[GTER] Web Filter

Douglas Fischer fischerdouglas at gmail.com
Fri Mar 18 15:29:09 -03 2016


​Acabei de dar uma olhada no patch(muito superficialmente)...

Duas coisas me passaram pela cabeça:
A) Dependendo da quantidade de atributos que ele traz ($LDAPFieldsToFind),
somado com o grande número de objetos issopode estourar o tamanho do tipo
da variável que ele está usando no PHP.

B) O Active Directory entrega esses dados em uma paginação máxima.
   (Essa foi uma dica de um desenvolvedor que trabalha aqui).
   Ele disse que para uma determinada consulta em nosso AD, ele teve que
criar mecanimos de várias consultas, e ele já faz as consultas pedindo de
500 em 500.




Em 18 de março de 2016 14:08, Rogério Moura <rogerpop at gmail.com> escreveu:

> Douglas,
> Fui dar uma lida no código do patch que o marcelo coutinho fez, esse
> cara é um dos desenvolvedores do pfsense, tem muita contribuição no
> projeto.
> Percebi que no grupo geral que tenho para acesso à net, só estava
> listando 1500 usuários, mas fazendo uma consulta direto no AD, tem
> mais de 2000 mil contas, está aí o problema, várias contas estão sem
> perfil de internet.
> Agora basta saber se é uma limitação do PHP ou do ldap que está
> limitando o resultado na hora da consulta.
>
> Em 18 de março de 2016 11:01, Douglas Fischer
> <fischerdouglas at gmail.com> escreveu:
> > á tive problema com recursividade de grupos em grupos e permissões de
> > leitura...
> >
> > Teu usuário de consulta é tem nível de privilégios suficientes para ler
> > TODOS os usuários e grupos(mesmo os globais)?
> >
> > Em 18 de março de 2016 10:30, Rogério Moura <rogerpop at gmail.com>
> escreveu:
> >
> >> Douglas,
> >> O escopo é o global, mas o interessante é que lista a maioria, são
> >> mais de 1500 contas nesse grupo, porém algumas contas não listam, não
> >> posso afirmar, mas tô achando que é devido a grande quantidade de
> >> contas no grupo, de alguma forma o patch que o cara fez não está
> >> lidando bem com essa quantidade de usuários.
> >>
> >> Em 18 de março de 2016 08:09, Douglas Fischer
> >> <fischerdouglas at gmail.com> escreveu:
> >> > Rogério,
> >> > eu estou em outros projetos e não tive como por a mão na massa...
> >> >
> >> > Mas em outra ferramenta de outro fabricante que faz o IP-User-Mapping
> eu
> >> > tive problemas com o uso de Distribution-Group(coisa do cliente
> maluco).
> >> >
> >> > Naquele caso, simplemente criando um SecurityGroup e colocando o
> >> > Distribution Group dentro e as consultas passaram a desenrolar
> >> rapidamente.
> >> >
> >> > O escopo dos grupos criados? Qual foi?
> >> >
> >> >
> >> >
> >> >
> >> > Em 17 de março de 2016 15:39, Rogério Moura <rogerpop at gmail.com>
> >> escreveu:
> >> >
> >> >> Douglas,
> >> >> Acabei de fazer uns testes aqui e não foram satisfatórios, criei 2
> >> >> perfis, um geral e outro para as redes sociais, infelizmente alguns
> >> >> usuários não navegam, o squidGuard retorna que o usuário não está em
> >> >> um grupo, mas no AD o usuário está no grupo. executando na console o
> >> >> comando que  o patch traz, que lista os grupos e usuários do AD,
> >> >> realmente alguns usuários está faltando.
> >> >> Vou reportar no fórum do pfsense e ver no que vai dar.
> >> >>
> >> >>
> >> >> Em 16 de março de 2016 16:15, Douglas Fischer
> >> >> <fischerdouglas at gmail.com> escreveu:
> >> >> > Opa!
> >> >> > Dando uma de coveiro na Thread. Mas nem é tão velha e certamente é
> >> >> > correlata.
> >> >> >
> >> >> >
> >> >> > Escavando a internet esbarrrei nisso:
> >> >> >
> >> >>
> >>
> http://www.pfsense-br.org/blog/2016/02/patch-corrige-consulta-ldap-do-squidguard/
> >> >> >
> >> >> > Ainda não testei...
> >> >> > Alguém?
> >> >> >
> >> >> >
> >> >> >
> >> >> > Em 9 de março de 2016 15:39, Bruno Vane <broonu at gmail.com>
> escreveu:
> >> >> >
> >> >> >> Antonio, aqui é simples: eu bloqueio no firewall portas 80 e 443,
> e
> >> no
> >> >> >> próprio pfsense eu uso WPAD pra autoconfigurar o proxy nos
> clientes
> >> via
> >> >> >> DHCP.
> >> >> >>
> >> >> >> Em 9 de março de 2016 08:10, Antonio Modesto <
> >> modesto at isimples.com.br>
> >> >> >> escreveu:
> >> >> >>
> >> >> >> >
> >> >> >> >
> >> >> >> > On 08-03-2016 13:14, Lucas Dias wrote:
> >> >> >> >
> >> >> >> >> Em 8 de março de 2016 08:40, Jonas Odorizzi <
> >> >> jonas.odorizzi at gmail.com>
> >> >> >> >> escreveu:
> >> >> >> >>
> >> >> >> >> Bom Dia Pessoal.
> >> >> >> >>>
> >> >> >> >>> Tudo Bem ?
> >> >> >> >>>
> >> >> >> >>> Na opinião de vocês qual a melhor solução de webfilter ou
> >> controle
> >> >> de
> >> >> >> >>> internet
> >> >> >> >>>   ( custo/beneficio ) para uma empresa com até 60
> computadores.
> >> >> >> >>>
> >> >> >> >>> Gostaria de uma solução que tenha atualização de urls das
> >> >> categorias.
> >> >> >> >>>
> >> >> >> >>> Obrigado !
> >> >> >> >>>
> >> >> >> >>> Att Jonas Odorizzi.
> >> >> >> >>> --
> >> >> >> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >> >>>
> >> >> >> >>
> >> >> >> >> Jonas, la vai minha humilde opinião.
> >> >> >> >>
> >> >> >> >> Solução Open: pfSense bem configurado de olho fechado. Tempo é
> uma
> >> >> >> >> variável
> >> >> >> >> que você deve levar em consideração na hora de avaliar custos.
> >> >> >> >>
> >> >> >> >> Solução comercial: FortiGate também de olho fechado.
> >> >> >> >>
> >> >> >> >> Trabalho com as duas soluções e sempre deixo a disposição do
> >> cliente
> >> >> a
> >> >> >> >> escolha. Há casos que indico pfSense, a outros casos que indico
> >> >> >> FortiGate.
> >> >> >> >> Sempre levo em consideração quanto tempo de implementação
> terei,
> >> >> qual o
> >> >> >> >> orçamento médio pra aquisição de recursos, mão de obra,
> >> manutenção da
> >> >> >> >> solução, entre outros detalhes.
> >> >> >> >>
> >> >> >> >> Falar em custo benefício apenas levando-se em conta que você
> quer
> >> uma
> >> >> >> >> solução para controle de internet e webfilter com atualização
> de
> >> URL
> >> >> é
> >> >> >> >> complicado, mas como sugestão você tem essas duas opções que
> >> >> recomendo.
> >> >> >> >>
> >> >> >> >> Abraços e que a força esteja com você.
> >> >> >> >>
> >> >> >> >
> >> >> >> > --
> >> >> >> > Atenciosamente,
> >> >> >> >
> >> >> >> > Como o pessoal anda lidando com HTTPS? Uma das maiores
> >> desvantagens de
> >> >> >> > manter um proxy HTTP hoje é justamente isso. De nada vale uma
> >> >> categoria
> >> >> >> de
> >> >> >> > URL's  se o proxy não vai conseguir enxergá-las. Fica criando
> >> >> exceções no
> >> >> >> > firewall também é muito cansativo na minha opinião.
> >> >> >> >
> >> >> >> >
> >> >> >> > --
> >> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >> >
> >> >> >> --
> >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >>
> >> >> >
> >> >> >
> >> >> >
> >> >> > --
> >> >> > Douglas Fernando Fischer
> >> >> > Engº de Controle e Automação
> >> >> > --
> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> --
> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > Douglas Fernando Fischer
> >> > Engº de Controle e Automação
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list