Escolar Documentos
Profissional Documentos
Cultura Documentos
Início
Contato
categorias no PFSense
By marcelo | 15 de setembro de 2016 | 21 Comentários Posts Recentes
O que é Zabbix?
Black Friday – Curso PFSense
Certi cação Linux – Linux Pr
Institute
Customizando e Importando
para o Zabbix
Zabbix Proxy – Instalação e p
características
Comentários
Arquivos
O mais importante de falarmos a respeito dessa integração é que, para acessar as informações do AD, o Squid e o
SquidGuard precisam de um usuário e senha do AD. Esse usuário não precisa ter nenhum privilégio, porém é necessário novembro 2019
que sua senha não expire e essa senha também não pode ter caracteres especiais. novembro 2018
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 1/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
Categorias
Certi cações
Firewall
OS Unix Like
PFsense
populares
Sem categoria
Zabbix
Meta
Acessar
2 – Na Aba Available Packages, localize os pacotes Squid e SquidGuard. Instale primeiramente o SquidGuard clicando no Feed de posts
botão install. Con rme e aguarde até que o pacote seja instalado sem sair da página que aparecerá. Faça a mesma coisa Feed de comentários
com o Squid. WordPress.org
Search... S
Posts Recentes
O que é Zabbix?
Black Friday – Curso PFSense
Certi cação Linux – Linux Pr
Institute
Customizando e Importando
para o Zabbix
Zabbix Proxy – Instalação e p
características
Comentários
Arquivos
novembro 2019
novembro 2018
outubro 2018
setembro 2018
julho 2018
junho 2018
4 – Primeiro precisamos acessar a aba Local Cache e clicar em salvar ao nal da tela. Assim o Squid criará toda a sua
estrutura de arquivos. maio 2018
março 2018
janeiro 2018
dezembro 2017
outubro 2017
setembro 2017
julho 2017
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 2/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
dezembro 2016
setembro 2016
agosto 2016
Categorias
Certi cações
Firewall
OS Unix Like
PFsense
populares
Sem categoria
Zabbix
Meta
5 – Volte na Aba General, marque a opção Enable Squid Proxy. Escolha as interfaces onde o proxy estará habilitado e a
porta que será utilizada para o serviço. Acessar
Feed de posts
Feed de comentários
WordPress.org
6 – Para que possamos ter um log do que é acessado e assim, futuramente, gerarmos relatórios marque a opção Enable
Access Logging.
Em Log Store Directory ca o caminho onde serão armazenados os logs, caso você tenha lido o nosso tutorial sobre
softupdates, essa é uma das ocasiões onde o softupdates melhora a performance de um determinado serviço.
Em rotate Logs podemos escolher com qual frequência em dias será feita a rotação dos logs. Essa pratica evita que
os arquivos de log do squid quem com um tamanho muito grande.
7 – Em visible hostname podemos colocar um nome de host para aparecer nos erros do squid.
Em Administrator Email’s coloque o email do administrador da rede, aquela pessoa que os usuários ou clientes devem
chamar caso precisem.
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 3/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
Em Suppress Squid Version marcamos para que a versão do squid não apareça na página de erro.
Clique em save.
8 – Agora vamos até a aba authentication para con gurarmos detalhes da autenticação.
Em authentication Method devemos escolher LDAP para que possamos pegar os usuários já existentes no AD.
Em Authentication Server devemos colocar o IP do nosso AD, nesse caso será 10.1.1.12
Em Authentication Server Port colocaremos a porta que o Squid usará para se conectar ao AD, 389 é o padrão.
Em Authentication Prompt podemos colocar a mensagem que virá na tela em que o usuário deve colocar suas
credenciais ao tentar navegar na internet.
Authentication Processes é o número de processos de autenticação que poderão rodar simultaneamente no servidor, se
deixarmos 5, apenas 5 daquelas mensagens perguntando nome e senha aparecerão simultaneamente para todos os
usuários da rede. Esse numero não precisa ser muito grande, pois é improvável que todos os usuários comecem uma
nova conexão ao mesmo tempo.
Authentication TTL teoricamente seria quanto tempo o squid considera válido uma combinação de usuário e senha sem
que haja interações do usuário. Após esse tempo, em minutos, o squid pede novamente as credenciais para esse usuário.
LDAP Server User DN: Usuário que o squid usará para se conectar ao AD. Onde CN=squid é o nome do usuário.
cn=Users é a OU onde esse usuário se encontra e DC=lab,DC=local é o meu domínio.
LDAP Password: Senha do usuário colocado acima. Sempre lembrando que não deve ter caracteres especiais.
LDAP Base Domain: Aqui devemos colocar onde estão os usuários que usarão o proxy. Se todos os usuários estiverem na
mesma OU podemos coloca-la. No meu caso, os usuários estão esparramados em varis OU’s, então eu coloco apenas o
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 4/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
dominio. dc=lab,dc=local
Com isso nalizamos as con gurações do Squid. Note que nesse caso não há necessidade de criarmos usuários, pois ele
sempre pegará os que estão no AD. E, sendo assim, os usuários conseguem trocar sua senha através do próprio windows.
Para que o Squid saiba o que cada usuário pode ou não acessar ele utiliza o SquidGuard. É nesse pacote que
con guraremos os grupos de usuários e quais sites eles podem acessar.
Antes de tudo precisamos ir ao nosso servidor de AD e criar os grupos referentes ao grupos de acesso a internet.
Utilizaremos um grupo chamado Ouro para acesso total, um grupo chamado Prata para acesso com bloqueios e um
grupo chamado Bronze para acesso a apenas alguns endereços liberados por uma Whitelist.
Então vá ate o seu AD e crie apenas os grupos Prata e Ouro. O grupo bronze será para usuários que não possuem acesso.
Nesse caso qualquer usuário que não esteja no grupo prata ou ouro automaticamente cairá no bronze.
Enable LDAP Filter: Habilite essa opção para que o SquidGuard faça a pesquisa dos grupos através de LDAP
Preencha o restante como na imagem abaixo, usando o mesmo usuário e senha para que o SquidGuard tenha acesso ao
AD.
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 5/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
3 – Ainda em General Settings marque as opções que habilitam os logs do SquidGuard. Maque também a opção Blacklist
para que façamos os bloqueios através de lista de categorias e coloque o endereço de onde o pacote ira baixar essa lista
(http://www.shallalist.de/Downloads/shallalist.tar.gz) e clique em save.
4 – Clique na Aba Blacklist, o endereço da lista deve vir preenchido. Caso não esteja basta colocar novamente o endereço
citado acima. Clique em download e aguarde que o sistema baixe e aplique a lista como mostrado abaixo.
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 6/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
5 – Agora vamos criar uma lista branca para servir como o Bronze do nosso projeto. Vá em Target Categories e clique
para adicionar uma nova. Aqui faremos o processo apenas para a lista branca, mas também funciona para lista negra. Se
preferir já pode criar as duas como no exemplo a seguir.
6 – Coloque o nome que deseja para a lista. Nesse exemplo colocaremos ListaBranca para os endereços que serão
liberados para qualquer usuário ou máquina da rede. Para criar uma lista personalizada de bloqueios, o raciocínio é o
mesmo. Se quiser, você já pode criar outra lista com o nome de ListraNegra para incluir endereços de bloqueio. No campo
domain list colocaremos domínios ou IP’s que serão liberado no caso da lista branca ou bloqueados no caso de uma
eventual lista negra. Futuramente chegaremos no passo onde eu digo que a lista branca é liberação e a lista negra é
proibição.
7 – Em Url List podemos colocar endereços que serão liberados ou bloqueados e em Regular Expression podemos
colocar também palavras especí cas para bloqueio ou liberação. Para funcionar, as palavras devem estar presentes na url.
8 – Em Description podemos colocar uma descrição para a regra e marcamos a opção log para que todos os acessos que
passarem por essa regra sejam adicionados aos logs e relatórios.
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 7/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
9 – A aba Common ACL é o nosso grupo Bronze. O que con gurarmos nela acontecerá para todos os acessos que não
estejam especi cados nos grupos Prata e Ouro. Por exemplo, se criarmos um usuário e esquecermos de coloca-lo em
algum dos grupo, automaticamente os acessos dele cairão na common acl. Sistemas que não tenham a opção de se
con gurar acesso através do proxy também cairão aqui.
Clique no Simbolo + para expandir a lista nela aparecerá a nossa ListaBranca. Caso você tenha feito uma lista negra
também aparecerá. Deixamos a lista Branca como WhiteList. Se desejarmos liberar mais alguma categoria devemos
procura-la e colocar como allow.
10 – A ultima linha dessa lista é o Default Access todas as linhas que estiverem como — terão o mesmo comportamento
da Default Access que nesse caso deixaremos como Deny.
Importante: A diferença entre Allow e Whitelist é que, caso adicionemos um endereço na lista branca que já
pertença a uma categoria que esteja como Deny, se a nossa lista branca estiver como Allow, o endereço
continuará bloqueado, pois o Deny é mais “forte” que o Allow. Quando colocamos como WhiteList, o endereço é
liberado mesmo que esteja em uma categoria Deny. Pois o Whitelist é mais “forte” que o Deny.
A opção Do not allow IP-addresses in URL bloqueia qualquer acesso feito no navegador diretamente a um endereço IP.
Em Use SafeSearch engine podemos marcar para que um usuário não consiga navegar num site proibido através de
ferramentas de pesquisa que permitem visualizações prévias das páginas.
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 8/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
11 – Devemos Marcar a opção Log para que os acessos que passem pela Common ACL apareçam nos logs e relatórios.
Clique em Save.
12 – Agora vamos criar nossos grupos ouro e prata. Acesse a aba Groups ACL e adicione um novo grupo.
13 – O campo Disable serve para desabilitar o grupo, assim você não precisa deleta-lo para eventuais testes. Em name
coloque o nome do grupo, nesse caso, Ouro. Em Cliente (source) vamos usar um ltro para dizer ao SquidGuard que
todos os usuários que estiverem no grupo Ouro do AD devem ter acesso conforme con gurado nos próximos passos.
Use o ltro:
ldapusersearch ldap://10.1.1.12/DC=lab,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)
(memberOf=CN=ouro%2cCN=Users%2cDC=lab%2cDC=local))
Edite conforme a sua realidade. Note que está escrito acima o IP do meu AD e os dados do grupo conforme o nome do
meu domínio. É importante acertar o caminho da OU onde você criou os grupos. No meu caso criei na OU Users, por
isso o trecho referente ao local cou:
(memberOf=CN=ouro%2cCN=Users%2cDC=lab%2cDC=local)
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 9/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
14 – Ainda na mesma tela podemos clicar no sinal de + para expandir as categorias, porém como esse grupo é o que terá
acesso totalmente liberado podemos deixar tudo padrão.
15 – O Default Access desse grupo será Allow. As outras opções são as mesmas da Common ACL, porém marcaremos
somente a opção de Log já que o acesso é ilimitado. Clique em Save.
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 10/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
16 – Agora repetiremos o mesmo processo para criarmos o grupo prata. Não se esqueça de editar o ltro trocando
ldapusersearch ldap://10.1.1.12/DC=lab,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)
(memberOf=CN=ouro%2cCN=Users%2cDC=lab%2cDC=local))
Para
ldapusersearch ldap://10.1.1.12/DC=lab,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)
(memberOf=CN=prata%2cCN=Users%2cDC=lab%2cDC=local))
17 – Na mesma página clicaremos no + para expandir e vamos colocar Deny nas categorias que desejarmos. Se quiser
saber qual site se encaixa em qual categoria basta acessar o site http://www.shallalist.de e pesquisar uma URL ou
veri car a descrição de cada categoria.
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 11/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
18 – Nesse caso o Default Access também é Allow. Dessa forma será liberado tudo que não está contido em uma
categoria com Deny. Para garantir que um site da nossa lista branca não seja bloqueado vamos colocar a lista branca
como Whitelist. Caso você já tenha feito uma lista negra basta colocar Deny na linha correspondente. As outras opções
também são iguais as da Common ACL, aqui poderemos marca-las ou não. Você é quem decide de acordo com sua
realidade.
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 12/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
20 – Volte até a aba General Settings e clique em apply para que todas essas con gurações entrem em vigor. Não se
esqueça desse passo, sempre que alterações forem feitas no SquidGuard devemos faze-lo novamente.
Não se esqueça de distribuir os usuários do seu AD entre os grupos Ouro e Prata para que eles comecem a navegar pelo
Proxy.
Se todos os computadores da sua rede estão logando pelo domínio é possível con gurar o proxy através de GPO, logo
teremos um tutorial sobre isso.
Obrigado pela atenção. Qualquer dúvida, crítica, sugestão ou correção, deixe um comentário, por favor.
Navegação de Post
Pingback: Squid com autenticação local + SquidGuard com categorias no PFSense - MMoraes Soluções
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 13/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
Se ele esta reconhecendo os usuários corretamente pode ser duas causas. Ele não está
reconhecendo que aquele usuário é de um grupo que sofre bloqueios, então você teria q
marcelo disse: revisar os grupo tanto no squidguard quanto no seu AD. Ou você pode veri car nas suas
regras de rewall se está tudo correto para que a navegação saia apenas pelas porta do rewall.
Responder
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 14/15
19/02/2021 Squid com autenticação via LDAP + SquidGuard com categorias no PFSense - MMoraes Soluções
Boa tarde, z toda a con guração conforme consta. Chega a pedir usuário e senha do
proxy, mas não abre as páginas… ca toda hora pedindo usuário e senha! Consegue
João Luiz Marques disse: ter uma ideia do que poderia ser?
Responder
O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *
Comentário
Nome *
E-mail *
Site
Publicar comentário
mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/ 15/15