[GTER] Web Filter
Rodrigo Tomazini
rtomazini at yahoo.com
Tue Aug 9 14:55:28 -03 2016
Olá.
Utilizo equipamentos cyberoam em meus clientes, eles tem um custo muito
bom e um throughput excelente comparando com as outras soluções de
mercado. Além de ter uma opção para rodar em modo bridge na rede.
Abraços
On 09/08/2016 13:15, Douglas Fischer wrote:
> Isso está se tornando inviável por aqui...
> Tem mais exceção do que regra.
>
> Por isso da necessidade do Transparente.
> E transparente com SSL interception.
>
> Em 9 de agosto de 2016 08:41, Rogério Moura <rogerpop at gmail.com> escreveu:
>
>> Douglas,
>> Aqui estudados caso a caso, mas a maioria das vezes fazermos o bypass, isso
>> tudo via o arquivo wpad/pac
>>
>> Em 8 de ago de 2016 19:36, "Douglas Fischer" <fischerdouglas at gmail.com>
>> escreveu:
>>
>>> Como vocês têm lidado com Aplicação que não são proxy compliance?
>>>
>>> Em 8 de ago de 2016 2:47 PM, "Rogério Moura" <rogerpop at gmail.com>
>>> escreveu:
>>>
>>>> Douglas,
>>>> Pelo fato do proxy ser autenticado, bloqueamos as portas 80 e 443 ,
>>>> obrigando o uso do proxy, dai usamos WPAD/PAC
>>>> Mas a função de "SSL Interception" que tem que usar uma CA, emitir os
>>>> certificados e tal, não usamos
>>>>
>>>> Em 5 de agosto de 2016 20:16, Douglas Fischer
>>>> <fischerdouglas at gmail.com> escreveu:
>>>>> Conseguiu fazer a interceptação de SSL tranquilamente?
>>>>>
>>>>> Está usando pfBlockerNG?
>>>>>
>>>>> Em 5 de agosto de 2016 18:39, Rogério Moura <rogerpop at gmail.com>
>>>> escreveu:
>>>>>> Em 23 de março de 2016 21:45, Rogério Moura <rogerpop at gmail.com>
>>>> escreveu:
>>>>>>> Aos interessados,
>>>>>>> Fiz os testes com o PATCH do link que o Douglas postou e mesmo
>> assim
>>>> no
>>>>>> meu
>>>>>>> ambiente não funcionou, o processo do squid continua dando 100%de
>>> cpu
>>>> e a
>>>>>>> navegação fica muito lenta.
>>>>>>> O proxy atual que tem os mesmos programas, só que está em linux,
>>> está
>>>>>>> rodando sem problemas, chegando no máximo a 25% de cpu, com os
>> mesmo
>>>> 180
>>>>>> a
>>>>>>> 200 usuários simultâneos.
>>>>>>> Só pra desencargo de consciência, vou montar esse ambiente em
>>> freebsd
>>>>>> puro e
>>>>>>> na mesma versão que o pfsense usa pra ver se o problema está nas
>>>>>>> modificações feitas pelo time do pfsense ou se é mesmo problema da
>>>>>>> plataforma freebsd, porque em linux já sei que funciona.
>>>>>>>
>>>>>>> Em 18 de mar de 2016 4:52 PM, "Rogério Moura" <rogerpop at gmail.com
>>>>>> escreveu:
>>>>>>>> Pesquisando aqui,
>>>>>>>> Isso realmente é uma limitação do próprio AD, por padrão ele trás
>>>> 1000
>>>>>>>> entradas como resultado,
>>>>>>>> ou se faz a opção B descrita pelo Gouglas, ou altera o valor da
>> TAG
>>>>>>>> MaxPageSize da seguinte forma:
>>>>>>>> ### INICIO ###
>>>>>>>>
>>>>>>>> Usando NTDSUtil.exe no CMD:
>>>>>>>>
>>>>>>>> ntdsutil
>>>>>>>> ldap policies
>>>>>>>> connections
>>>>>>>> connect to server todc00
>>>>>>>> q
>>>>>>>> show values
>>>>>>>> Policy Current(New)
>>>>>>>> MaxPoolThreads 4
>>>>>>>> MaxDatagramRecv 4096
>>>>>>>> MaxReceiveBuffer 10485760
>>>>>>>> InitRecvTimeout 120
>>>>>>>> MaxConnections 5000
>>>>>>>> MaxConnIdleTime 900
>>>>>>>> MaxPageSize 1000
>>>>>>>> MaxQueryDuration 120
>>>>>>>> MaxTempTableSize 10000
>>>>>>>> MaxResultSetSize 262144
>>>>>>>> MaxNotificationPerConn 5
>>>>>>>> MaxValRange 1500
>>>>>>>>
>>>>>>>> set maxpagesize to 5000
>>>>>>>> commit changes
>>>>>>>> q
>>>>>>>> q
>>>>>>>> ### FIM ###
>>>>>>>>
>>>>>>>>
>>>>>>>> Em 18 de março de 2016 15:29, Douglas Fischer
>>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>>> Acabei de dar uma olhada no patch(muito superficialmente)...
>>>>>>>>>
>>>>>>>>> Duas coisas me passaram pela cabeça:
>>>>>>>>> A) Dependendo da quantidade de atributos que ele traz
>>>>>>>>> ($LDAPFieldsToFind),
>>>>>>>>> somado com o grande número de objetos issopode estourar o
>> tamanho
>>>> do
>>>>>>>>> tipo
>>>>>>>>> da variável que ele está usando no PHP.
>>>>>>>>>
>>>>>>>>> B) O Active Directory entrega esses dados em uma paginação
>>> máxima.
>>>>>>>>> (Essa foi uma dica de um desenvolvedor que trabalha aqui).
>>>>>>>>> Ele disse que para uma determinada consulta em nosso AD, ele
>>>> teve
>>>>>> que
>>>>>>>>> criar mecanimos de várias consultas, e ele já faz as consultas
>>>> pedindo
>>>>>>>>> de
>>>>>>>>> 500 em 500.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em 18 de março de 2016 14:08, Rogério Moura <
>> rogerpop at gmail.com>
>>>>>>>>> escreveu:
>>>>>>>>>
>>>>>>>>>> Douglas,
>>>>>>>>>> Fui dar uma lida no código do patch que o marcelo coutinho
>> fez,
>>>> esse
>>>>>>>>>> cara é um dos desenvolvedores do pfsense, tem muita
>> contribuição
>>>> no
>>>>>>>>>> projeto.
>>>>>>>>>> Percebi que no grupo geral que tenho para acesso à net, só
>>> estava
>>>>>>>>>> listando 1500 usuários, mas fazendo uma consulta direto no AD,
>>> tem
>>>>>>>>>> mais de 2000 mil contas, está aí o problema, várias contas
>> estão
>>>> sem
>>>>>>>>>> perfil de internet.
>>>>>>>>>> Agora basta saber se é uma limitação do PHP ou do ldap que
>> está
>>>>>>>>>> limitando o resultado na hora da consulta.
>>>>>>>>>>
>>>>>>>>>> Em 18 de março de 2016 11:01, Douglas Fischer
>>>>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>> á tive problema com recursividade de grupos em grupos e
>>>> permissões
>>>>>> de
>>>>>>>>>>> leitura...
>>>>>>>>>>>
>>>>>>>>>>> Teu usuário de consulta é tem nível de privilégios
>> suficientes
>>>> para
>>>>>>>>>>> ler
>>>>>>>>>>> TODOS os usuários e grupos(mesmo os globais)?
>>>>>>>>>>>
>>>>>>>>>>> Em 18 de março de 2016 10:30, Rogério Moura <
>>> rogerpop at gmail.com
>>>>>>>>>> escreveu:
>>>>>>>>>>>> Douglas,
>>>>>>>>>>>> O escopo é o global, mas o interessante é que lista a
>>> maioria,
>>>> são
>>>>>>>>>>>> mais de 1500 contas nesse grupo, porém algumas contas não
>>>> listam,
>>>>>>>>>>>> não
>>>>>>>>>>>> posso afirmar, mas tô achando que é devido a grande
>>> quantidade
>>>> de
>>>>>>>>>>>> contas no grupo, de alguma forma o patch que o cara fez não
>>>> está
>>>>>>>>>>>> lidando bem com essa quantidade de usuários.
>>>>>>>>>>>>
>>>>>>>>>>>> Em 18 de março de 2016 08:09, Douglas Fischer
>>>>>>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>>>> Rogério,
>>>>>>>>>>>>> eu estou em outros projetos e não tive como por a mão na
>>>>>> massa...
>>>>>>>>>>>>> Mas em outra ferramenta de outro fabricante que faz o
>>>>>>>>>>>>> IP-User-Mapping
>>>>>>>>>> eu
>>>>>>>>>>>>> tive problemas com o uso de Distribution-Group(coisa do
>>>> cliente
>>>>>>>>>> maluco).
>>>>>>>>>>>>> Naquele caso, simplemente criando um SecurityGroup e
>>>> colocando o
>>>>>>>>>>>>> Distribution Group dentro e as consultas passaram a
>>>> desenrolar
>>>>>>>>>>>> rapidamente.
>>>>>>>>>>>>> O escopo dos grupos criados? Qual foi?
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>> Em 17 de março de 2016 15:39, Rogério Moura <
>>>> rogerpop at gmail.com
>>>>>>>>>>>> escreveu:
>>>>>>>>>>>>>> Douglas,
>>>>>>>>>>>>>> Acabei de fazer uns testes aqui e não foram
>> satisfatórios,
>>>>>> criei
>>>>>>>>>>>>>> 2
>>>>>>>>>>>>>> perfis, um geral e outro para as redes sociais,
>>> infelizmente
>>>>>>>>>>>>>> alguns
>>>>>>>>>>>>>> usuários não navegam, o squidGuard retorna que o usuário
>>> não
>>>>>> está
>>>>>>>>>>>>>> em
>>>>>>>>>>>>>> um grupo, mas no AD o usuário está no grupo. executando
>> na
>>>>>>>>>>>>>> console o
>>>>>>>>>>>>>> comando que o patch traz, que lista os grupos e
>> usuários
>>> do
>>>>>> AD,
>>>>>>>>>>>>>> realmente alguns usuários está faltando.
>>>>>>>>>>>>>> Vou reportar no fórum do pfsense e ver no que vai dar.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Em 16 de março de 2016 16:15, Douglas Fischer
>>>>>>>>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>>>>>> Opa!
>>>>>>>>>>>>>>> Dando uma de coveiro na Thread. Mas nem é tão velha e
>>>>>>>>>>>>>>> certamente é
>>>>>>>>>>>>>>> correlata.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Escavando a internet esbarrrei nisso:
>>>>>>>>>>>>>>>
>>>>>>>>>> http://www.pfsense-br.org/blog/2016/02/patch-corrige-
>>>>>> consulta-ldap-do-squidguard/
>>>>>>>>>>>>>>> Ainda não testei...
>>>>>>>>>>>>>>> Alguém?
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Em 9 de março de 2016 15:39, Bruno Vane <
>>> broonu at gmail.com
>>>>>>>>>> escreveu:
>>>>>>>>>>>>>>>> Antonio, aqui é simples: eu bloqueio no firewall
>> portas
>>>> 80 e
>>>>>>>>>>>>>>>> 443,
>>>>>>>>>> e
>>>>>>>>>>>> no
>>>>>>>>>>>>>>>> próprio pfsense eu uso WPAD pra autoconfigurar o
>> proxy
>>>> nos
>>>>>>>>>> clientes
>>>>>>>>>>>> via
>>>>>>>>>>>>>>>> DHCP.
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>> Em 9 de março de 2016 08:10, Antonio Modesto <
>>>>>>>>>>>> modesto at isimples.com.br>
>>>>>>>>>>>>>>>> escreveu:
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>> On 08-03-2016 13:14, Lucas Dias wrote:
>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>> Em 8 de março de 2016 08:40, Jonas Odorizzi <
>>>>>>>>>>>>>> jonas.odorizzi at gmail.com>
>>>>>>>>>>>>>>>>>> escreveu:
>>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>> Bom Dia Pessoal.
>>>>>>>>>>>>>>>>>>> Tudo Bem ?
>>>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>>> Na opinião de vocês qual a melhor solução de
>>>> webfilter
>>>>>> ou
>>>>>>>>>>>> controle
>>>>>>>>>>>>>> de
>>>>>>>>>>>>>>>>>>> internet
>>>>>>>>>>>>>>>>>>> ( custo/beneficio ) para uma empresa com até 60
>>>>>>>>>> computadores.
>>>>>>>>>>>>>>>>>>> Gostaria de uma solução que tenha atualização de
>>> urls
>>>>>> das
>>>>>>>>>>>>>> categorias.
>>>>>>>>>>>>>>>>>>> Obrigado !
>>>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>>> Att Jonas Odorizzi.
>>>>>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>>>>>>> gter list https://eng.registro.br/
>>>>>> mailman/listinfo/gter
>>>>>>>>>>>>>>>>>> Jonas, la vai minha humilde opinião.
>>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>> Solução Open: pfSense bem configurado de olho
>>> fechado.
>>>>>>>>>>>>>>>>>> Tempo é
>>>>>>>>>> uma
>>>>>>>>>>>>>>>>>> variável
>>>>>>>>>>>>>>>>>> que você deve levar em consideração na hora de
>>> avaliar
>>>>>>>>>>>>>>>>>> custos.
>>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>> Solução comercial: FortiGate também de olho
>> fechado.
>>>>>>>>>>>>>>>>>> Trabalho com as duas soluções e sempre deixo a
>>>> disposição
>>>>>>>>>>>>>>>>>> do
>>>>>>>>>>>> cliente
>>>>>>>>>>>>>> a
>>>>>>>>>>>>>>>>>> escolha. Há casos que indico pfSense, a outros
>> casos
>>>> que
>>>>>>>>>>>>>>>>>> indico
>>>>>>>>>>>>>>>> FortiGate.
>>>>>>>>>>>>>>>>>> Sempre levo em consideração quanto tempo de
>>>> implementação
>>>>>>>>>> terei,
>>>>>>>>>>>>>> qual o
>>>>>>>>>>>>>>>>>> orçamento médio pra aquisição de recursos, mão de
>>>> obra,
>>>>>>>>>>>> manutenção da
>>>>>>>>>>>>>>>>>> solução, entre outros detalhes.
>>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>> Falar em custo benefício apenas levando-se em
>> conta
>>>> que
>>>>>>>>>>>>>>>>>> você
>>>>>>>>>> quer
>>>>>>>>>>>> uma
>>>>>>>>>>>>>>>>>> solução para controle de internet e webfilter com
>>>>>>>>>>>>>>>>>> atualização
>>>>>>>>>> de
>>>>>>>>>>>> URL
>>>>>>>>>>>>>> é
>>>>>>>>>>>>>>>>>> complicado, mas como sugestão você tem essas duas
>>>> opções
>>>>>>>>>>>>>>>>>> que
>>>>>>>>>>>>>> recomendo.
>>>>>>>>>>>>>>>>>> Abraços e que a força esteja com você.
>>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>>>>> Atenciosamente,
>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>> Como o pessoal anda lidando com HTTPS? Uma das
>>> maiores
>>>>>>>>>>>> desvantagens de
>>>>>>>>>>>>>>>>> manter um proxy HTTP hoje é justamente isso. De
>> nada
>>>> vale
>>>>>>>>>>>>>>>>> uma
>>>>>>>>>>>>>> categoria
>>>>>>>>>>>>>>>> de
>>>>>>>>>>>>>>>>> URL's se o proxy não vai conseguir enxergá-las.
>> Fica
>>>>>>>>>>>>>>>>> criando
>>>>>>>>>>>>>> exceções no
>>>>>>>>>>>>>>>>> firewall também é muito cansativo na minha opinião.
>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>>>>> gter list https://eng.registro.br/
>>>>>> mailman/listinfo/gter
>>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>>>> gter list https://eng.registro.br/
>>>> mailman/listinfo/gter
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>>> Douglas Fernando Fischer
>>>>>>>>>>>>>>> Engº de Controle e Automação
>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>>> gter list https://eng.registro.br/
>>>> mailman/listinfo/gter
>>>>>>>>>>>>>> --
>>>>>>>>>>>>>> gter list https://eng.registro.br/
>>> mailman/listinfo/gter
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>> --
>>>>>>>>>>>>> Douglas Fernando Fischer
>>>>>>>>>>>>> Engº de Controle e Automação
>>>>>>>>>>>>> --
>>>>>>>>>>>>> gter list https://eng.registro.br/
>> mailman/listinfo/gter
>>>>>>>>>>>> --
>>>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> --
>>>>>>>>>>> Douglas Fernando Fischer
>>>>>>>>>>> Engº de Controle e Automação
>>>>>>>>>>> --
>>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>> --
>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Douglas Fernando Fischer
>>>>>>>>> Engº de Controle e Automação
>>>>>>>>> --
>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>> Douglas e aos demais interessados,
>>>>>> Dando uma ressuscitada nessa conversa, os problemas que eu tinha
>>>>>> relatado no uso do PFSENSE com autenticação no AD fazendo o famoso
>>>>>> SSO, GRAÇAS A DEUS FORAM RESOLVIDOS.
>>>>>> estou usando a duas semanas o pfsense autenticando no nosso AD e tá
>>>>>> smooth. recomendo quem está procurando uma solução opensource pra
>>>>>> proxy .
>>>>>> O que estou usando:
>>>>>> pfsense 2.3
>>>>>> patch do nosso amigo Luiz gustavo pf2ad
>>>>>> squid
>>>>>> squidGuard
>>>>>> lightSquid
>>>>>> ~200 usuários simultâneos.
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Douglas Fernando Fischer
>>>>> Engº de Controle e Automação
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
--
Rodrigo Tomazini
RC Brasil - Soluções Corporativas
http://www.rcbrasil.com.br/
Hot-Fi - Gerenciador de Hotspots Públicos
http://www.hotfi.com.br/
More information about the gter
mailing list