[GTER] Web Filter

Antonio Modesto modesto at isimples.com.br
Tue Aug 9 15:09:42 -03 2016



On 06-08-2016 06:48, Bruno Cabral wrote:
> Você consegue limitar login simultâneo a partir de mais de um IP de origem de forma a evitar que os usuários compartilhem senhas que tenham mais privilégios de acesso?

Possuo um serviço em nuvem que funciona na camada de DNS. Suporto modo 
de operação transparente ou autenticado. As ACL's podem ser criadas com 
base no usuário, grupo ou rede IPv4 de origem.

http://www.komondor-enforcer.com.br



>
>> From: rogerpop at gmail.com
>> Date: Fri, 5 Aug 2016 18:39:48 -0300
>> To: gter at eng.registro.br
>> Subject: Re: [GTER] Web Filter
>>
>> Em 23 de março de 2016 21:45, Rogério Moura <rogerpop at gmail.com> escreveu:
>>> Aos interessados,
>>> Fiz os testes com o PATCH do link que o Douglas postou e mesmo assim no meu
>>> ambiente não funcionou, o processo do squid continua dando 100%de cpu e a
>>> navegação fica muito lenta.
>>> O proxy atual que tem os mesmos programas, só que está em linux, está
>>> rodando sem problemas, chegando no máximo a 25% de cpu, com os mesmo 180 a
>>> 200 usuários simultâneos.
>>> Só pra desencargo de consciência, vou montar esse ambiente em freebsd puro e
>>> na mesma versão que o pfsense usa pra ver se o problema está nas
>>> modificações feitas pelo time do pfsense ou se é mesmo problema da
>>> plataforma freebsd, porque em linux já sei que funciona.
>>>
>>> Em 18 de mar de 2016 4:52 PM, "Rogério Moura" <rogerpop at gmail.com> escreveu:
>>>> Pesquisando aqui,
>>>> Isso realmente é uma limitação do próprio AD, por padrão ele trás 1000
>>>> entradas como resultado,
>>>> ou se faz a opção B descrita pelo Gouglas, ou altera o valor da TAG
>>>> MaxPageSize da seguinte forma:
>>>> ### INICIO ###
>>>>
>>>> Usando NTDSUtil.exe no CMD:
>>>>
>>>> ntdsutil
>>>> ldap policies
>>>> connections
>>>> connect to server todc00
>>>> q
>>>> show values
>>>> Policy                          Current(New)
>>>> MaxPoolThreads                  4
>>>> MaxDatagramRecv                 4096
>>>> MaxReceiveBuffer                        10485760
>>>> InitRecvTimeout                 120
>>>> MaxConnections                  5000
>>>> MaxConnIdleTime                 900
>>>> MaxPageSize                     1000
>>>> MaxQueryDuration                        120
>>>> MaxTempTableSize                        10000
>>>> MaxResultSetSize                        262144
>>>> MaxNotificationPerConn                  5
>>>> MaxValRange                     1500
>>>>
>>>> set maxpagesize to 5000
>>>> commit changes
>>>> q
>>>> q
>>>> ### FIM ###
>>>>
>>>>
>>>> Em 18 de março de 2016 15:29, Douglas Fischer
>>>> <fischerdouglas at gmail.com> escreveu:
>>>>> Acabei de dar uma olhada no patch(muito superficialmente)...
>>>>>
>>>>> Duas coisas me passaram pela cabeça:
>>>>> A) Dependendo da quantidade de atributos que ele traz
>>>>> ($LDAPFieldsToFind),
>>>>> somado com o grande número de objetos issopode estourar o tamanho do
>>>>> tipo
>>>>> da variável que ele está usando no PHP.
>>>>>
>>>>> B) O Active Directory entrega esses dados em uma paginação máxima.
>>>>>     (Essa foi uma dica de um desenvolvedor que trabalha aqui).
>>>>>     Ele disse que para uma determinada consulta em nosso AD, ele teve que
>>>>> criar mecanimos de várias consultas, e ele já faz as consultas pedindo
>>>>> de
>>>>> 500 em 500.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Em 18 de março de 2016 14:08, Rogério Moura <rogerpop at gmail.com>
>>>>> escreveu:
>>>>>
>>>>>> Douglas,
>>>>>> Fui dar uma lida no código do patch que o marcelo coutinho fez, esse
>>>>>> cara é um dos desenvolvedores do pfsense, tem muita contribuição no
>>>>>> projeto.
>>>>>> Percebi que no grupo geral que tenho para acesso à net, só estava
>>>>>> listando 1500 usuários, mas fazendo uma consulta direto no AD, tem
>>>>>> mais de 2000 mil contas, está aí o problema, várias contas estão sem
>>>>>> perfil de internet.
>>>>>> Agora basta saber se é uma limitação do PHP ou do ldap que está
>>>>>> limitando o resultado na hora da consulta.
>>>>>>
>>>>>> Em 18 de março de 2016 11:01, Douglas Fischer
>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>> á tive problema com recursividade de grupos em grupos e permissões de
>>>>>>> leitura...
>>>>>>>
>>>>>>> Teu usuário de consulta é tem nível de privilégios suficientes para
>>>>>>> ler
>>>>>>> TODOS os usuários e grupos(mesmo os globais)?
>>>>>>>
>>>>>>> Em 18 de março de 2016 10:30, Rogério Moura <rogerpop at gmail.com>
>>>>>> escreveu:
>>>>>>>> Douglas,
>>>>>>>> O escopo é o global, mas o interessante é que lista a maioria, são
>>>>>>>> mais de 1500 contas nesse grupo, porém algumas contas não listam,
>>>>>>>> não
>>>>>>>> posso afirmar, mas tô achando que é devido a grande quantidade de
>>>>>>>> contas no grupo, de alguma forma o patch que o cara fez não está
>>>>>>>> lidando bem com essa quantidade de usuários.
>>>>>>>>
>>>>>>>> Em 18 de março de 2016 08:09, Douglas Fischer
>>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>>> Rogério,
>>>>>>>>> eu estou em outros projetos e não tive como por a mão na massa...
>>>>>>>>>
>>>>>>>>> Mas em outra ferramenta de outro fabricante que faz o
>>>>>>>>> IP-User-Mapping
>>>>>> eu
>>>>>>>>> tive problemas com o uso de Distribution-Group(coisa do cliente
>>>>>> maluco).
>>>>>>>>> Naquele caso, simplemente criando um SecurityGroup e colocando o
>>>>>>>>> Distribution Group dentro e as consultas passaram a desenrolar
>>>>>>>> rapidamente.
>>>>>>>>> O escopo dos grupos criados? Qual foi?
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em 17 de março de 2016 15:39, Rogério Moura <rogerpop at gmail.com>
>>>>>>>> escreveu:
>>>>>>>>>> Douglas,
>>>>>>>>>> Acabei de fazer uns testes aqui e não foram satisfatórios, criei
>>>>>>>>>> 2
>>>>>>>>>> perfis, um geral e outro para as redes sociais, infelizmente
>>>>>>>>>> alguns
>>>>>>>>>> usuários não navegam, o squidGuard retorna que o usuário não está
>>>>>>>>>> em
>>>>>>>>>> um grupo, mas no AD o usuário está no grupo. executando na
>>>>>>>>>> console o
>>>>>>>>>> comando que  o patch traz, que lista os grupos e usuários do AD,
>>>>>>>>>> realmente alguns usuários está faltando.
>>>>>>>>>> Vou reportar no fórum do pfsense e ver no que vai dar.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Em 16 de março de 2016 16:15, Douglas Fischer
>>>>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>> Opa!
>>>>>>>>>>> Dando uma de coveiro na Thread. Mas nem é tão velha e
>>>>>>>>>>> certamente é
>>>>>>>>>>> correlata.
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> Escavando a internet esbarrrei nisso:
>>>>>>>>>>>
>>>>>> http://www.pfsense-br.org/blog/2016/02/patch-corrige-consulta-ldap-do-squidguard/
>>>>>>>>>>> Ainda não testei...
>>>>>>>>>>> Alguém?
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> Em 9 de março de 2016 15:39, Bruno Vane <broonu at gmail.com>
>>>>>> escreveu:
>>>>>>>>>>>> Antonio, aqui é simples: eu bloqueio no firewall portas 80 e
>>>>>>>>>>>> 443,
>>>>>> e
>>>>>>>> no
>>>>>>>>>>>> próprio pfsense eu uso WPAD pra autoconfigurar o proxy nos
>>>>>> clientes
>>>>>>>> via
>>>>>>>>>>>> DHCP.
>>>>>>>>>>>>
>>>>>>>>>>>> Em 9 de março de 2016 08:10, Antonio Modesto <
>>>>>>>> modesto at isimples.com.br>
>>>>>>>>>>>> escreveu:
>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>> On 08-03-2016 13:14, Lucas Dias wrote:
>>>>>>>>>>>>>
>>>>>>>>>>>>>> Em 8 de março de 2016 08:40, Jonas Odorizzi <
>>>>>>>>>> jonas.odorizzi at gmail.com>
>>>>>>>>>>>>>> escreveu:
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Bom Dia Pessoal.
>>>>>>>>>>>>>>> Tudo Bem ?
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Na opinião de vocês qual a melhor solução de webfilter ou
>>>>>>>> controle
>>>>>>>>>> de
>>>>>>>>>>>>>>> internet
>>>>>>>>>>>>>>>    ( custo/beneficio ) para uma empresa com até 60
>>>>>> computadores.
>>>>>>>>>>>>>>> Gostaria de uma solução que tenha atualização de urls das
>>>>>>>>>> categorias.
>>>>>>>>>>>>>>> Obrigado !
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Att Jonas Odorizzi.
>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Jonas, la vai minha humilde opinião.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Solução Open: pfSense bem configurado de olho fechado.
>>>>>>>>>>>>>> Tempo é
>>>>>> uma
>>>>>>>>>>>>>> variável
>>>>>>>>>>>>>> que você deve levar em consideração na hora de avaliar
>>>>>>>>>>>>>> custos.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Solução comercial: FortiGate também de olho fechado.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Trabalho com as duas soluções e sempre deixo a disposição
>>>>>>>>>>>>>> do
>>>>>>>> cliente
>>>>>>>>>> a
>>>>>>>>>>>>>> escolha. Há casos que indico pfSense, a outros casos que
>>>>>>>>>>>>>> indico
>>>>>>>>>>>> FortiGate.
>>>>>>>>>>>>>> Sempre levo em consideração quanto tempo de implementação
>>>>>> terei,
>>>>>>>>>> qual o
>>>>>>>>>>>>>> orçamento médio pra aquisição de recursos, mão de obra,
>>>>>>>> manutenção da
>>>>>>>>>>>>>> solução, entre outros detalhes.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Falar em custo benefício apenas levando-se em conta que
>>>>>>>>>>>>>> você
>>>>>> quer
>>>>>>>> uma
>>>>>>>>>>>>>> solução para controle de internet e webfilter com
>>>>>>>>>>>>>> atualização
>>>>>> de
>>>>>>>> URL
>>>>>>>>>> é
>>>>>>>>>>>>>> complicado, mas como sugestão você tem essas duas opções
>>>>>>>>>>>>>> que
>>>>>>>>>> recomendo.
>>>>>>>>>>>>>> Abraços e que a força esteja com você.
>>>>>>>>>>>>>>
>>>>>>>>>>>>> --
>>>>>>>>>>>>> Atenciosamente,
>>>>>>>>>>>>>
>>>>>>>>>>>>> Como o pessoal anda lidando com HTTPS? Uma das maiores
>>>>>>>> desvantagens de
>>>>>>>>>>>>> manter um proxy HTTP hoje é justamente isso. De nada vale
>>>>>>>>>>>>> uma
>>>>>>>>>> categoria
>>>>>>>>>>>> de
>>>>>>>>>>>>> URL's  se o proxy não vai conseguir enxergá-las. Fica
>>>>>>>>>>>>> criando
>>>>>>>>>> exceções no
>>>>>>>>>>>>> firewall também é muito cansativo na minha opinião.
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>> --
>>>>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>>>
>>>>>>>>>>>> --
>>>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> --
>>>>>>>>>>> Douglas Fernando Fischer
>>>>>>>>>>> Engº de Controle e Automação
>>>>>>>>>>> --
>>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>> --
>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Douglas Fernando Fischer
>>>>>>>>> Engº de Controle e Automação
>>>>>>>>> --
>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>> --
>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> Douglas Fernando Fischer
>>>>>>> Engº de Controle e Automação
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Douglas Fernando Fischer
>>>>> Engº de Controle e Automação
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>> Douglas e aos demais interessados,
>> Dando uma ressuscitada nessa conversa, os problemas que eu tinha
>> relatado no uso do PFSENSE com autenticação no AD fazendo o famoso
>> SSO, GRAÇAS A DEUS FORAM RESOLVIDOS.
>> estou usando a duas semanas o pfsense autenticando no nosso AD e tá
>> smooth. recomendo quem está procurando uma solução opensource pra
>> proxy .
>> O que estou usando:
>> pfsense 2.3
>> patch do nosso amigo Luiz gustavo pf2ad
>> squid
>> squidGuard
>> lightSquid
>> ~200 usuários simultâneos.
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>   		 	   		
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

-- 
Atenciosamente,





More information about the gter mailing list