Review: Endian Firewall
Depois de configurar manualmente diversos servidores linux para clientes com iptables, dhcp, dns, proxy, ntp, entre outros recursos, resolvi que era hora de buscar uma solução prática, rápida, segura, estável e confiável.
Os três principais objetivos desta minha busca foram:
* Pacote completo com tudo que se pode esperar de um firewall para um SMB / SoHo
* Praticidade e facilidade na hora de implementar, permitindo assim delegar a implantação de um firewall para outros técnicos.
* Filtro de conteúdo integrado baseado em Dansguardian
As opções que eu comparei foram:
* Endian
* pfSense
fork do m0n0wall, focado para ser instalado em computadores convencionais, muito bom, mas não tem Dansguardian, usa apenas sistema de blacklist. Baseado em FreeBSD.
* IPCop
Me pareceu uma ótima opção, mas levando em conta os meus objetivos, pecou pelo fato de ser muito “modular”, vem o básico, e para recursos adicionais, é preciso instalar outros módulos, tornando a instalação um pouco mais demorada e pouco complexa.
Até onde eu vi, o módulo do dansguardian é meio no estilo “gambiarra”.
* m0n0wall
Ver pfSense, mas basicamente a diferença é que este é feito para instalar em dispositivos menores.
* ClarkConnect
Não testei, apenas citei para ficar como referência futura. Apesar de possuir o Dansguardian, em um primeiro momento ele me pareceu que a versão free é reduzida perto da versão enterprise, limitando demais o seu uso.
Ok, o que é o Dansguardian?
Bem, para quem nunca ouviu falar, o Dansguardian é um sistema de filtragem web diferente da tradicional filtragem por blacklist, onde cria-se uma lista de sites que são bloqueados (considero meio ineficaz).
O DG, filtra o real conteúdo do site, grosseiramente falando, ao acessar uma página, ela primeiro passa pelo dg, que por sua vez lê todo o conteúdo buscando por palavras-chave, cada palavra encontrada, recebe um score, no final, o dg soma o score da página, e se esta ultrapassar o limite, o site passa a ser bloqueado.
Geralmente funciona bem, claro que ocorrem alguns “falso-positivos”, mas por este motivo que existe uma white list.
A beleza desta ferramenta é que ela faz os bloqueios dinamicamente. Por exemplo, com os ajustes do meu firewall, os meus users podem acessar o hi5 e ver diversos perfis “normais”, mas quando acessam um perfil mais “picante”, acabam tendo o acesso bloqueado.
Claro que não é a solução definitiva, alguma coisa ainda vai acabar passando, mas de uma forma geral, este método funciona bem.
Para maiores informações, visite o site do Dansguardian.
Voltando ao Review do Endian Firewall
Agora que um dos principais “features” do Endian Firewall foi explicado, posso retornar ao meu review.
Não tenho como começar o Review sem antes falar propriamente da solução “Endian”.
O Endian possuí diversos “sabores” entre Software e Hardware. De forma resumida:
Versões de Software:
Versão comunidade, gratuita, faltando alguns recursos interessantes como gerenciamento de hotspot, backups agendados e centralizados, etc.., estes recursos podem ficar de lado para um SoHo / SMB, pois é uma versão bem completa. Esta é a versão foco do review.
5-10 Users: Alguns recursos além da comunity mas ainda tem coisas cortadas.
25+ Users: todos os recursos disponíveis
Hardware: Possuí vários appliances, variando basicamente entre capacidade, tamanho, forma, cores e quantidade de portas. (Lembrando que a quantidade de portas não é o limite de quantos computadores podem ser ligados, e sim de quantas redes podemos ter ligadas ao appliance, bastando apenas “Cascatear” um switch em cada porta)
Um fator interessante das versões pagas é a questão de suporte do fabricante, garantindo assim uma solução mais rápida de problemas para empresas maiores que não podem parar, ou que sabiamente exigem este tipo de recurso em produtos adquiridos.
Uma grade com todos os features das versões:
Comparação completa aqui
Recursos interessantes e relevantes:
(Lembrando que a partir de agora, falarei somente sobre a versão community)
* Interface web limpa, rápida, e intuitiva
Firewall:
* Até 4 redes diferentes, separadas pelo sistema de cores Green (rede local), Red (WAN), Orange (DMZ), Blue (Wireless)
* Firewall baseado em iptables, gerenciamento simples e eficiente, tanto para saída, como entrada e entre redes diferentes, garantindo um plus na segurança.
* NAT, SNAT, DNAT, “port forward”, de forma intuitiva e simples
Segurança Web:
* proxy transparente para FTP
* Antivirus para sites e arquivos baixados
* bloqueios e filtros de arquivos
* blacklists prontas para diversas categorias
* Dansguardian para controle de conteúdo mais eficiente (pegando o que as blacklists não pegaram)
* Proxy transparente (squid)
* Proxy autenticado (squid) (local, ldap, radius, Active Directory)
* Controle de acesso por horário (bloqueia sites “não profissionais” durante o horário de trabalho e libera a noite)
* Controle de acesso por grupos
Segurança de E-mails:
* Anti-Spam com Bayes e registros SPF
* Proxy transparente para pop3, imap e smtp
* Black/White Lists
* Mail forward transparente (bcc). Exemplo, todos os emails enviados de ou para helpdesk@empresa.com passam a enviar uma cópia automagicamente para supervisor@empresa.com. ou todo o tráfego de emails da empresa, ser “copiado” de forma oculta para uma conta específica de backup ou auditoria.
VPN (virtual private network)
* OpenVPN e IPSec
* autenticação por usuário/senha e/ou por chaves.
* Simples e sem mistério, precisando apenas de 3 ou 4 cliques
* VPN entre duas redes remotas, interligando escritórios, ou entre um cliente (roadwarrior) e o servidor.
* “Push” de rotas e requests de dns.
Multi-Wan Com failover
* Suporta ligar dois ou mais links de operadoras diferentes, caso o link primário fique fora do ar, automagicamente passa para o link de reserva.
Logs, estatísticas, IDS e relatórios
* IDS (Snort) integrado
* ntop para estatísticas detalhadas de tráfego.
* estatísticas e gráficos de tráfego de cada interface (rede), sistema (cpu, memoria, etc), envio e recebimento de emails, pageviews e estatísticas obtidas do squid.
* logs via web do squid, dansguardian, firewall, postfix, clamAV
* Apesar da versão Community não ter relatórios detalhados de navegação(exclusivo para versão comercial), é possível instalar o SARG no Endian Community, O visitante Anderson Rosa enviou a dica com todos os passos. Confira aqui.
* Syslog local e remoto
Backup e gerenciamento
* Backup e restauração via web, em teoria possibilitando “clonar” rapidamente o servidor principal em caso de pane da máquina. (Ou em caso de “mancada administrativa” hehehe)
* Gerenciamento via SSH, Console e Web usando SSL.
Requisitos de Hardware:
Para uma rede pequena de aproximadamente 25 usuários:
Para uma rede de aproximadamente 50 usuários:
O objetivo deste artigo não foi o de convencer o meu leitor a adotar esta solução, apenas de expor o produto e a forma como ele atendeu as minhas necessidades. Claro que existem muitas outras opções “in a box” além das que eu citei no início do artigo, e todas elas possuem as suas vantagens e desvantagens. Se você está procurando uma solução do gênero, recomendo que teste pelo menos as que eu citei para ver qual atende melhor as suas necessidades.
Espero ter ajudado de alguma forma.
Posts Relacionados:
You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
Nos testes que fiz parece que o webmail gmail não chama o processo clamd no momento de anexar o arquivo, assim o proxy solicita usuário e senha nesse momento e fica uma eternidade processando.
Isso não ocorre com os webmails yahoo e hotmail.
Vai entender…
[]’s
Existem algumas categorias em vermelho sem a possilidade de ser marcadas para verde em Filter pages known to have content of the following categories. (URL Blacklist)
Pergunto: É assim mesmo? Tem algum local para editar os sites black?
Já ví que tem uma solicitação de correção desse bug
André desculpe a longa demora para responder os seus comentários, novamente andei viajando e não consegui te responder a tempo.
- Blacklist/Whitelist – Já havia reparado neste pequeno detalhe, mas acabei não indo atrás dele. Talvez saia um fix na próxima versão.
- De qualquer forma você pode editar uma blacklist global pela própria interface web, caso queira editar os arquivos manualmente, você pode editar via ssh.
- Attachments em webmail: O problema que eu havia percebido era com proxy transparente + exchange, os attachments não funcionavam corretamente. (mas isto já é relacionado direto com o squid.)
- No caso do aplicativo que você falou anteriormente que não suporta configuração de proxy, recomendo que você libere no firewall acesso para o “destino” que o aplicativo tenta alcançar na porta 80, desta forma o aplicativo irá funcionar normalmente e o usuário mesmo desmarcando as configurações do proxy não irá conseguir escapar dos bloqueios.
[]’s
Olá Eduardo, tudo bem? Preciso liberar o acesso a FTP na minha empresa, mas ainda não consegui. Já fiz o que eu encontrei (pesquisa), mas não acessa, via cliente FTP não conecta e nem via IE (trava o IE). Por onde eu devo começar para liberar o acesso ao FTP?
Grande abraço.
Olá Thiago, fazia tempo que você não passava por aqui hein?
como vai você? tudo bem por aí?
Quanto ao FTP, este é um protocolo chato, tão chato quanto o protocolo SIP….
Apenas para você ter idéia do funcionamento dele, selecionei este link que explica por alto como funciona o ftp.
Bem, como primeira alternativa (e mais recomendada) eu diria para configurar o seu cliente FTP para modo passivo e para utilizar proxy, desta forma o problema deveria ser solucionado.
A segunda solução é seguir o indicado no KB do endian, apenas observe que no KB o autor recomenda liberar um range de portas, ao fazer isso, outros protocolos (como os de p2p) podem ser utilizados, portanto use com moderação.
Caso esteja tentando utilizar o FTP para um destino em específico, libere este range apenas para o ip do servidor remoto.
[]’s e bom fds.
Eduardo
Como faço para acessar esse tutorial do Sarg, está com o link quebrado!
Apesar da versão Community não ter relatórios detalhados de navegação(exclusivo para versão comercial), é possível instalar o SARG no Endian Community, O visitante Anderson Rosa enviou a dica com todos os passos. Confira aqui.
Olá Ygor,
O permalink do comentário era no engine anterior do blog, quando migrei o sistema do blog, estes permalinks foram sacrificados. O funcionamento dos links de comentários do b2evolution e wordpress são totalmente distintos.
Se eu não me engano, o tutorial do Sarg está na primeira segunda ou terceira página de comentários.
[]’s
Olá Eduardo, tudo bem sim. Grato mais uma vez, vou testar aqui o modo mais recomendado que você sitou. A princípio devo usar o filezilla na minha empresa (com Endian).
O que eu pretendo fazer é disponibilizar para cada cliente um acesso ao FTP da empresa dele (cada empresa terá uma conta FTP), meu plano de hospedagem dispõe de muitos GB e contas FTP ilimitadas. É algo “provisório” (a princípio), o cliente deverá colocar as notas fiscais eletrônicas no FTP e pegamos pelo escritório. Provavelmente muitos clientes deverão acessar via IE (no escritório é quase proibido usar o IE, rsrsrs, só firefox, mas sabe como é alguns site do governo, só funciona com o IE, aí não tem jeito) que seria mais fácil, mas vou montar um mini tutorial para usar o filezilla.
Posto aqui se deu certo.
Grande abraço.
Olá Thiago,
Mas então o FTP server irá ficar na sua rede “orange” certo? Bem, neste caso, esqueça as opções que eu falei, achei que você estava tentando acessar um FTP externo.
Se o seu ftp server for dentro da rede Orange, defina o seguinte:
(Exemplo proftpd)
Edite o arquivo de configuração e limite as portas de dados para um intervalo conhecido exemplo:
“PassivePorts 20000 a 20020″
Agora no firewall redirecione/libere as portas 20,21 e 20000 a 20020 para o seu servidor FTP
Não esqueça de configurar o cliente FTP como modo passivo.
[]’s
Não, o FTP é externo mesmo. Não consigo acesso pelo filezilla, e via IE ele trava o IE e o Ruindão tb…
Thiago, então segue o que eu falei no outro comentário (esqueça o último) que deve funcionar.
[]’s
Olá Eduardo, ainda não consegui acesso ao FTP nos horas com as regras de bloqueio. Tenha aqui um horário de acesso livre a internet, aí funciona.
No filezilla dá esse erro:
Status: Decidindo o endereço do http://ftp.exemplo.com.brStatus: Conectando com xx.xx.xx.xxx:21...
Status: Conexão estabelecida, esperando a mensagem de boas vindas...
Resposta: 220---------- Welcome to Pure-FTPd [TLS] ----------
Resposta: 220-You are user number 2 of 50 allowed.
Resposta: 220-Local time is now 08:10. Server port: 21.
Resposta: 220-This is a private system - No anonymous login
Resposta: 220-IPv6 connections are also welcome on this server.
Resposta: 220 You will be disconnected after 15 minutes of inactivity.
Comando: USER teste@exemplo.com.br
Resposta: 331 User teste@exemplo.com.br OK. Password required
Comando: PASS ***************
Resposta: 230-User teste@exemplo.com.br has group access to: contab
Resposta: 230-OK. Current restricted directory is /
Resposta: 230 9 Kbytes used (0%) - authorized: 51200 Kb
Status: Conectado
Status: Recuperando a listagem de pastas...
Comando: PWD
Resposta: 257 "/" is your current location
Comando: TYPE I
Resposta: 200 TYPE is now 8-bit binary
Comando: PASV
Resposta: 227 Entering Passive Mode (192,168,0,250,196,115)
Status: O servidor enviou uma resposta passiva com um endereço não-roteável. Usando o endereço do servidor em vez deste.
Comando: LIST
Erro: O tempo da conexão se esgotou
Erro: Falhou em recuperar a listagem de diretórios
[Comentário editado para remover dados pessoais dos logs]
Thiago,
Tente as opções que eu informei no outro comentário. Este erro é exatamente o que eu havia apontado anteriormente.
Libere as portas mencionadas no KB do endian apenas para o destino “ftp.exemplo.com.br”
Cpts
boa tarde saiu a nova versão do endian dia 27/10/2009 sabe se esta versão eu posso colocar em produção?????
William, esta é a versão de final e pode ser colocada em produção.
boa tarde uma outra duvida é sobre a memoria ram eu coloquei 1 gb total e 500mb para o squid só que eu vejo que esta em uso 38% em uso só que depois de um ou 2 dias sem desligar eu vejo que fica entre 98% e 90% e swap 64 isso é normal aumentar tanto?????? …. hoje eu vou colocar 2gb de ram posso deixar 1gb para o squid?????
William,
Este comportamento é normal no Linux, resumindo de uma forma simples, quando existe memória RAM disponível, o Linux faz cache de arquivos abertos na memória, tornando o acesso a estes muito mais rápido.
1GB já tá mais do que bom, não precisa aumentar para 2 não, a não ser que você tenha uma grande quantidade de usuários.
caso esta versão nova do endian ja de para colocar em produção, tem como atualizar da 2.2 para 2.3 sem formatar??????
Cadastre-se em http://www.endian.com/en/community/efw-updates/ e você receberá um email contendo informações sobre como atualizar o seu Endian.
Recomendo que faça um backup completo do seu disco antes de atualizar.
De qualquer forma, acho que era mais interessante formatar e instalar a nova versão do zero
O script de update do endian para a versão 2.3 ainda não funciona. Você pode acompanhar o bug: http://bugs.endian.it/view.php?id=2323
Realizar um backup na versão 2.2 e restaurar na versão 2.3 não irá funcionar.
Você tem duas alternativas:
1- Esperar que implementem o script de update para a versão 2.3
2- Instalar do zero o Endian 2.3
[]’s
haaa uma outra pergunta o meu pc aguenta 4 pentes de 1GB 533Mhz,totalizando 4GB…. mas quanto de memoria o endian reconhece???? futuramente pretendo chegar nesses 4GB e deixar uns 3GB para o squid
William, acho que você está fazendo uma pequena confusão sobre o funcionamento do squid
Pode obter mais informações em: http://www.squid-cache.org/
[]’s
na pergunta anterir eu só queria saber se caso o meu pc tiver 4gb de memoria ram e eu instalar o endian por exemplo…. o endian reconhece os 4gb de memoria ram???? o windowns XP reconhece só 3Gb..
Bom dia amigo.
Pelo que vi voce sabe muito sobre o endian firewall
meu problema é o seguinte
uso endian nas duas pontas …ou seja cada empresa utilizo o endian precisa fazer uma VPN entre elas.
só que o meu ip externo é dinamico.
poderia me dar alguma dica ou ate mesmo me passar seu contato
se puder me ajudar se me passa o valor agente faz tudo…
preciso URGENTE..
valeu amigo
Tenha um bom dia.
meu msn [EDIT]
valeu
Edit: Comentário editado para proteger dados pessoais
Olá Bruno,
Nem sei tanto assim, apenas gosto de ajudar os meus leitores.
Quanto ao seu problema, experimente criar uma conta no no-ip.com ou dyndns.org e configurar no seu endian. Com isto você ultrapassa o problema de ter um ip dinâmico.
Para configurar uma conta de dns dinâmico no endian, vá em Services\Dynamic DNS.
Você pode encontrar mais sobre o assunto em: http://www.guiadohardware.net/dicas/servicos-dns-dinamico.html
[]’s
tem como vc me passar o seu contato?
obrigado
Bruno,
Estou fora do Brasil por tempo indeterminado, entretanto respondo a dúvidas nos comentários do blog.
[]’s
seguinte então…
consigo estabelecar conexão na vpn mas como na maquina windows enxergo a outra rede.
vou te dar o passa a passo da rede.
preciso interligar duas concessionarias.
pois uso velox e o io externo é dinamico.
registrei o dyndns mas pede um dominio.
nao sei o que fazer.
outr coisa consigo conectar na outra loja pelos endian só que nao sei como
na maquina windows enxergar a outra como se estivesse na mesma..
o que devo fazer?
obrigado
Bruno,
Depois de estabelecer a VPN entre as duas unidades, você consegue pingar diretamente de uma estação para a outra?
Importante lembrar que a rede green das duas localidades remotas devem ter ranges de ips distintos.
Ola Eduardo, sou novo no mundo linux…e pelo que estou lendo o endian seria uma boa opção para servidor de uma pequena empresa….vou instalar e tentar configura-lo gostaria de saber se posso contar com sua ajuda…desde ja agradeço…..
matheus
Matheus,
Caso tenha algum problema, passe por aqui que eu te ajudo.
[]’s
Amigo,
Como vai?
Para te dar uma novidade. Vou ter uma Endian já. Assim pode ser que tenhas mais desculpas para falar comigo … lol
Agora a sério, vamos começar a testar (não é que precise de ser testado) a Endian. Fica atento
Abraço
Miguel!!!!!!
Não precisa usar o Endian como desculpa para falarmos hahaha, vamos comer uma pizza hoje (ou amanhã, como ficar melhor para você), levamos papel e caneta para botar as fofocas em dia e também para discutir sobre o assunto.
ps: Hoje tem a promoção da pizza Dupla no Pirata
Grande abraço!
Olá Eduardo, eu acabo de atualizar o Endian no escritório em que trabalho, gostaria de saber se é possível modificar as páginas de ERRO e Negadas “Access has been denied”, em relação ao SARG, não achei o passo-a-passo por aqui.
Um forte abraço e agradeço sua ajuda.
Olá Fábio! Tudo bem?
Já abordei os dois assuntos nos comentários deste post. Se eu não me engano o passo a passo do do sarg está na segunda ou terceira página de comentários. (Não sei se vai funcionar na versão 2.3) Se testar, por favor, avise
Quanto as páginas de erro e acesso negado, também estão na segunda ou terceira página. Infelizmente o search ainda não procura nos comentários, mas vou corrigir isso nos próximos dias.
Tente localizar passando as páginas de comentários, caso não consiga eu ajudo a procurar.
ps: manda um feedback se conseguiu utilizar o sarg na 2.3.
[]’s
Olá Eduardo, estive viajando. Bem, resolvi o probleminha do FTP graças a sua ajuda (como sempre). Tava tudo OK aqui, depois que eu dia caiu a força em SP (o apagão da Itaipu), os nobreaks aguentaram até quando deu, mas no outro dia liguei e tava tudo OK. Ontem quando fui acessar via VPN não conetou, para aqui:
Thu Nov 12 18:26:14 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Thu Nov 12 18:26:20 2009 IMPORTANT: OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Nov 12 18:26:20 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Nov 12 18:26:20 2009 LZO compression initialized
Thu Nov 12 18:26:20 2009 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Nov 12 18:26:20 2009 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Nov 12 18:26:20 2009 Local Options hash (VER=V4): ‘d79ca330′
Thu Nov 12 18:26:20 2009 Expected Remote Options hash (VER=V4): ‘f7df56b8′
Thu Nov 12 18:26:20 2009 UDPv4 link local: [undef]
Thu Nov 12 18:26:20 2009 UDPv4 link remote: 000.00.00.00:1194 (mudei o IP)
E não conecta…
Tem idéia do que pode ser?
Grato.
Abraço…
Olá Thiago, tudo bem? vira e mexe você está por aqui
Que bom que você conseguiu resolver o FTP, apenas por curiosidade, qual foi a solução que funcionou?
Sabe que eu ouvi sobre o apagão só hoje? hahahah ando tão enterrado no trabalho que nem tenho tempo de conferir as notícias que saem na terrinha. Diz que a coisa foi feia pro lado de São Paulo….
Bem, quanto ao problema citado:
Hum este log é do cliente certo? não tem mais nenhuma linha embaixo? até a última linha colada está tudo em ordem o WARNING é apenas um aviso e não é a causa do problema.
Do lado do servidor, aparece algum log? Se não aparece nada, pode ser uma regra de liberação do firewall no “system access” porta 1194 udp. Verifique se esta porta está liberada para a internet
Se mesmo assim não estiver, verifique os logs do servidor e tente ver se aparece algo mais no lado do cliente.
[]’s
Puxa, o FTP parou de funcionar tb.
Foi feia a coisa… o pior é que técnicos do IMPE desmentiram o “Gorverno” sobre causas do “apagão”… Nossa, saiu na impresa estrangeira e tudo…rsrsrsrs
Sim, esse é o erro no cliente… e para aí mesmo.
Vou verificar o Logs do servidor e se tiver algo posto aqui.
Caso não funcione, tava pensando em reinstalar e recuperar o backup, antes do apagão tava tudo OK, tudo funcionando.
Mais uma coisinha, a atualização para a nova versão está funcionando? Compensa ou é melhor ficar nesta mesmo.
Abraço. Até breve.
Thiago,
Não reinstale o servidor, verifique primeiro os logs do lado do servidor e se o firewall (system access) está liberando acesso.
[]’s
Eduardo, não sei o que de fato ocorre. Meu irmão tb usava VPN o cliente dele é versão mais nova que o meu e tb para no mesmo local. Já verifiquei o no-ip está tudo OK.
Quanto ao firewall (system access) que vc mencionou, eu não havia configurado nada e estava funcionando a VPN, configurei agora e nada.
Vou verificar o logs do endian e posto aqui. Estranhamento o FTP que estava funcionando tb parou, agora preciso ficar até mais tarde na empresa, preciso “consertar” a VPN…
Tudo o que estou verificando e vou anotando. Configurei a VPN novamente, e nada… Instalei novamente o firewall.pem no cliente e nada. Começou depois do apagão, o nobreak dele acabou a autonomia e aí ele desligou errado não é? Será que pode ser isso?
Desde já grato pela ajuda.
Logs do último dia que tentei o acesso pela VPN
Nov 12 18:22:09 local OpenVPN 2.1_rc7 i586-endian-linux [SSL] [LZO2] [EPOLL] built on May 13 2008
Nov 12 18:22:09 local WARNING: file ‘/var/efw/openvpn/pkcs12.p12′ is group or others accessible
Nov 12 18:22:09 local WARNING: This configuration may accept clients which do not present a certificate
Nov 12 18:22:09 local TUN/TAP device tap1 opened
Nov 12 18:22:09 local GID set to openvpn
Nov 12 18:22:09 local UID set to openvpn
Nov 12 18:22:09 local UDPv4 link local (bound): [undef]:1194
Nov 12 18:22:09 local UDPv4 link remote: [undef]
Nov 12 18:22:09 local Initialization Sequence Completed
Nov 12 18:30:15 local event_wait : Interrupted system call (code=4)
Nov 12 18:30:15 local OpenVPN CLIENT LIST
Nov 12 18:30:15 local Updated,Thu Nov 12 18:30:15 2009
Nov 12 18:30:15 local Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
Nov 12 18:30:15 local ROUTING TABLE
Nov 12 18:30:15 local Virtual Address,Common Name,Real Address,Last Ref
Nov 12 18:30:15 local GLOBAL STATS
Nov 12 18:30:15 local Max bcast/mcast queue length,0
Nov 12 18:30:15 local END
Nov 12 18:30:15 local event_wait : Interrupted system call (code=4)
Nov 12 18:30:15 local SIGTERM[hard,] received, process exiting
Nov 12 18:30:16 local OpenVPN 2.1_rc7 i586-endian-linux [SSL] [LZO2] [EPOLL] built on May 13 2008
Nov 12 18:30:16 local WARNING: file ‘/var/efw/openvpn/pkcs12.p12′ is group or others accessible
Nov 12 18:30:16 local WARNING: This configuration may accept clients which do not present a certificate
Nov 12 18:30:16 local TUN/TAP device tap1 opened
Nov 12 18:30:16 local GID set to openvpn
Nov 12 18:30:16 local UID set to openvpn
Nov 12 18:30:16 local UDPv4 link local (bound): [undef]:1195
Nov 12 18:30:16 local UDPv4 link remote: [undef]
Nov 12 18:30:16 local Initialization Sequence Completed
Nov 12 18:30:28 local event_wait : Interrupted system call (code=4)
Nov 12 18:30:28 local OpenVPN CLIENT LIST
Nov 12 18:30:28 local Updated,Thu Nov 12 18:30:28 2009
Nov 12 18:30:28 local Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
Nov 12 18:30:28 local ROUTING TABLE
Nov 12 18:30:28 local Virtual Address,Common Name,Real Address,Last Ref
Nov 12 18:30:28 local GLOBAL STATS
Nov 12 18:30:28 local Max bcast/mcast queue length,0
Nov 12 18:30:28 local END
Nov 12 18:30:28 local event_wait : Interrupted system call (code=4)
Nov 12 18:30:28 local SIGTERM[hard,] received, process exiting
Nov 12 18:30:28 local OpenVPN 2.1_rc7 i586-endian-linux [SSL] [LZO2] [EPOLL] built on May 13 2008
Nov 12 18:30:28 local WARNING: file ‘/var/efw/openvpn/pkcs12.p12′ is group or others accessible
Nov 12 18:30:28 local WARNING: This configuration may accept clients which do not present a certificate
Nov 12 18:30:28 local TUN/TAP device tap1 opened
Nov 12 18:30:28 local GID set to openvpn
Nov 12 18:30:28 local UID set to openvpn
Nov 12 18:30:28 local UDPv4 link local (bound): [undef]:1195
Nov 12 18:30:28 local UDPv4 link remote: [undef]
Nov 12 18:30:28 local Initialization Sequence Completed
Nov 12 19:22:13 local event_wait : Interrupted system call (code=4)
Nov 12 19:22:13 local OpenVPN CLIENT LIST
Nov 12 19:22:13 local Updated,Thu Nov 12 19:22:13 2009
Nov 12 19:22:13 local Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
Nov 12 19:22:13 local ROUTING TABLE
Nov 12 19:22:13 local Virtual Address,Common Name,Real Address,Last Ref
Nov 12 19:22:13 local GLOBAL STATS
Nov 12 19:22:13 local Max bcast/mcast queue length,0
Nov 12 19:22:13 local END
Nov 12 19:22:13 local event_wait : Interrupted system call (code=4)
Nov 12 19:22:13 local SIGTERM[hard,] received, process exiting
Nov 12 19:22:13 local OpenVPN 2.1_rc7 i586-endian-linux [SSL] [LZO2] [EPOLL] built on May 13 2008
Nov 12 19:22:13 local WARNING: file ‘/var/efw/openvpn/pkcs12.p12′ is group or others accessible
Nov 12 19:22:13 local WARNING: This configuration may accept clients which do not present a certificate
Nov 12 19:22:13 local TUN/TAP device tap1 opened
Nov 12 19:22:13 local GID set to openvpn
Nov 12 19:22:13 local UID set to openvpn
Nov 12 19:22:13 local UDPv4 link local (bound): [undef]:1194
Nov 12 19:22:13 local UDPv4 link remote: [undef]
Nov 12 19:22:13 local Initialization Sequence Completed
Thiago, de acordo com o log informado, não ocorreu nenhuma tentativa de conexão. Crie a regra no system access conforme eu informei anteriormente.
Certo, vou fazer conforme você explicou. Será algo com o no-ip? Eu verifiquei lá e está tudo OK, número do IP, etc. Cheguei até verificar lá (no-ip) e colocar o IP manuualmente no cliente VPN e nada.
O FTP tá funcionando, fiz novamente a configuração através no firewall >> system access liberando a faixa de portas conforme descrito no site do endian que vc postou o link. Funciona via cliente FTP belezinha.
Thiago,
O FTP é no Outgoing Firewall, a VPN que é no System Access. (udp 1194)
Você também pode utilizar o tcpdump do lado do endian para observar a tentativa de conexão.
[]’s
olá Eduardo, ainda não cosnegui resolver o problema da VPN. Bem, tentei conectar da minha casa (não consegui), mas acho que agora peguei o logs:
Nov 23 13:58:40 local event_wait : Interrupted system call (code=4)
Nov 23 13:58:40 local OpenVPN CLIENT LIST
Nov 23 13:58:40 local Updated,Mon Nov 23 13:58:40 2009
Nov 23 13:58:40 local Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
Nov 23 13:58:40 local ROUTING TABLE
Nov 23 13:58:40 local Virtual Address,Common Name,Real Address,Last Ref
Nov 23 13:58:40 local GLOBAL STATS
Nov 23 13:58:40 local Max bcast/mcast queue length,0
Nov 23 13:58:40 local END
Nov 23 13:58:40 local event_wait : Interrupted system call (code=4)
Nov 23 13:58:40 local SIGTERM[hard,] received, process exiting
Nov 23 13:58:40 local OpenVPN 2.1_rc7 i586-endian-linux [SSL] [LZO2] [EPOLL] built on May 13 2008
Nov 23 13:58:40 local WARNING: file ‘/var/efw/openvpn/pkcs12.p12′ is group or others accessible
Nov 23 13:58:40 local WARNING: This configuration may accept clients which do not present a certificate
Nov 23 13:58:40 local TUN/TAP device tap1 opened
Nov 23 13:58:40 local GID set to openvpn
Nov 23 13:58:40 local UID set to openvpn
Nov 23 13:58:40 local UDPv4 link local (bound): [undef]:1194
Nov 23 13:58:40 local UDPv4 link remote: [undef]
Nov 23 13:58:40 local Initialization Sequence Completed
Thiago,
Este é o log do OpenVPN, entretanto não mostra nenhuma tentativa de conexão!
Pelo que eu estou observando eu realmente acredito que o seu firewall de entrada (System Access) não tem a liberação da porta 1194/udp. Se tivesse, apareceria alguma coisa no log do openvpn!
Experimente utilizar o tcpdump para monitorar a sua tentativa de conexão, Neste tópico eu explico como utiliza-lo: http://linux.eduardosilva.eti.br/canivete-suico-para-redes
Puxa, preciso resolver isso. temos trabalhado até mais tarde, e não é pelo trabalho e sim pelo perigo de ser assaltado saindo a noite em horário de rua não movimentada. Com a VPN os funcionário podem trabalhar de casa, e tenho como verificar o que eles fizeram nos sistema contábil e pagar as horqas extras.
Thiago,
Eu sei que a VPN realmente ajuda para trabalhar remotamente, leia o meu comentário anterior onde explico o que você deve testar.
[]’s
Certo, vou testar, obrigado. Só acho estranho que antes do apagão estava funcionando perfeitamente e quando configurei o VPN não foi preciso liberar nada em firewall de entrada (System Access). Mas vou liberar aqui para ver se dá certo.
Grato pela atenção.
Bom dia Edu,
Algum passo a passo para funcionar o programa CONECTIVIDADE SOCIAL da Caixa E.F.?
Rocha,
Desculpe pela demora em responder mas estou viajando pelo interior de Moçambique e meu acesso a internet por aqui é bem limitado.
Bem, o conectividade social tem alguns problemas com o squid, para resolver, basta você “desviar” este site por fora do proxy transparente/proxy autenticado.
Em outgoing firewall, crie uma regra liberando o acesso aos ips 200.201.173.68, 200.201.166.200, 200.201.174.204, 200.201.174.207 nas portas 80 e 443.
Após isto, no navegador do cliente, configure para não utilizar proxy para o endereço *.caixa.gov.br
Caso não funcione, ou funcione apenas as vezes, verifique se cmt.caixa.gov.br aponta para um dos ips listados acima.
[]’s
Gostaria de saber como configurar o Endian 2.3.0, para acessar corretamente a Conectividade Social da Caixa Ecomica Federal. E também gostaria de saber se existem um tutorial em portugues desta ferramenta.
Atenciosamente,
Flávio Divino.
Olá Flavio,
Respondi a pouco tempo (menos de 1hra) um comentário exatamente sobre a Conectividade Social. Leia os comentários anteriores e você irá encontrá-lo.
[]’s
Eduardo, cara instalei hoje o endian 2.3 fiz todas as configurações, só que estou com um problema, quando deixo o proxy transparente não consigo acessar nada, já revirei as configurações mas, não acho onde estou errando, vc pode me ajudar?
Valew
Aparece alguma mensagem em /var/log/squid/access.log e /var/log/squid/cache.log ?
Qual mensagem de erro que aparece exatamente no navegador do cliente?
Se configurar o navegador do cliente para utilizar proxy, você consegue navegar?
[]’s
wellington,
O meu só funcionou qdo criei “Access Policy” e nele apontei o “Filter profile”.
Vc fez isso ja?
Edu,
“navegador do cliente, configure para não utilizar proxy para o endereço *.caixa.gov.br”
Mesmo sendo “TRANSPARENTE PROXY” ?
Se for proxy transparente, não precisa realizar esta configuração
Olha Eduardo, até fiquei com vergonha… rs, pois a resposta estava acima da minha pergunta.
Mas muito obrigado e valeu pela sua atenção.
hahaha, Flavio fica tranquilo
Acontece… A forma como eu tenho dado suporte aqui no blog não está muito boa, procurar em comentários não é uma tarefa muito simples, estou pensando em redesenhar o blog em janeiro de 2010 para facilitar um pouco as coisas
[]’s
[...] Review: Endian Firewall [...]
Fala Eduardo, cara tenho acompanhado seus posts e tô vendo que vc é o cara do Endian, então pra não perder a oportunidade lá vai o meu problema.
É o seguinte instalei o endian 2.3 em um máquina virtual e coloquei no mesmo range da minha rede, configuração tudo direitinho, o proxy não está transparente, mas quando tento acessar qualquer site (qualquer mesmo) aparece a bendita mensagem de “Access Denied”, já estou ficando com os cabelos branco aqui (literalmente), o que pode ser? Se faltou alguma informação é só avisar.
Abraço
Sergio,
O Endian não é desenhado para funcionar desta forma, apesar de poder funcionar assim….
Você está usando qual interface para comunicar com a rede local? verifique se é a interface GREEN, Isto é muito importante
De qualquer forma, a mensagem de Access Denied do endian normalmente vem acompanhada de uma mensagem explicando o motivo, o que ela aponta? O que dizem os logs?
[]’s
Boa noite Eduardo, em primeiro gostaria de dar os parabens pelo site, tem muito conteudo otimo e também gostaria de agradecer pela indicação do endian, a algum tempo eu vi ele porem não conhecia ninguem que usava ele por isso fui para o lado do bfw (www.brasilfw.com.br) mas agora definitivamente vou testar e colocar em produção no meu escritorio e nos clientes o ENDIAN.
Grande abraço
Obs se puder add no msn fico agradecido.
PÔ, Podias ter perguntado quando eu ainda estava no Cassino, passei até pela tua casa! (Não associou o nome a pessoa? Sou o Harris)
Cara, pode abraçar o Endian, é uma solução bem completa e o controle de conteúdo dele é muito bom não vais te arrepender.
Depois eu preciso falar contigo, tenho 2 sites que precisam de um novo layout…. Vou te escrever com tempo mais tarde.
[]’s
E ai Harris claro que liguei o nome a pessoa, obrigado pela resposta do post, mais tenho uma duvida referente ao endian que é se ele tem autenticação no squid pois estou precisando de uma solução para controle de internet.
Obs: se possivel me add no msn para conversarmos melhor falei com a camila e ela me disse que vc ja tinha ido viajar.
Olá Anderson,
Você pode utilizar o Endian com autenticação sim, você pode fazer a gestão dos usuários pelo próprio Endian ou integrar com uma base de usuários externa (Active Directory por exemplo).
Entro muito pouco no msn, é mais fácil conversar por aqui.
[]’s
Eduardo tenho tentado de todas as formas colocar o Endian integrado com Active Directory mas não estou conseguindo… Você poderia me dar uma força postando um tutorial passo a passo? Vlw
Paulo Rocha
Paulo você está utilizando qual versão do Endian?
Está tentando autenticar no Active Directory usando NTLM ou LDAP?
Tens algum Log ou mensagem de erro?
[...] do meu blog a receita para fazer o sarg funcionar no Endian. Está nos comentários do post http://linux.eduardosilva.eti.br/review_endian_firewall (se eu não me engano, numa das 3 primeiras páginas de [...]
boa noite eduardo tenho o endian 2.3 no meu provedor de internet o pessoal esta me reclamando que não conseguem acessar bate papos como faço para liberar se possivel de detalhes.
William, sua pergunta ficou muito vaga…. quais bate papos? msn? webchat? jabber?
Por favor informe maiores detalhes. Incluindo como você configurou o seu proxy…. (transparente, autenticado, controle de conteúdo, anti-vírus, etc…)
[]’s
Olá Eduardo. Estou procurando por um servidor firewall e me deparei com o Endian, me parece ser um otima solução que preenche as minhas necessiades. Pretendo instalar o mesmo em uma empresa onde possui cerca de 20 computadores. Na realidade a minha duvida inicial não é assunto técnico, gostaria de saber qual seria um valor justo a ser cobrado para a instalalaçao e configuracao do mesmo em um cliente. Quantas horas eu possivelmente usarei para realizar a instalação e configuração completa do mesmo ?
Muito obrigado, vou fazer alguns testes de instalação e configuração, assim, caso eu possua algo mais a acrescentar o farei posteriormente.
Grato.
Olá Osvaldo,
Pergunta meio complicada esta hein? Depende muito de como você costuma cobrar pelos seus serviços….
Bem a instalação e configuração pode inicial levar de 30 minutos até algumas horas, tudo depende de até onde você quer chegar.
A minha sugestão é cobrar por um pacote, cobrar um valor fixo para realizar o serviço, mas tem que caprichar
Alguns clientes preferem pagar por hora técnica, outros por empreitada, tente sondar o seu cliente para descobrir qual maneira que ele acha mais confortável.
[]’s
Bom dia Eduardo Silva,
Estou tendo uma dificuldade aqui na empresa, onde coloquei o ENDIAN, e neste está com 3 placas de REDE, uma delas está entrando o WIRELESS, e como no momento do SETUP ele obrigou a mudar a faixa de IP, a faixa de IP do Wireless ficou 192.168.2.0/24 e a REDE LOCAL ficou 192.168.9.0/24, os micros que se conectam pelo WIRELESS, ficou com seus IPs na faixa 192.168.2.0/24, e gostaria que estas máquinas enchergassem os micros que estão na REDE-LOCAL 192.168.9.0/24, como poderia fazer isso?, pode me ajudar?…