onde você libera ou bloqueia os usuários
• cadatre o servidor/servidores ldap onde você quer sincronizar
• defina a frequencia de atualização da lista e as permissões

att,
Marcello Coutinho

[JackL]

Antes de qualquer coisa, parabéns novamente pelo trabalho marcelloc!

Em relação a esta nova versão, ela já está em "System->Pakages" no pfSense ou precisa de processo manual de instalação?


Abraços!
Jack

[marcelloc]

Já esta disponível nos pacotes, basta atualizar ou (desinstalar/reinstalar).

[JackL]

Já esta disponível nos pacotes, basta atualizar ou (desinstalar/reinstalar).

Show of ball...

Fica a dica para os que sonham com gerência de ACLs no webproxy por grupos do Active Directory!

EDIT: Vale lembrar que graças a um patch o Luiz Gustavo, esta função também é possível agora pra quem utiliza SquidGuard. Leia mais aqui: http://forum.pfsense.org/index.php/topic,47100.msg248459.html#msg248459

Abraços!
Jack

[marcelloc]

Resumindo, o sonho virou realidade 

[Montana]

Marcello,

Queria deixar aqui meu agradecimento pelo projeto do DansGuardian. Fechou com chave de ouro a autenticação no ldap e o filtro por grupo.

[johnnybe]

Instalei o DansGuardian, Enable dansguardian checado, usando Listen Interface(s) = LAN, configurei tudo em defaults, Blacklist URL http://www.shallalist.de/Downloads/shallalist.tar.gz, e... Fui verificar os logs:

Status: System logs: System
php: /pkg_mgr_install.php: The command '/usr/local/etc/rc.d/dansguardian stop' returned exit code '127', the output was '/usr/local/etc/rc.d/dansguardian: not found'

Alguns segundos depois...

Status: System logs: System
php: /pkg_mgr_install.php: The command '/usr/local/etc/rc.d/dansguardian stop' returned exit code '126', the output was '/usr/local/etc/rc.d/dansguardian: Permission denied'

Resumindo, o maior problema foi quando desinstalei o pacote e tentei acessar o Squid em Services > Proxy server e não tinha acesso. O erro, no browser, foi este:

Warning: dir(/usr/local/etc/squid/errors/): failed to open dir: No such file or directory in /etc/inc/pfsense-utils.inc on line 432 Fatal error: Call to a member function read() on a non-object in /etc/inc/pfsense-utils.inc on line 433

Reinstalei o DansGuardian e consegui acesso ao Squid. Daí, fui tirar a dúvida:

Desabilitei a caixa de seleção Enable dansguardian, desinstalei novamente o DansGuardian e, mais uma vez, fiquei sem acesso ao Services > Proxy server. 

Alguma solução?

[marcelloc]

O processo de exclusão do pacote dansguardian deve remover os pacotes dependentes, dentre eles o squid.

Isso deve estar na função de uninstall de pacotes no pfsense, não tem código escrito para exclusão de pastas no dansguardian.inc.

A solução(workaround) para isso é reinstalar o pacote squid depois de 'assassinar' o dansguardian.

php: /pkg_mgr_install.php: The command '/usr/local/etc/rc.d/dansguardian stop' returned exit code '126', the output was '/usr/local/etc/rc.d/dansguardian: Permission denied'

Se o arquivo não existir mesmo, uma reinstalação do pacote deve restaurar o script de inicialização.
Se o problema for permissão, o apply da configuração sempre acerta a permissão do arquivo se o dansguardian não estiver desabilitado.

[marcelloc]

Acabei de subir a versão 1.5.2 com algumas correções de bug, incluíndo o script de inicialização que 'sumia' após upgrades.

[danpeal]

Olá! Boa tarde a todos!


Sou iniciante no PFSense e gostaria se possível de uma ajuda de vocês. Implementei o PF com squid mais o dansguardian autenticado no ad conforme tutoriais desse forum, sendo que acabou surgindo alguma dúvidas. Utilizei o dansguardian com o pacote já corrigido pelo Marcello e o squid já está autenticando no AD, sendo que estou precisando também que o dansguardian consulte os usuários dos grupos que tenho no AD. Aí é que está minha dúvida. O dansguardian consegue ler todos os usuarios que estão dentro de um determinado grupo ou quando crio o grupo no dans com o mesmo no nome que está no ad, eu tenho que também criar os usuario no grupo do dansguardian? Não entendi exatamente como funciona essa interação do dansguardian com o squid autenticado no ad. Alguem poderia me explicar por favor?

[marcelloc]

danpeal,

bem vindo ao fórum!

O dansguardian pode funcionar de duas maneiras, ou na frente do squid passando a autenticação para frente ou no modo sanduiche onde ele fica entre o squid que autentica e o squid que faz cache.

Depois de definir o método de autenticação na configuração do squid e do dansguardian, as configurações de ldap do dansguardian buscam os usuários do AD e preenchem automaticamente nas listas do dansguardian.

att,
Marcello Coutinho

[danpeal]

Boa noite Marcello!



No meu caso, o squid está autenticando e fazendo o cache e ele ficando no meio. Sendo que os usuários pertencentes ao grupo do ad, não recebe as politicas definidas pelo dansguardian. Estou criando o grupo no dans exatamente com o mesmo nome q está no AD, e caso eu crie mais de um grupo, as regras só funcionam no primeiro grupo que ainda por cima as regras acabam herdando para todos os usuários. Enquanto que só deveria pegar para os usuarios que estive no grupo do AD. Deu pra entender o que está acontecendo?