Arquivo mensal 17 de maio de 2016

porplague70

Limitação de banda (Upload e Download) no pfSense

Gerenciar sua largura de banda

pfSense é de longe uma das melhores soluções de Gateway, na minha opinião. Neste tutorial você vai ver um recurso muito interessante que faz do pfSense um produto de alto nível, que é o limitador de largura de banda.

Em primeiro lugar vamos fazer um teste de largura de banda para verificar o que estamos recebendo. Eu tenho um serviço de internet a cabo da NetVirtua de 50Mb de Download e 5 Mb de Upload.

A imagem fala por si, estou recebendo 50/5. Agora vamos começar com as nossas limitações, vamos precisar criar um limitador de download e upload para depois aplicar em cada rede local, em seguida será necessário criar uma regra no firewall.

Vamos começar:

Primeiro precisamos encontrar a aba de limitador no pfSense. Este está localizado na guia Firewall -> Traffic Shaper, a terceira aba é o limitador.

Em seguida vamos para selecionar Create new limiter, Vamos chamá-loLimitUPLan.

  1. Clique em Enable
  2. Defina o nome para LimitUpLan
  3. Definir largura de banda permitida (Bandwidth allowed  (1mb))
  4. Mask Source Address
  5. Dê uma descrição
  6. Salvar

Agora vamos criar um outro limitador, Vamos chamá-lo LimitDownLAN

  1. Clique em Enable
  2. Defina o nome para LimitDownLan
  3. Definir largura de banda permitida (Bandwidth allowed (3Mb))
  4. Mask Source Addresses
  5. Adicionar descrição
  6. Salvar

Agora devemos ter dois limitadores disponíveis para ativar nas regras de firewall. Durante a montagem dos limitadores, configuramos o mascaramento do endereço de origem. Isto diz ao pfSense que ele deve criar uma fila única para cada endereço de origem do lado da LAN. Se deixássemos de marcar esta opção, então teríamos apenas uma fila limitada a 3Mb para todos os usuários da LAN assumindo assim que os 50Mb, deveria torna-se 3Mb. Isso não é o que queremos, queremos limitar cada usuário a 3Mb, para que ninguém possa abusar de toda a banda de 50Mb exclusivamente. Nós poderíamos ter 10 usuários todos com 3Mb streaming cada um, com um total de 30 Mb de Download por segundo e ainda teríamos 20Mb disponíveis.

Agora vamos começar a aplicar as regras em nossa LAN.

Precisamos fazer com que esta regra seja executada antes de outras regras de permissão TCP e / ou UDP. Se colocá-lo abaixo uma regra de permissão, em seguida, essa regra terá precedência sobre a regra aplicam os limites. Neste exemplo eu coloquei a regra como regra # 2 acima da regra que permite que todo o meu tráfego para acesso externo.
Vamos adicionar uma nova regra:

  1. Action Pass
  2. Interface LAN
  3. Protocolo Any
  4. Source LAN Subnet
  5. Destination Any
  6. Descrição

Agora edite a seção avançada: 

Clique no botão Advanced do recurso In / Out,  e selecione as duas filas criadas (In = Uploads) e (Out = Download). Salve e aplique a regra, depois execute o teste de uso da banda novamente.

Bandwidth Agora Limitada 

Este é todo o processo, do início ao fim. Neste ponto, você deve ter um limite de taxa de 3MB (download) e 1MB (upload) por utilizador da LAN.

Vamos limitar alguém hoje?

porplague70

liberar sped fiscal firewall proxy.

você so precisa liberar os host e ips abaixo para passar no firewall com acesso total.

sped.fazenda.gov.br
200.198.239.22
200.198.232.62
200.149.239.154
fazenda.gov.br
receita.fazenda.gov.br
br.gov.serpro
br.gov.serpro.spedfiscalserver
serpro.gov.br
200.198.239.21

porplague70

pagina sgerror.php nao é redirecionada para a mesma porta HTTP do pfSense

-editei o arquivo /usr/local/pkg/squidguard_configurator.inc
-procurei pela linha:

Code: [Select]

$guiport = (!empty($squidguard_config[F_CURRENT_GUI_PORT])) ? $squidguard_config[F_CURRENT_GUI_PORT] : '80';
-e alterei a porta pela que estou usando:

Code: [Select]

$guiport = (!empty($squidguard_config[F_CURRENT_GUI_PORT])) ? $squidguard_config[F_CURRENT_GUI_PORT] : '65000';

isso pode até não ser considerado um bug, mas é algo que deveria sim estar nos planos dos devs para termos uma solução cada vez mais robusta! (na verdade isso já deveria ter sido feito a muito tempo, ne!?)

porplague70

Xeams: Sistema de anti-spam OpenSource.

Xeams For Linux

   

Installation Instructions

Follow the steps below to install Xeams on a Linux machine.

  • Log in as root
  • Download the installer
  • Extract the tar file using the following command
    tar -xf XeamsLinux.tar
  • Ensure the permissions for Install.sh is set as an executable. If not, use the chmod +x Install.sh command to change its permission
  • Execute Install.sh script
  • By default, the installation script will install the server in /opt folder. You can change this location to any other value if desired. Additionally, it will create necessary scripts in /etc/init.d/ folder so that the server comes up when you restart the machine.
  • Using your browser connect to http://localhost:5272
porplague70

Failover no PFSense 2.0.0

Failover no PFSense 2.0.0

Segue a seguir o procedimento e failover aplicado no PFSense 2.0.0. O cenário utilizado é com 2 conexões com a internet (WAN) e apenas 1 conexão de rede local (LAN).

Observação.: O servidor possui 3 placas de rede, 2 conectadas a internet e 1 conectada a rede interna. Na instalação eu defini apenas 1 wan e 1 lan. A segunda placa wan será configurada abaixo.

Vamos iniciar ativando a segunda interface WAN. Vá em: Interfaces > Assign

Clique no Botão Add:

Imediatamente o PFSense vai adicionar a interface restante. Agora basta clicar em Save

Agora vamos ativar e renomear a interface para evitar confusão. Vá em Interfaces > OPT1

Clique em Enable Interface, Altere o campo Description para WAN2, defina o tipo de conexão em Type para DHCP e clique em salvar.

Agora precisamos definir os endereços de servidores DNS, para isso vamos no menu System, opção General Setup:

Preencha os campos com o seus servidores DNS de cada provedor de acesso e defina a respectiva interface de conexão, ou faça como eu e defina os servidores DNS do google para cada interface:

8.8.8.8 – WAN
8.8.4.4 – WAN
8.8.8.8 – WAN2
8.8.4.4 – WAN2

Agora vamos iniciar o processo de configuração do failover propriamente. Vamos definir um Grupo de gateways, para isso vá em System > Routing:

confirme na aba Gateways que os gateways das interfaces WAN e WAN2 estão preenchidos.

Agora entre na aba Groups e clique no botão Add:

Preencha os campos da seguinte forma:

Group Name: Multilan
Gateway priority:
* Tier1 – WAN
* Tier 2 – WAN2
trigger Level: Packet Loss

Depois disso basta clicar em Save.

Depois desses passos vamos as configurações de Firewall. Vá em Firewall > Rules:

Entre na aba Floating e clique no botão Add new rule:

Preencha os campos da seguinte maneira:

Action: Pass
Interface: Selecione WAN e WAN2
Direction: Out
Protocol: TCP
Source: Any
Destination: Any
Destination Port Range
* From: HTTP
* To: HTTP

Desça a barra de rolagem até Advanced Features, Clique no botãoAdvanced na opção Gateway e selecione Multilan:

Salve e vá para Firewall > NAT:

Vá para a guia Outbound e marque a opção Manual Outbound NAT rule generation e salve. As regras abaixo irão aparecer na sua tela:

Vamos adicionar duas regras. Clique no botão Add e preencha os seguintes campos:

Interface: WAN
Protocol: Any
Source: Any
Destination: Any
Translation: Interface address

e clique em salvar.

Repita o procedimento criando nova regra só alterando a interface WAN por WAN2:

O resultado será a tela abaixo:

Pronto, o failover já estará funcionando. Agora só nos resta testar e confirmar que ele está realmente OK.

porplague70

Instalando pfSense utilizando um pendrive.

Instalando pfSense utilizando um pendrive

Criei um blog novo, que vou levar adiante. Além de pFsense, o blog trará conteúdos do mundo da tecnologia.

Atualizei este tutorial no novo blog, então, peço que todos verifiquem a versão atualizada deste tutorial no novo site:

http://www.techtest.com.br/2015/02/instalando-pfsense-utilizando-um.html

Aproveitem para conhecer o site!

Grato a todos!

——————————————————-

Olá galera!

Hoje vou compartilhar uma dica muito valiosa.

Como instalar o pfsense utilizando um pendrive como mídia, ao invés de um CD-ROM.

Muito útil para aqueles micros que não tem drive de cd, além de ser mais prático e rápido.

É muito simples.

Vai precisar apenas de um pendrive e dos seguintes programas:

Alexander Beug’s USB Image ToolDownload
pfSense memdisk image – Download

Extraia a imagem do pfsense para algum lugar em seu computador.
Extraia o USB image tool para uma pasta qualquer e depois execute.

ATENÇÃO! Esse procedimento vai apagar todos seus arquivos no seu pendrive!

Selecione o pendrive desejado na lista e clique no botão restore. Será exibida uma tela para escolher uma imagem. Escolha a que extraiu do pfSense.

Pronto! O programa vai começar a gravar a imagem no pendrive. Depois, é só dar boot na máquina que deseja instalar o pfSense com o pendrive e a instalação vai funcionar normalmente, como se fosse pelo CD.

Testei em um Sandisk de 4gb e funcionou perfeitamente.

Tutorial baseado na dica do Spook, no forum do pfSense.

porplague70

UPGRADE / ATUALIZAÇÃO DO ENDIAN FIREWALL

Antes de mais nada é bom fazer um backup.

acesse a console do seu Endian:

https://ipdoendian:10443

Usuário: admin

No menu do lado esquerdo entre em cópia de segurança, gere um novo backup e salve em sua máquina fazendo download dele.

Ainda no menu do lado esquerdo habilite a opção de SSH.

Para conseguir fazer atualizações antes é preciso se cadastrar no site do Endian:

Feito o cadastro, acesse o seu Endian por SSH, usuário root.

Próximo passo é dar o comando para ele verificar e atualizar o servidor.

# efw-upgrade

1) Production (stable releases)
2) Development (bleeding edge)
1
Please enter your username and hit [ENTER]:

Nesse campo coloque o email que foi cadastrado no site da Endian, enter.

Ele vai começar a baixar os pacotes de atualização do seu Endian Community.

porplague70

Pfsense+Squid+SquidGuard logando no Active Directory

Pfsense+Squid+SquidGuard logando no Active Directory

 

Na aba “Available Packages” procure por “squid” e mande instalar clicando no ícone no canto direito

Imediatamente você será direcionado para a página do Package Installer, nele veremos o progresso da instalação do pacote squid e suas dependências:

Vamos inserir as regras para a rede LAN:

OBS.: LAN net = LAN subnet

Agora vamos no menu Services > Proxy Server:

Na aba “General” certifique que “Transparent Proxy” está desmarcada.

Considerando que seu servidor wk3 está com o IP: 192.168.1.12, a senha do usuário Administrador é “pwd1admin” e seu domínio é prototipo

 

Na aba “Auth Settings” vamos adicionar os seguintes parâmetros:

 

Authentication method: LDAP

LDAP version: 3

Authentication server: 192.168.1.12

Authentication server port: 389

LDAP server user DN: cn=Administrador,cn=Users,dc=prototipo

LDAP password: pwd1admin

LDAP base domain: dc=prototipo

LDAP username DN attribute: uid

LDAP search filter: sAMAccountName=%s

OBS: Meu domínio coloquei somente o nome prototipo, não coloquei nada como .com.br ou .com

 

Após este processo o squid estará buscando os usuários pelo Ad, agora precisamos instalar o SquidGuard para que ele possa controlar estes usuários na rede.

Vá na aba Blacklist e baixe no site da shallalist os arquivos, ou cole na blacklist upload:http://www.shallalist.de/Downloads/shallalist.tar.gz

Vá na aba Common ACL e acesse Target Rules List e de um Deny no Default access All

Agora vamos adicionar em Group ACL os grupos que já temos cadastrados no Active directory.

No meu exemplo tenho cadastrado somente dois, um deles é “Internet-TI” “Internet-Padrao”, deixe-os  com letras maiúsculas ou minúsculas do jeito que postou no Active Directory.

Note que no campo cliente, possui alguns usuários, é importante adiciona-los pois o SquidGuard vai bloquear de acordo com as especificações que você adicionará logo em Target Rules list

 

No meu exemplo, o Grupo Internet-TI terá bloqueado somente webmail.

Para fazer o teste, clique em save e volte para a aba General Settings e deixe de acordo com a tela abaixo.

 

Assim que o squidguard iniciar ficará com status start. Aí é só testar.

Para fazer o teste fui no Internet Explorer e vá em Ferramentas>Opções da Internet>Configurações da LAN

 

Configure de acordo com o Ip de seu PfSense.

Agora de um Ok e Ok

Feche o navegador e abra-o novamente e agora coloque o login e senha do grupo que adicionou, no meu caso Internet-TI

 

Agira vou acessar um site que contenha webmail. Ex: www.hotmail.com.br

 

Este é o resultado.

porplague70

Squid + Autenticação NCSA + Controle de Acesso por Grupos

Squid + Autenticação NCSA + Controle de Acesso por Grupos

Esse tutorial busca ajudar aqueles que necessitam montar um servidor proxy aonde os usuários precisem ser autenticados, separados por grupos e que cada grupo tenha uma lista específica de sites liberados para acesso, de uma forma prática e rápida sem ter que usar algum tipo de integração como o AD, Samba ou LDAP.

Parte 1 – Instalação do Squid

Vá no menu ”System > Packages”, na tela que se segue clique em ”Available Packages” e procure na lista o Squid. Clique na setinha ao lado da linha do Squid para instalar o pacote. Com a instalação bem sucedida do Squid vamos à próxima etapa.

Figura 1: Menu System > Packages

Figura 1: Menu System > Packages

Figura 2: Pacote do Squid

Figura 2: Pacote do Squid

Figura 3: Instalação bem sucedida do Squid.

Figura 3: Instalação bem sucedida do Squid.

Parte 2 – Configurações Básicas do Squid

Vamos realizar a configuração básica do nosso Proxy. Para isso vamos acessar as configurações do Squid no menu ”Services > Proxy Server”.

Figura 4: Configurações Básicas do Squid.

Figura 4: Configurações Básicas do Squid.

Na aba “General”, estão localizadas as configurações básicas do nosso servidor proxy. Geralmente não é preciso alterar nada para que o proxy funcione. Então vamos deixar os valores como padrão para a maioria dos campos, alterando somente o campo”Language” para “Portuguese” (isso fará com que o Squid exiba as páginas de erro em Português) e um pouco mais abaixo vamos marcar a opção ”Supress Squid Version”(para que o Squid não mostre a sua versão na página de erros). E por fim clicamos em”Save” para guardar nossas configurações.

Figura 5: Continuação das Configurações Básicas do Squid

Figura 5: Continuação das Configurações Básicas do Squid

Figura 6: Continuação das Configurações Básicas do Squid

Figura 6: Continuação das Configurações Básicas do Squid


Parte 3 – Configurações de Autenticação do Squid

Ainda nas configurações do Squid, vamos até a aba “Auth Settings”. Aqui vamos configurar nosso Squid para que ele utilize a base de dados Local. Então vamos até o campo ”Authentication Method” e vamos escolher a opção “Local”.

Figura 7: Configurações de Autenticação do Squid

Figura 7: Configurações de Autenticação do Squid

Ainda nessa tela temos 3 campos importantes:

“Authentication prompt”: Texto que vai ser exibido na janela que pede o usuário e a senha.
“Authentication processes”: Número de autenticações simultâneas. Ajuste conforme preciso.
“Authentication TTL”: Este campo define o tempo de vida da sessão de um usuário autenticado.

Figura 8: Configurações de Autenticação do Squid

Figura 8: Configurações de Autenticação do Squid

Clicamos em ”Save” e vamos à próxima etapa.

Parte 4 – Cadastro de novos usuários

Nas configurações do proxy na aba “Local Users”, vamos cadastrar os 3 usuários para utilizarmos no nosso exemplo. Para cadastrar um usuário clique no ícone da setinha marcado na figura abaixo.

Figura 9: Cadastros de Usuários no  Squid

Figura 9: Cadastros de Usuários no Squid

Na tela que se abre, temos 2 campos obrigatórios: ”Username” e ”Password”. Já o campo “Description” é opcional, porém é muito útil para caráter administrativo. No nosso exemplo eu usei esse campo para definir qual departamento o usuário pertence. Clicamos em “Save” para finalizar essa etapa de cadastro.

Figura 10: Continuação dos Cadastros de Usuários no  Squid

Figura 10: Continuação dos Cadastros de Usuários no Squid

Parte 5 – Administrando Usuários: Remover Usuário e Troca de Senha

Ainda em “Local Users”, podemos perceber que na listagem dos usuários cadastrados no sistema, ao lado aparece dois pequenos ícones, eles são a função editar e deletar.

No botão editar você poderá trocar o nome de usuário e a senha. E no de remover, excluímos o usuário do sistema.

No caso de alterar o dados do usuário, o pfSense traz o mesmo formulário só que preenchido com os Dados Originais bastando você alterar aonde necessário.

Figura 11: Cadastros de Usuários no Squid

Figura 11: Cadastros de Usuários no Squid

Parte 6 – Definindo os Grupos e seus respectivos Sites Liberados

Finalmente chegou a hora de fazermos a autenticação por grupos no pfSense. Vamos no menu “Diagnostics > Edit File”. No campo que aparece vamos digitar:“/usr/local/pkg/squid.inc” e apertar no botão “Load”. Uma vez  conteúdo do arquivo carregado, vamos procurar (Control + F) pelo seguinte conteúdo: “acl password proxy_auth REQUIRED” (sem as aspas).

Figura 12: Alterando o squid.inc

Figura 12: Alterando o squid.inc

Entre a linha “acl password proxy_auth REQUIRED” e a “EOD;” vamos inserir o código abaixo:

### Definição ACLs dos Grupos com Seus Respectivos Usuários ###
acl COMERCIAL proxy_auth “/var/squid/acl/usuarios_comercial.acl”
acl FINANCEIRO proxy_auth “/var/squid/acl/usuarios_financeiro.acl”
acl ADMINISTRATIVO proxy_auth “/var/squid/acl/usuarios_administrativo.acl”

### Definição das ACLs dos Sites Liberados para Cada Grupo ###
acl SITES_COMERCIAL url_regex “/var/squid/acl/sites_comercial.acl”
acl SITES_FINANCEIRO url_regex “/var/squid/acl/sites_financeiro.acl”
acl SITES_ADMINISTRATIVO url_regex “/var/squid/acl/sites_administrativo.acl”

### Liberação do Acesso para os Grupos ###
http_access allow password COMERCIAL SITES_COMERCIAL
http_access allow password FINANCEIRO SITES_FINANCEIRO
http_access allow password ADMINISTRATIVO SITES_ADMINISTRATIVO
http_access deny all

Agora salvamos o arquivo “squid.inc” alterado.

OBSERVAÇÃO

Em nosso ambiente de implementação de autenticação por grupos, cada grupo tem a sua própria lista de site permitidos, há um detalhe muito importante a realçar.

Na interface de configuração do Squid, em “Services > Proxy Server” na aba “Access Control” temos os campos “Whitelist” e “Blacklist”.

Essas duas listas tem precedência sobre as demais liberações ou bloqueios que usamos no “squid.inc”.

DICA

Particularmente, eu uso esse campo “Whitelist” para cadastrar os sites que serão disponíveis para todos os grupos, ou seja, os sites em comum a todos eles. Pois todos terão acesso. Restando a lista personalizada de cada grupo somente àqueles sites que são acessados só por aquele grupo em específico.

Parte 7 – Criação dos arquivos que definem o grupo e os sites que podem ser visitados

O próximo passo é criar e popular os arquivos que referenciamos nas ACLs de grupos e de sites. Vou dar um exemplo com a criação de ambos arquivos para o Grupo Comercial:

Vamos trocar o endereço “/usr/local/pkg/squid.inc” para o endereço”/var/squid/acl/usuarios_comercial.acl” e então apertamos o botão “Load”.

O pfSense vai dar a seguinte mensagem avisando que o arquivo não existe: “File does not exist or is not a regular file.”. Vamos ignorar essa mensagem e iremos povoar o arquivo com o nome do usuário do departamento Comercial, no caso “joao”.

Se houver mais de um usuário por Departamento, iremos manter sempre o padrão de um usuário por linha. Ao término do processo vamos apertar em “Save”. Notaremos então que a mensagem de arquivo inexistente irá ser alterada para “File Save Sucessfully”. Isso irá nos informar que nosso arquivo agora existe e que foi criado com sucesso.

Figura 14: Criação do Arquivo de Grupo com o Usuário

Figura 14: Criação do Arquivo de Grupo com o Usuário

Agora vamos repetir o processo acima alterando o arquivo a ser criado para:“/var/squid/acl/sites_comercial.acl” que é o arquivo que contém a lista dos sites liberados para esse grupo.

Nesse arquivo vamos continuar mantendo o padrão de um site cadastrado por linha.

.uol.com.br/*

Figura 15: Cadastro de Sites por Grupo

Figura 15: Cadastro de Sites por Grupo

Iremos repetir os processos acima para os grupos restantes e suas respectivas listas de sites liberados:

Grupos:

/var/squid/acl/usuarios_financeiro.acl
/var/squid/acl/usuarios_administrativo.acl

Sites Liberados:

/var/squid/acl/sites_financeiro.acl
/var/squid/acl/sites_administrativo.acl

Com tudo devidamente criado, vamos acessar o menu ”Services > Proxy Server”, vamos apenas rolar a tela para baixo e apertar no botão ”Save”. Isso fará que o Squid tenha as suas regras recarregadas, eliminando a necessidade de reiniciar o pfSense ou parar/recarregar o serviço do Squid.

Se tudo foi feito corretamente seu Squid estará funcionando com a autenticação NCSA e políticas de controle de acesso por grupos. Parabéns!

Parte 8 – Soluções de Problemas

Caso o seu Squid não esteja funcionando, vamos até o menu ”Status > Services”. Aqui saberemos o serviço do Squid está iniciado ou parado.

Outra dica importante é ir em “Status > System Logs”, na aba “System” temos os últimos 50 registros de logs do sistema. E ali provavelmente será mostrado o erro do Squid caso o mesmo não venha a ser iniciado corretamente. Se for um erro na ACL ele irá lhe dizer qual a ACL está com o problema.

Criado Por: Daniel Herzer
Fortaleza, 25 de Setembro de 2012
E-mail: [email protected]

porplague70

Comunidade Brasileira Pfsense

http://www.pfsense-br.org/