[GTER] Web Filter
Maciel Rodrigues
macielrsf at gmail.com
Tue Aug 9 16:57:09 -03 2016
Muito bom o serviço de filtros de sites em nuvem do Antônio Modesto,
recomendo. Usado e testado!
http://www.komondor-enforcer.com.br/
*Atenciosamente,*
*Maciel Rodrigues*
*Administrador de sistemas e servidores*
(Graduando em Engenharia da Computação)
*Contato: *37. 9993-1412
Em 9 de agosto de 2016 15:09, Antonio Modesto <modesto at isimples.com.br>
escreveu:
>
>
> On 06-08-2016 06:48, Bruno Cabral wrote:
>
>> Você consegue limitar login simultâneo a partir de mais de um IP de
>> origem de forma a evitar que os usuários compartilhem senhas que tenham
>> mais privilégios de acesso?
>>
>
> Possuo um serviço em nuvem que funciona na camada de DNS. Suporto modo de
> operação transparente ou autenticado. As ACL's podem ser criadas com base
> no usuário, grupo ou rede IPv4 de origem.
>
> http://www.komondor-enforcer.com.br
>
>
>
>
>
>> From: rogerpop at gmail.com
>>> Date: Fri, 5 Aug 2016 18:39:48 -0300
>>> To: gter at eng.registro.br
>>> Subject: Re: [GTER] Web Filter
>>>
>>> Em 23 de março de 2016 21:45, Rogério Moura <rogerpop at gmail.com>
>>> escreveu:
>>>
>>>> Aos interessados,
>>>> Fiz os testes com o PATCH do link que o Douglas postou e mesmo assim no
>>>> meu
>>>> ambiente não funcionou, o processo do squid continua dando 100%de cpu e
>>>> a
>>>> navegação fica muito lenta.
>>>> O proxy atual que tem os mesmos programas, só que está em linux, está
>>>> rodando sem problemas, chegando no máximo a 25% de cpu, com os mesmo
>>>> 180 a
>>>> 200 usuários simultâneos.
>>>> Só pra desencargo de consciência, vou montar esse ambiente em freebsd
>>>> puro e
>>>> na mesma versão que o pfsense usa pra ver se o problema está nas
>>>> modificações feitas pelo time do pfsense ou se é mesmo problema da
>>>> plataforma freebsd, porque em linux já sei que funciona.
>>>>
>>>> Em 18 de mar de 2016 4:52 PM, "Rogério Moura" <rogerpop at gmail.com>
>>>> escreveu:
>>>>
>>>>> Pesquisando aqui,
>>>>> Isso realmente é uma limitação do próprio AD, por padrão ele trás 1000
>>>>> entradas como resultado,
>>>>> ou se faz a opção B descrita pelo Gouglas, ou altera o valor da TAG
>>>>> MaxPageSize da seguinte forma:
>>>>> ### INICIO ###
>>>>>
>>>>> Usando NTDSUtil.exe no CMD:
>>>>>
>>>>> ntdsutil
>>>>> ldap policies
>>>>> connections
>>>>> connect to server todc00
>>>>> q
>>>>> show values
>>>>> Policy Current(New)
>>>>> MaxPoolThreads 4
>>>>> MaxDatagramRecv 4096
>>>>> MaxReceiveBuffer 10485760
>>>>> InitRecvTimeout 120
>>>>> MaxConnections 5000
>>>>> MaxConnIdleTime 900
>>>>> MaxPageSize 1000
>>>>> MaxQueryDuration 120
>>>>> MaxTempTableSize 10000
>>>>> MaxResultSetSize 262144
>>>>> MaxNotificationPerConn 5
>>>>> MaxValRange 1500
>>>>>
>>>>> set maxpagesize to 5000
>>>>> commit changes
>>>>> q
>>>>> q
>>>>> ### FIM ###
>>>>>
>>>>>
>>>>> Em 18 de março de 2016 15:29, Douglas Fischer
>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>
>>>>>> Acabei de dar uma olhada no patch(muito superficialmente)...
>>>>>>
>>>>>> Duas coisas me passaram pela cabeça:
>>>>>> A) Dependendo da quantidade de atributos que ele traz
>>>>>> ($LDAPFieldsToFind),
>>>>>> somado com o grande número de objetos issopode estourar o tamanho do
>>>>>> tipo
>>>>>> da variável que ele está usando no PHP.
>>>>>>
>>>>>> B) O Active Directory entrega esses dados em uma paginação máxima.
>>>>>> (Essa foi uma dica de um desenvolvedor que trabalha aqui).
>>>>>> Ele disse que para uma determinada consulta em nosso AD, ele teve
>>>>>> que
>>>>>> criar mecanimos de várias consultas, e ele já faz as consultas pedindo
>>>>>> de
>>>>>> 500 em 500.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Em 18 de março de 2016 14:08, Rogério Moura <rogerpop at gmail.com>
>>>>>> escreveu:
>>>>>>
>>>>>> Douglas,
>>>>>>> Fui dar uma lida no código do patch que o marcelo coutinho fez, esse
>>>>>>> cara é um dos desenvolvedores do pfsense, tem muita contribuição no
>>>>>>> projeto.
>>>>>>> Percebi que no grupo geral que tenho para acesso à net, só estava
>>>>>>> listando 1500 usuários, mas fazendo uma consulta direto no AD, tem
>>>>>>> mais de 2000 mil contas, está aí o problema, várias contas estão sem
>>>>>>> perfil de internet.
>>>>>>> Agora basta saber se é uma limitação do PHP ou do ldap que está
>>>>>>> limitando o resultado na hora da consulta.
>>>>>>>
>>>>>>> Em 18 de março de 2016 11:01, Douglas Fischer
>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>
>>>>>>>> á tive problema com recursividade de grupos em grupos e permissões
>>>>>>>> de
>>>>>>>> leitura...
>>>>>>>>
>>>>>>>> Teu usuário de consulta é tem nível de privilégios suficientes para
>>>>>>>> ler
>>>>>>>> TODOS os usuários e grupos(mesmo os globais)?
>>>>>>>>
>>>>>>>> Em 18 de março de 2016 10:30, Rogério Moura <rogerpop at gmail.com>
>>>>>>>>
>>>>>>> escreveu:
>>>>>>>
>>>>>>>> Douglas,
>>>>>>>>> O escopo é o global, mas o interessante é que lista a maioria, são
>>>>>>>>> mais de 1500 contas nesse grupo, porém algumas contas não listam,
>>>>>>>>> não
>>>>>>>>> posso afirmar, mas tô achando que é devido a grande quantidade de
>>>>>>>>> contas no grupo, de alguma forma o patch que o cara fez não está
>>>>>>>>> lidando bem com essa quantidade de usuários.
>>>>>>>>>
>>>>>>>>> Em 18 de março de 2016 08:09, Douglas Fischer
>>>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>>>
>>>>>>>>>> Rogério,
>>>>>>>>>> eu estou em outros projetos e não tive como por a mão na massa...
>>>>>>>>>>
>>>>>>>>>> Mas em outra ferramenta de outro fabricante que faz o
>>>>>>>>>> IP-User-Mapping
>>>>>>>>>>
>>>>>>>>> eu
>>>>>>>
>>>>>>>> tive problemas com o uso de Distribution-Group(coisa do cliente
>>>>>>>>>>
>>>>>>>>> maluco).
>>>>>>>
>>>>>>>> Naquele caso, simplemente criando um SecurityGroup e colocando o
>>>>>>>>>> Distribution Group dentro e as consultas passaram a desenrolar
>>>>>>>>>>
>>>>>>>>> rapidamente.
>>>>>>>>>
>>>>>>>>>> O escopo dos grupos criados? Qual foi?
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Em 17 de março de 2016 15:39, Rogério Moura <rogerpop at gmail.com>
>>>>>>>>>>
>>>>>>>>> escreveu:
>>>>>>>>>
>>>>>>>>>> Douglas,
>>>>>>>>>>> Acabei de fazer uns testes aqui e não foram satisfatórios, criei
>>>>>>>>>>> 2
>>>>>>>>>>> perfis, um geral e outro para as redes sociais, infelizmente
>>>>>>>>>>> alguns
>>>>>>>>>>> usuários não navegam, o squidGuard retorna que o usuário não está
>>>>>>>>>>> em
>>>>>>>>>>> um grupo, mas no AD o usuário está no grupo. executando na
>>>>>>>>>>> console o
>>>>>>>>>>> comando que o patch traz, que lista os grupos e usuários do AD,
>>>>>>>>>>> realmente alguns usuários está faltando.
>>>>>>>>>>> Vou reportar no fórum do pfsense e ver no que vai dar.
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> Em 16 de março de 2016 16:15, Douglas Fischer
>>>>>>>>>>> <fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>>
>>>>>>>>>>>> Opa!
>>>>>>>>>>>> Dando uma de coveiro na Thread. Mas nem é tão velha e
>>>>>>>>>>>> certamente é
>>>>>>>>>>>> correlata.
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Escavando a internet esbarrrei nisso:
>>>>>>>>>>>>
>>>>>>>>>>>> http://www.pfsense-br.org/blog/2016/02/patch-corrige-consult
>>>>>>> a-ldap-do-squidguard/
>>>>>>>
>>>>>>>> Ainda não testei...
>>>>>>>>>>>> Alguém?
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Em 9 de março de 2016 15:39, Bruno Vane <broonu at gmail.com>
>>>>>>>>>>>>
>>>>>>>>>>> escreveu:
>>>>>>>
>>>>>>>> Antonio, aqui é simples: eu bloqueio no firewall portas 80 e
>>>>>>>>>>>>> 443,
>>>>>>>>>>>>>
>>>>>>>>>>>> e
>>>>>>>
>>>>>>>> no
>>>>>>>>>
>>>>>>>>>> próprio pfsense eu uso WPAD pra autoconfigurar o proxy nos
>>>>>>>>>>>>>
>>>>>>>>>>>> clientes
>>>>>>>
>>>>>>>> via
>>>>>>>>>
>>>>>>>>>> DHCP.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Em 9 de março de 2016 08:10, Antonio Modesto <
>>>>>>>>>>>>>
>>>>>>>>>>>> modesto at isimples.com.br>
>>>>>>>>>
>>>>>>>>>> escreveu:
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>>> On 08-03-2016 13:14, Lucas Dias wrote:
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Em 8 de março de 2016 08:40, Jonas Odorizzi <
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> jonas.odorizzi at gmail.com>
>>>>>>>>>>>
>>>>>>>>>>>> escreveu:
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Bom Dia Pessoal.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>> Tudo Bem ?
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>> Na opinião de vocês qual a melhor solução de webfilter ou
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> controle
>>>>>>>>>
>>>>>>>>>> de
>>>>>>>>>>>
>>>>>>>>>>>> internet
>>>>>>>>>>>>>>>> ( custo/beneficio ) para uma empresa com até 60
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> computadores.
>>>>>>>
>>>>>>>> Gostaria de uma solução que tenha atualização de urls das
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> categorias.
>>>>>>>>>>>
>>>>>>>>>>>> Obrigado !
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>> Att Jonas Odorizzi.
>>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>> Jonas, la vai minha humilde opinião.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Solução Open: pfSense bem configurado de olho fechado.
>>>>>>>>>>>>>>> Tempo é
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> uma
>>>>>>>
>>>>>>>> variável
>>>>>>>>>>>>>>> que você deve levar em consideração na hora de avaliar
>>>>>>>>>>>>>>> custos.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Solução comercial: FortiGate também de olho fechado.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Trabalho com as duas soluções e sempre deixo a disposição
>>>>>>>>>>>>>>> do
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> cliente
>>>>>>>>>
>>>>>>>>>> a
>>>>>>>>>>>
>>>>>>>>>>>> escolha. Há casos que indico pfSense, a outros casos que
>>>>>>>>>>>>>>> indico
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> FortiGate.
>>>>>>>>>>>>>
>>>>>>>>>>>>>> Sempre levo em consideração quanto tempo de implementação
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> terei,
>>>>>>>
>>>>>>>> qual o
>>>>>>>>>>>
>>>>>>>>>>>> orçamento médio pra aquisição de recursos, mão de obra,
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> manutenção da
>>>>>>>>>
>>>>>>>>>> solução, entre outros detalhes.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Falar em custo benefício apenas levando-se em conta que
>>>>>>>>>>>>>>> você
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> quer
>>>>>>>
>>>>>>>> uma
>>>>>>>>>
>>>>>>>>>> solução para controle de internet e webfilter com
>>>>>>>>>>>>>>> atualização
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> de
>>>>>>>
>>>>>>>> URL
>>>>>>>>>
>>>>>>>>>> é
>>>>>>>>>>>
>>>>>>>>>>>> complicado, mas como sugestão você tem essas duas opções
>>>>>>>>>>>>>>> que
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> recomendo.
>>>>>>>>>>>
>>>>>>>>>>>> Abraços e que a força esteja com você.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> --
>>>>>>>>>>>>>> Atenciosamente,
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Como o pessoal anda lidando com HTTPS? Uma das maiores
>>>>>>>>>>>>>>
>>>>>>>>>>>>> desvantagens de
>>>>>>>>>
>>>>>>>>>> manter um proxy HTTP hoje é justamente isso. De nada vale
>>>>>>>>>>>>>> uma
>>>>>>>>>>>>>>
>>>>>>>>>>>>> categoria
>>>>>>>>>>>
>>>>>>>>>>>> de
>>>>>>>>>>>>>
>>>>>>>>>>>>>> URL's se o proxy não vai conseguir enxergá-las. Fica
>>>>>>>>>>>>>> criando
>>>>>>>>>>>>>>
>>>>>>>>>>>>> exceções no
>>>>>>>>>>>
>>>>>>>>>>>> firewall também é muito cansativo na minha opinião.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> --
>>>>>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> --
>>>>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> --
>>>>>>>>>>>> Douglas Fernando Fischer
>>>>>>>>>>>> Engº de Controle e Automação
>>>>>>>>>>>> --
>>>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>>
>>>>>>>>>>> --
>>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> --
>>>>>>>>>> Douglas Fernando Fischer
>>>>>>>>>> Engº de Controle e Automação
>>>>>>>>>> --
>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>
>>>>>>>>>
>>>>>>>>
>>>>>>>> --
>>>>>>>> Douglas Fernando Fischer
>>>>>>>> Engº de Controle e Automação
>>>>>>>> --
>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>> --
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>>>
>>>>>>
>>>>>> --
>>>>>> Douglas Fernando Fischer
>>>>>> Engº de Controle e Automação
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>> Douglas e aos demais interessados,
>>> Dando uma ressuscitada nessa conversa, os problemas que eu tinha
>>> relatado no uso do PFSENSE com autenticação no AD fazendo o famoso
>>> SSO, GRAÇAS A DEUS FORAM RESOLVIDOS.
>>> estou usando a duas semanas o pfsense autenticando no nosso AD e tá
>>> smooth. recomendo quem está procurando uma solução opensource pra
>>> proxy .
>>> O que estou usando:
>>> pfsense 2.3
>>> patch do nosso amigo Luiz gustavo pf2ad
>>> squid
>>> squidGuard
>>> lightSquid
>>> ~200 usuários simultâneos.
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> Atenciosamente,
>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list