[GTER] Web Filter

Eduardo Santos - Barros cebsjg3ster at gmail.com
Tue Aug 9 12:26:13 -03 2016


Estou usando o NxFilter, filtro via DNS.

Funciona mto bem. Para SSO com o AD uso o NxLogon, ferramenta do próprio
NxFilter, que inclusive pode-se fazer block do Tor Browser e ultra surf.

Em 9 de agosto de 2016 08:41, Rogério Moura <rogerpop at gmail.com> escreveu:

> Douglas,
> Aqui estudados caso a caso, mas a maioria das vezes fazermos o bypass, isso
> tudo via o arquivo wpad/pac
>
> Em 8 de ago de 2016 19:36, "Douglas Fischer" <fischerdouglas at gmail.com>
> escreveu:
>
> > Como vocês têm lidado com Aplicação que não são proxy compliance?
> >
> > Em 8 de ago de 2016 2:47 PM, "Rogério Moura" <rogerpop at gmail.com>
> > escreveu:
> >
> > > Douglas,
> > > Pelo fato do proxy ser autenticado, bloqueamos as portas 80 e 443 ,
> > > obrigando o uso do proxy, dai usamos WPAD/PAC
> > > Mas a função de "SSL Interception" que tem que usar uma CA, emitir os
> > > certificados e tal, não usamos
> > >
> > > Em 5 de agosto de 2016 20:16, Douglas Fischer
> > > <fischerdouglas at gmail.com> escreveu:
> > > > Conseguiu fazer a interceptação de SSL tranquilamente?
> > > >
> > > > Está usando pfBlockerNG?
> > > >
> > > > Em 5 de agosto de 2016 18:39, Rogério Moura <rogerpop at gmail.com>
> > > escreveu:
> > > >
> > > >> Em 23 de março de 2016 21:45, Rogério Moura <rogerpop at gmail.com>
> > > escreveu:
> > > >> > Aos interessados,
> > > >> > Fiz os testes com o PATCH do link que o Douglas postou e mesmo
> assim
> > > no
> > > >> meu
> > > >> > ambiente não funcionou, o processo do squid continua dando 100%de
> > cpu
> > > e a
> > > >> > navegação fica muito lenta.
> > > >> > O proxy atual que tem os mesmos programas, só que está em linux,
> > está
> > > >> > rodando sem problemas, chegando no máximo a 25% de cpu, com os
> mesmo
> > > 180
> > > >> a
> > > >> > 200 usuários simultâneos.
> > > >> > Só pra desencargo de consciência, vou montar esse ambiente em
> > freebsd
> > > >> puro e
> > > >> > na mesma versão que o pfsense usa pra ver se o problema está nas
> > > >> > modificações feitas pelo time do pfsense ou se é mesmo problema da
> > > >> > plataforma freebsd, porque em linux já sei que funciona.
> > > >> >
> > > >> > Em 18 de mar de 2016 4:52 PM, "Rogério Moura" <rogerpop at gmail.com
> >
> > > >> escreveu:
> > > >> >>
> > > >> >> Pesquisando aqui,
> > > >> >> Isso realmente é uma limitação do próprio AD, por padrão ele trás
> > > 1000
> > > >> >> entradas como resultado,
> > > >> >> ou se faz a opção B descrita pelo Gouglas, ou altera o valor da
> TAG
> > > >> >> MaxPageSize da seguinte forma:
> > > >> >> ### INICIO ###
> > > >> >>
> > > >> >> Usando NTDSUtil.exe no CMD:
> > > >> >>
> > > >> >> ntdsutil
> > > >> >> ldap policies
> > > >> >> connections
> > > >> >> connect to server todc00
> > > >> >> q
> > > >> >> show values
> > > >> >> Policy                          Current(New)
> > > >> >> MaxPoolThreads                  4
> > > >> >> MaxDatagramRecv                 4096
> > > >> >> MaxReceiveBuffer                        10485760
> > > >> >> InitRecvTimeout                 120
> > > >> >> MaxConnections                  5000
> > > >> >> MaxConnIdleTime                 900
> > > >> >> MaxPageSize                     1000
> > > >> >> MaxQueryDuration                        120
> > > >> >> MaxTempTableSize                        10000
> > > >> >> MaxResultSetSize                        262144
> > > >> >> MaxNotificationPerConn                  5
> > > >> >> MaxValRange                     1500
> > > >> >>
> > > >> >> set maxpagesize to 5000
> > > >> >> commit changes
> > > >> >> q
> > > >> >> q
> > > >> >> ### FIM ###
> > > >> >>
> > > >> >>
> > > >> >> Em 18 de março de 2016 15:29, Douglas Fischer
> > > >> >> <fischerdouglas at gmail.com> escreveu:
> > > >> >> > Acabei de dar uma olhada no patch(muito superficialmente)...
> > > >> >> >
> > > >> >> > Duas coisas me passaram pela cabeça:
> > > >> >> > A) Dependendo da quantidade de atributos que ele traz
> > > >> >> > ($LDAPFieldsToFind),
> > > >> >> > somado com o grande número de objetos issopode estourar o
> tamanho
> > > do
> > > >> >> > tipo
> > > >> >> > da variável que ele está usando no PHP.
> > > >> >> >
> > > >> >> > B) O Active Directory entrega esses dados em uma paginação
> > máxima.
> > > >> >> >    (Essa foi uma dica de um desenvolvedor que trabalha aqui).
> > > >> >> >    Ele disse que para uma determinada consulta em nosso AD, ele
> > > teve
> > > >> que
> > > >> >> > criar mecanimos de várias consultas, e ele já faz as consultas
> > > pedindo
> > > >> >> > de
> > > >> >> > 500 em 500.
> > > >> >> >
> > > >> >> >
> > > >> >> >
> > > >> >> >
> > > >> >> > Em 18 de março de 2016 14:08, Rogério Moura <
> rogerpop at gmail.com>
> > > >> >> > escreveu:
> > > >> >> >
> > > >> >> >> Douglas,
> > > >> >> >> Fui dar uma lida no código do patch que o marcelo coutinho
> fez,
> > > esse
> > > >> >> >> cara é um dos desenvolvedores do pfsense, tem muita
> contribuição
> > > no
> > > >> >> >> projeto.
> > > >> >> >> Percebi que no grupo geral que tenho para acesso à net, só
> > estava
> > > >> >> >> listando 1500 usuários, mas fazendo uma consulta direto no AD,
> > tem
> > > >> >> >> mais de 2000 mil contas, está aí o problema, várias contas
> estão
> > > sem
> > > >> >> >> perfil de internet.
> > > >> >> >> Agora basta saber se é uma limitação do PHP ou do ldap que
> está
> > > >> >> >> limitando o resultado na hora da consulta.
> > > >> >> >>
> > > >> >> >> Em 18 de março de 2016 11:01, Douglas Fischer
> > > >> >> >> <fischerdouglas at gmail.com> escreveu:
> > > >> >> >> > á tive problema com recursividade de grupos em grupos e
> > > permissões
> > > >> de
> > > >> >> >> > leitura...
> > > >> >> >> >
> > > >> >> >> > Teu usuário de consulta é tem nível de privilégios
> suficientes
> > > para
> > > >> >> >> > ler
> > > >> >> >> > TODOS os usuários e grupos(mesmo os globais)?
> > > >> >> >> >
> > > >> >> >> > Em 18 de março de 2016 10:30, Rogério Moura <
> > rogerpop at gmail.com
> > > >
> > > >> >> >> escreveu:
> > > >> >> >> >
> > > >> >> >> >> Douglas,
> > > >> >> >> >> O escopo é o global, mas o interessante é que lista a
> > maioria,
> > > são
> > > >> >> >> >> mais de 1500 contas nesse grupo, porém algumas contas não
> > > listam,
> > > >> >> >> >> não
> > > >> >> >> >> posso afirmar, mas tô achando que é devido a grande
> > quantidade
> > > de
> > > >> >> >> >> contas no grupo, de alguma forma o patch que o cara fez não
> > > está
> > > >> >> >> >> lidando bem com essa quantidade de usuários.
> > > >> >> >> >>
> > > >> >> >> >> Em 18 de março de 2016 08:09, Douglas Fischer
> > > >> >> >> >> <fischerdouglas at gmail.com> escreveu:
> > > >> >> >> >> > Rogério,
> > > >> >> >> >> > eu estou em outros projetos e não tive como por a mão na
> > > >> massa...
> > > >> >> >> >> >
> > > >> >> >> >> > Mas em outra ferramenta de outro fabricante que faz o
> > > >> >> >> >> > IP-User-Mapping
> > > >> >> >> eu
> > > >> >> >> >> > tive problemas com o uso de Distribution-Group(coisa do
> > > cliente
> > > >> >> >> maluco).
> > > >> >> >> >> >
> > > >> >> >> >> > Naquele caso, simplemente criando um SecurityGroup e
> > > colocando o
> > > >> >> >> >> > Distribution Group dentro e as consultas passaram a
> > > desenrolar
> > > >> >> >> >> rapidamente.
> > > >> >> >> >> >
> > > >> >> >> >> > O escopo dos grupos criados? Qual foi?
> > > >> >> >> >> >
> > > >> >> >> >> >
> > > >> >> >> >> >
> > > >> >> >> >> >
> > > >> >> >> >> > Em 17 de março de 2016 15:39, Rogério Moura <
> > > rogerpop at gmail.com
> > > >> >
> > > >> >> >> >> escreveu:
> > > >> >> >> >> >
> > > >> >> >> >> >> Douglas,
> > > >> >> >> >> >> Acabei de fazer uns testes aqui e não foram
> satisfatórios,
> > > >> criei
> > > >> >> >> >> >> 2
> > > >> >> >> >> >> perfis, um geral e outro para as redes sociais,
> > infelizmente
> > > >> >> >> >> >> alguns
> > > >> >> >> >> >> usuários não navegam, o squidGuard retorna que o usuário
> > não
> > > >> está
> > > >> >> >> >> >> em
> > > >> >> >> >> >> um grupo, mas no AD o usuário está no grupo. executando
> na
> > > >> >> >> >> >> console o
> > > >> >> >> >> >> comando que  o patch traz, que lista os grupos e
> usuários
> > do
> > > >> AD,
> > > >> >> >> >> >> realmente alguns usuários está faltando.
> > > >> >> >> >> >> Vou reportar no fórum do pfsense e ver no que vai dar.
> > > >> >> >> >> >>
> > > >> >> >> >> >>
> > > >> >> >> >> >> Em 16 de março de 2016 16:15, Douglas Fischer
> > > >> >> >> >> >> <fischerdouglas at gmail.com> escreveu:
> > > >> >> >> >> >> > Opa!
> > > >> >> >> >> >> > Dando uma de coveiro na Thread. Mas nem é tão velha e
> > > >> >> >> >> >> > certamente é
> > > >> >> >> >> >> > correlata.
> > > >> >> >> >> >> >
> > > >> >> >> >> >> >
> > > >> >> >> >> >> > Escavando a internet esbarrrei nisso:
> > > >> >> >> >> >> >
> > > >> >> >> >> >>
> > > >> >> >> >>
> > > >> >> >>
> > > >> >> >> http://www.pfsense-br.org/blog/2016/02/patch-corrige-
> > > >> consulta-ldap-do-squidguard/
> > > >> >> >> >> >> >
> > > >> >> >> >> >> > Ainda não testei...
> > > >> >> >> >> >> > Alguém?
> > > >> >> >> >> >> >
> > > >> >> >> >> >> >
> > > >> >> >> >> >> >
> > > >> >> >> >> >> > Em 9 de março de 2016 15:39, Bruno Vane <
> > broonu at gmail.com
> > > >
> > > >> >> >> escreveu:
> > > >> >> >> >> >> >
> > > >> >> >> >> >> >> Antonio, aqui é simples: eu bloqueio no firewall
> portas
> > > 80 e
> > > >> >> >> >> >> >> 443,
> > > >> >> >> e
> > > >> >> >> >> no
> > > >> >> >> >> >> >> próprio pfsense eu uso WPAD pra autoconfigurar o
> proxy
> > > nos
> > > >> >> >> clientes
> > > >> >> >> >> via
> > > >> >> >> >> >> >> DHCP.
> > > >> >> >> >> >> >>
> > > >> >> >> >> >> >> Em 9 de março de 2016 08:10, Antonio Modesto <
> > > >> >> >> >> modesto at isimples.com.br>
> > > >> >> >> >> >> >> escreveu:
> > > >> >> >> >> >> >>
> > > >> >> >> >> >> >> >
> > > >> >> >> >> >> >> >
> > > >> >> >> >> >> >> > On 08-03-2016 13:14, Lucas Dias wrote:
> > > >> >> >> >> >> >> >
> > > >> >> >> >> >> >> >> Em 8 de março de 2016 08:40, Jonas Odorizzi <
> > > >> >> >> >> >> jonas.odorizzi at gmail.com>
> > > >> >> >> >> >> >> >> escreveu:
> > > >> >> >> >> >> >> >>
> > > >> >> >> >> >> >> >> Bom Dia Pessoal.
> > > >> >> >> >> >> >> >>>
> > > >> >> >> >> >> >> >>> Tudo Bem ?
> > > >> >> >> >> >> >> >>>
> > > >> >> >> >> >> >> >>> Na opinião de vocês qual a melhor solução de
> > > webfilter
> > > >> ou
> > > >> >> >> >> controle
> > > >> >> >> >> >> de
> > > >> >> >> >> >> >> >>> internet
> > > >> >> >> >> >> >> >>>   ( custo/beneficio ) para uma empresa com até 60
> > > >> >> >> computadores.
> > > >> >> >> >> >> >> >>>
> > > >> >> >> >> >> >> >>> Gostaria de uma solução que tenha atualização de
> > urls
> > > >> das
> > > >> >> >> >> >> categorias.
> > > >> >> >> >> >> >> >>>
> > > >> >> >> >> >> >> >>> Obrigado !
> > > >> >> >> >> >> >> >>>
> > > >> >> >> >> >> >> >>> Att Jonas Odorizzi.
> > > >> >> >> >> >> >> >>> --
> > > >> >> >> >> >> >> >>> gter list    https://eng.registro.br/
> > > >> mailman/listinfo/gter
> > > >> >> >> >> >> >> >>>
> > > >> >> >> >> >> >> >>
> > > >> >> >> >> >> >> >> Jonas, la vai minha humilde opinião.
> > > >> >> >> >> >> >> >>
> > > >> >> >> >> >> >> >> Solução Open: pfSense bem configurado de olho
> > fechado.
> > > >> >> >> >> >> >> >> Tempo é
> > > >> >> >> uma
> > > >> >> >> >> >> >> >> variável
> > > >> >> >> >> >> >> >> que você deve levar em consideração na hora de
> > avaliar
> > > >> >> >> >> >> >> >> custos.
> > > >> >> >> >> >> >> >>
> > > >> >> >> >> >> >> >> Solução comercial: FortiGate também de olho
> fechado.
> > > >> >> >> >> >> >> >>
> > > >> >> >> >> >> >> >> Trabalho com as duas soluções e sempre deixo a
> > > disposição
> > > >> >> >> >> >> >> >> do
> > > >> >> >> >> cliente
> > > >> >> >> >> >> a
> > > >> >> >> >> >> >> >> escolha. Há casos que indico pfSense, a outros
> casos
> > > que
> > > >> >> >> >> >> >> >> indico
> > > >> >> >> >> >> >> FortiGate.
> > > >> >> >> >> >> >> >> Sempre levo em consideração quanto tempo de
> > > implementação
> > > >> >> >> terei,
> > > >> >> >> >> >> qual o
> > > >> >> >> >> >> >> >> orçamento médio pra aquisição de recursos, mão de
> > > obra,
> > > >> >> >> >> manutenção da
> > > >> >> >> >> >> >> >> solução, entre outros detalhes.
> > > >> >> >> >> >> >> >>
> > > >> >> >> >> >> >> >> Falar em custo benefício apenas levando-se em
> conta
> > > que
> > > >> >> >> >> >> >> >> você
> > > >> >> >> quer
> > > >> >> >> >> uma
> > > >> >> >> >> >> >> >> solução para controle de internet e webfilter com
> > > >> >> >> >> >> >> >> atualização
> > > >> >> >> de
> > > >> >> >> >> URL
> > > >> >> >> >> >> é
> > > >> >> >> >> >> >> >> complicado, mas como sugestão você tem essas duas
> > > opções
> > > >> >> >> >> >> >> >> que
> > > >> >> >> >> >> recomendo.
> > > >> >> >> >> >> >> >>
> > > >> >> >> >> >> >> >> Abraços e que a força esteja com você.
> > > >> >> >> >> >> >> >>
> > > >> >> >> >> >> >> >
> > > >> >> >> >> >> >> > --
> > > >> >> >> >> >> >> > Atenciosamente,
> > > >> >> >> >> >> >> >
> > > >> >> >> >> >> >> > Como o pessoal anda lidando com HTTPS? Uma das
> > maiores
> > > >> >> >> >> desvantagens de
> > > >> >> >> >> >> >> > manter um proxy HTTP hoje é justamente isso. De
> nada
> > > vale
> > > >> >> >> >> >> >> > uma
> > > >> >> >> >> >> categoria
> > > >> >> >> >> >> >> de
> > > >> >> >> >> >> >> > URL's  se o proxy não vai conseguir enxergá-las.
> Fica
> > > >> >> >> >> >> >> > criando
> > > >> >> >> >> >> exceções no
> > > >> >> >> >> >> >> > firewall também é muito cansativo na minha opinião.
> > > >> >> >> >> >> >> >
> > > >> >> >> >> >> >> >
> > > >> >> >> >> >> >> > --
> > > >> >> >> >> >> >> > gter list    https://eng.registro.br/
> > > >> mailman/listinfo/gter
> > > >> >> >> >> >> >> >
> > > >> >> >> >> >> >> --
> > > >> >> >> >> >> >> gter list    https://eng.registro.br/
> > > mailman/listinfo/gter
> > > >> >> >> >> >> >>
> > > >> >> >> >> >> >
> > > >> >> >> >> >> >
> > > >> >> >> >> >> >
> > > >> >> >> >> >> > --
> > > >> >> >> >> >> > Douglas Fernando Fischer
> > > >> >> >> >> >> > Engº de Controle e Automação
> > > >> >> >> >> >> > --
> > > >> >> >> >> >> > gter list    https://eng.registro.br/
> > > mailman/listinfo/gter
> > > >> >> >> >> >> --
> > > >> >> >> >> >> gter list    https://eng.registro.br/
> > mailman/listinfo/gter
> > > >> >> >> >> >>
> > > >> >> >> >> >
> > > >> >> >> >> >
> > > >> >> >> >> >
> > > >> >> >> >> > --
> > > >> >> >> >> > Douglas Fernando Fischer
> > > >> >> >> >> > Engº de Controle e Automação
> > > >> >> >> >> > --
> > > >> >> >> >> > gter list    https://eng.registro.br/
> mailman/listinfo/gter
> > > >> >> >> >> --
> > > >> >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> >> >> >>
> > > >> >> >> >
> > > >> >> >> >
> > > >> >> >> >
> > > >> >> >> > --
> > > >> >> >> > Douglas Fernando Fischer
> > > >> >> >> > Engº de Controle e Automação
> > > >> >> >> > --
> > > >> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> >> >> --
> > > >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> >> >>
> > > >> >> >
> > > >> >> >
> > > >> >> >
> > > >> >> > --
> > > >> >> > Douglas Fernando Fischer
> > > >> >> > Engº de Controle e Automação
> > > >> >> > --
> > > >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >>
> > > >>
> > > >> Douglas e aos demais interessados,
> > > >> Dando uma ressuscitada nessa conversa, os problemas que eu tinha
> > > >> relatado no uso do PFSENSE com autenticação no AD fazendo o famoso
> > > >> SSO, GRAÇAS A DEUS FORAM RESOLVIDOS.
> > > >> estou usando a duas semanas o pfsense autenticando no nosso AD e tá
> > > >> smooth. recomendo quem está procurando uma solução opensource pra
> > > >> proxy .
> > > >> O que estou usando:
> > > >> pfsense 2.3
> > > >> patch do nosso amigo Luiz gustavo pf2ad
> > > >> squid
> > > >> squidGuard
> > > >> lightSquid
> > > >> ~200 usuários simultâneos.
> > > >> --
> > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >>
> > > >
> > > >
> > > >
> > > > --
> > > > Douglas Fernando Fischer
> > > > Engº de Controle e Automação
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Que a graça e a paz que excede todo o entendimento seja com todos, para
todo o sempre...amém!!!



More information about the gter mailing list