[GTER] Web Filter

Rogério Moura rogerpop at gmail.com
Mon Aug 8 14:16:02 -03 2016


Bruno,
Nosso proxy está integrado ao AD, como todas as nossas estações de
trabalho, dai ele "pega" o usuário logado (SSO). Não aparece POP-UP
para ele digitar as credenciais para acessar a NET
Mas por outro lado o AD não tem uma conf nativa para fazer essa
limitação. caso o usuário mais privilegiado logue em mais de usa
estação, ele vai conseguir.

Em 6 de agosto de 2016 06:48, Bruno Cabral <bruno at openline.com.br> escreveu:
> Você consegue limitar login simultâneo a partir de mais de um IP de origem de forma a evitar que os usuários compartilhem senhas que tenham mais privilégios de acesso?
>
>> From: rogerpop at gmail.com
>> Date: Fri, 5 Aug 2016 18:39:48 -0300
>> To: gter at eng.registro.br
>> Subject: Re: [GTER] Web Filter
>>
>> Em 23 de março de 2016 21:45, Rogério Moura <rogerpop at gmail.com> escreveu:
>> > Aos interessados,
>> > Fiz os testes com o PATCH do link que o Douglas postou e mesmo assim no meu
>> > ambiente não funcionou, o processo do squid continua dando 100%de cpu e a
>> > navegação fica muito lenta.
>> > O proxy atual que tem os mesmos programas, só que está em linux, está
>> > rodando sem problemas, chegando no máximo a 25% de cpu, com os mesmo 180 a
>> > 200 usuários simultâneos.
>> > Só pra desencargo de consciência, vou montar esse ambiente em freebsd puro e
>> > na mesma versão que o pfsense usa pra ver se o problema está nas
>> > modificações feitas pelo time do pfsense ou se é mesmo problema da
>> > plataforma freebsd, porque em linux já sei que funciona.
>> >
>> > Em 18 de mar de 2016 4:52 PM, "Rogério Moura" <rogerpop at gmail.com> escreveu:
>> >>
>> >> Pesquisando aqui,
>> >> Isso realmente é uma limitação do próprio AD, por padrão ele trás 1000
>> >> entradas como resultado,
>> >> ou se faz a opção B descrita pelo Gouglas, ou altera o valor da TAG
>> >> MaxPageSize da seguinte forma:
>> >> ### INICIO ###
>> >>
>> >> Usando NTDSUtil.exe no CMD:
>> >>
>> >> ntdsutil
>> >> ldap policies
>> >> connections
>> >> connect to server todc00
>> >> q
>> >> show values
>> >> Policy                          Current(New)
>> >> MaxPoolThreads                  4
>> >> MaxDatagramRecv                 4096
>> >> MaxReceiveBuffer                        10485760
>> >> InitRecvTimeout                 120
>> >> MaxConnections                  5000
>> >> MaxConnIdleTime                 900
>> >> MaxPageSize                     1000
>> >> MaxQueryDuration                        120
>> >> MaxTempTableSize                        10000
>> >> MaxResultSetSize                        262144
>> >> MaxNotificationPerConn                  5
>> >> MaxValRange                     1500
>> >>
>> >> set maxpagesize to 5000
>> >> commit changes
>> >> q
>> >> q
>> >> ### FIM ###
>> >>
>> >>
>> >> Em 18 de março de 2016 15:29, Douglas Fischer
>> >> <fischerdouglas at gmail.com> escreveu:
>> >> > Acabei de dar uma olhada no patch(muito superficialmente)...
>> >> >
>> >> > Duas coisas me passaram pela cabeça:
>> >> > A) Dependendo da quantidade de atributos que ele traz
>> >> > ($LDAPFieldsToFind),
>> >> > somado com o grande número de objetos issopode estourar o tamanho do
>> >> > tipo
>> >> > da variável que ele está usando no PHP.
>> >> >
>> >> > B) O Active Directory entrega esses dados em uma paginação máxima.
>> >> >    (Essa foi uma dica de um desenvolvedor que trabalha aqui).
>> >> >    Ele disse que para uma determinada consulta em nosso AD, ele teve que
>> >> > criar mecanimos de várias consultas, e ele já faz as consultas pedindo
>> >> > de
>> >> > 500 em 500.
>> >> >
>> >> >
>> >> >
>> >> >
>> >> > Em 18 de março de 2016 14:08, Rogério Moura <rogerpop at gmail.com>
>> >> > escreveu:
>> >> >
>> >> >> Douglas,
>> >> >> Fui dar uma lida no código do patch que o marcelo coutinho fez, esse
>> >> >> cara é um dos desenvolvedores do pfsense, tem muita contribuição no
>> >> >> projeto.
>> >> >> Percebi que no grupo geral que tenho para acesso à net, só estava
>> >> >> listando 1500 usuários, mas fazendo uma consulta direto no AD, tem
>> >> >> mais de 2000 mil contas, está aí o problema, várias contas estão sem
>> >> >> perfil de internet.
>> >> >> Agora basta saber se é uma limitação do PHP ou do ldap que está
>> >> >> limitando o resultado na hora da consulta.
>> >> >>
>> >> >> Em 18 de março de 2016 11:01, Douglas Fischer
>> >> >> <fischerdouglas at gmail.com> escreveu:
>> >> >> > á tive problema com recursividade de grupos em grupos e permissões de
>> >> >> > leitura...
>> >> >> >
>> >> >> > Teu usuário de consulta é tem nível de privilégios suficientes para
>> >> >> > ler
>> >> >> > TODOS os usuários e grupos(mesmo os globais)?
>> >> >> >
>> >> >> > Em 18 de março de 2016 10:30, Rogério Moura <rogerpop at gmail.com>
>> >> >> escreveu:
>> >> >> >
>> >> >> >> Douglas,
>> >> >> >> O escopo é o global, mas o interessante é que lista a maioria, são
>> >> >> >> mais de 1500 contas nesse grupo, porém algumas contas não listam,
>> >> >> >> não
>> >> >> >> posso afirmar, mas tô achando que é devido a grande quantidade de
>> >> >> >> contas no grupo, de alguma forma o patch que o cara fez não está
>> >> >> >> lidando bem com essa quantidade de usuários.
>> >> >> >>
>> >> >> >> Em 18 de março de 2016 08:09, Douglas Fischer
>> >> >> >> <fischerdouglas at gmail.com> escreveu:
>> >> >> >> > Rogério,
>> >> >> >> > eu estou em outros projetos e não tive como por a mão na massa...
>> >> >> >> >
>> >> >> >> > Mas em outra ferramenta de outro fabricante que faz o
>> >> >> >> > IP-User-Mapping
>> >> >> eu
>> >> >> >> > tive problemas com o uso de Distribution-Group(coisa do cliente
>> >> >> maluco).
>> >> >> >> >
>> >> >> >> > Naquele caso, simplemente criando um SecurityGroup e colocando o
>> >> >> >> > Distribution Group dentro e as consultas passaram a desenrolar
>> >> >> >> rapidamente.
>> >> >> >> >
>> >> >> >> > O escopo dos grupos criados? Qual foi?
>> >> >> >> >
>> >> >> >> >
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > Em 17 de março de 2016 15:39, Rogério Moura <rogerpop at gmail.com>
>> >> >> >> escreveu:
>> >> >> >> >
>> >> >> >> >> Douglas,
>> >> >> >> >> Acabei de fazer uns testes aqui e não foram satisfatórios, criei
>> >> >> >> >> 2
>> >> >> >> >> perfis, um geral e outro para as redes sociais, infelizmente
>> >> >> >> >> alguns
>> >> >> >> >> usuários não navegam, o squidGuard retorna que o usuário não está
>> >> >> >> >> em
>> >> >> >> >> um grupo, mas no AD o usuário está no grupo. executando na
>> >> >> >> >> console o
>> >> >> >> >> comando que  o patch traz, que lista os grupos e usuários do AD,
>> >> >> >> >> realmente alguns usuários está faltando.
>> >> >> >> >> Vou reportar no fórum do pfsense e ver no que vai dar.
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> Em 16 de março de 2016 16:15, Douglas Fischer
>> >> >> >> >> <fischerdouglas at gmail.com> escreveu:
>> >> >> >> >> > Opa!
>> >> >> >> >> > Dando uma de coveiro na Thread. Mas nem é tão velha e
>> >> >> >> >> > certamente é
>> >> >> >> >> > correlata.
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> > Escavando a internet esbarrrei nisso:
>> >> >> >> >> >
>> >> >> >> >>
>> >> >> >>
>> >> >>
>> >> >> http://www.pfsense-br.org/blog/2016/02/patch-corrige-consulta-ldap-do-squidguard/
>> >> >> >> >> >
>> >> >> >> >> > Ainda não testei...
>> >> >> >> >> > Alguém?
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> > Em 9 de março de 2016 15:39, Bruno Vane <broonu at gmail.com>
>> >> >> escreveu:
>> >> >> >> >> >
>> >> >> >> >> >> Antonio, aqui é simples: eu bloqueio no firewall portas 80 e
>> >> >> >> >> >> 443,
>> >> >> e
>> >> >> >> no
>> >> >> >> >> >> próprio pfsense eu uso WPAD pra autoconfigurar o proxy nos
>> >> >> clientes
>> >> >> >> via
>> >> >> >> >> >> DHCP.
>> >> >> >> >> >>
>> >> >> >> >> >> Em 9 de março de 2016 08:10, Antonio Modesto <
>> >> >> >> modesto at isimples.com.br>
>> >> >> >> >> >> escreveu:
>> >> >> >> >> >>
>> >> >> >> >> >> >
>> >> >> >> >> >> >
>> >> >> >> >> >> > On 08-03-2016 13:14, Lucas Dias wrote:
>> >> >> >> >> >> >
>> >> >> >> >> >> >> Em 8 de março de 2016 08:40, Jonas Odorizzi <
>> >> >> >> >> jonas.odorizzi at gmail.com>
>> >> >> >> >> >> >> escreveu:
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Bom Dia Pessoal.
>> >> >> >> >> >> >>>
>> >> >> >> >> >> >>> Tudo Bem ?
>> >> >> >> >> >> >>>
>> >> >> >> >> >> >>> Na opinião de vocês qual a melhor solução de webfilter ou
>> >> >> >> controle
>> >> >> >> >> de
>> >> >> >> >> >> >>> internet
>> >> >> >> >> >> >>>   ( custo/beneficio ) para uma empresa com até 60
>> >> >> computadores.
>> >> >> >> >> >> >>>
>> >> >> >> >> >> >>> Gostaria de uma solução que tenha atualização de urls das
>> >> >> >> >> categorias.
>> >> >> >> >> >> >>>
>> >> >> >> >> >> >>> Obrigado !
>> >> >> >> >> >> >>>
>> >> >> >> >> >> >>> Att Jonas Odorizzi.
>> >> >> >> >> >> >>> --
>> >> >> >> >> >> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >> >> >> >>>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Jonas, la vai minha humilde opinião.
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Solução Open: pfSense bem configurado de olho fechado.
>> >> >> >> >> >> >> Tempo é
>> >> >> uma
>> >> >> >> >> >> >> variável
>> >> >> >> >> >> >> que você deve levar em consideração na hora de avaliar
>> >> >> >> >> >> >> custos.
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Solução comercial: FortiGate também de olho fechado.
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Trabalho com as duas soluções e sempre deixo a disposição
>> >> >> >> >> >> >> do
>> >> >> >> cliente
>> >> >> >> >> a
>> >> >> >> >> >> >> escolha. Há casos que indico pfSense, a outros casos que
>> >> >> >> >> >> >> indico
>> >> >> >> >> >> FortiGate.
>> >> >> >> >> >> >> Sempre levo em consideração quanto tempo de implementação
>> >> >> terei,
>> >> >> >> >> qual o
>> >> >> >> >> >> >> orçamento médio pra aquisição de recursos, mão de obra,
>> >> >> >> manutenção da
>> >> >> >> >> >> >> solução, entre outros detalhes.
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Falar em custo benefício apenas levando-se em conta que
>> >> >> >> >> >> >> você
>> >> >> quer
>> >> >> >> uma
>> >> >> >> >> >> >> solução para controle de internet e webfilter com
>> >> >> >> >> >> >> atualização
>> >> >> de
>> >> >> >> URL
>> >> >> >> >> é
>> >> >> >> >> >> >> complicado, mas como sugestão você tem essas duas opções
>> >> >> >> >> >> >> que
>> >> >> >> >> recomendo.
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Abraços e que a força esteja com você.
>> >> >> >> >> >> >>
>> >> >> >> >> >> >
>> >> >> >> >> >> > --
>> >> >> >> >> >> > Atenciosamente,
>> >> >> >> >> >> >
>> >> >> >> >> >> > Como o pessoal anda lidando com HTTPS? Uma das maiores
>> >> >> >> desvantagens de
>> >> >> >> >> >> > manter um proxy HTTP hoje é justamente isso. De nada vale
>> >> >> >> >> >> > uma
>> >> >> >> >> categoria
>> >> >> >> >> >> de
>> >> >> >> >> >> > URL's  se o proxy não vai conseguir enxergá-las. Fica
>> >> >> >> >> >> > criando
>> >> >> >> >> exceções no
>> >> >> >> >> >> > firewall também é muito cansativo na minha opinião.
>> >> >> >> >> >> >
>> >> >> >> >> >> >
>> >> >> >> >> >> > --
>> >> >> >> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >> >> >> >
>> >> >> >> >> >> --
>> >> >> >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >> >> >>
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> > --
>> >> >> >> >> > Douglas Fernando Fischer
>> >> >> >> >> > Engº de Controle e Automação
>> >> >> >> >> > --
>> >> >> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >> >> --
>> >> >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >> >>
>> >> >> >> >
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > --
>> >> >> >> > Douglas Fernando Fischer
>> >> >> >> > Engº de Controle e Automação
>> >> >> >> > --
>> >> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >> --
>> >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >>
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >> > --
>> >> >> > Douglas Fernando Fischer
>> >> >> > Engº de Controle e Automação
>> >> >> > --
>> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> --
>> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> > --
>> >> > Douglas Fernando Fischer
>> >> > Engº de Controle e Automação
>> >> > --
>> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>
>> Douglas e aos demais interessados,
>> Dando uma ressuscitada nessa conversa, os problemas que eu tinha
>> relatado no uso do PFSENSE com autenticação no AD fazendo o famoso
>> SSO, GRAÇAS A DEUS FORAM RESOLVIDOS.
>> estou usando a duas semanas o pfsense autenticando no nosso AD e tá
>> smooth. recomendo quem está procurando uma solução opensource pra
>> proxy .
>> O que estou usando:
>> pfsense 2.3
>> patch do nosso amigo Luiz gustavo pf2ad
>> squid
>> squidGuard
>> lightSquid
>> ~200 usuários simultâneos.
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list