Pacote não oficial E2guardian para software pfsense® - Adeus squidguard :D
-
marcelloc,
To testando aqui e tá ocorrendo alguns erros. O serviço não starta.
Segue:
/pkg.php: The command '/usr/local/etc/rc.d/e2guardian.sh start' returned exit code '1', the output was 'kern.ipc.somaxconn: 16384 -> 16384 kern.maxfiles: 131072 -> 131072 kern.maxfilesperproc: 104856 -> 104856 kern.threads.max_threads_per_proc: 4096 -> 4096 Starting e2guardian. Shared object "libssl.so.9" not found, required by "e2guardian" /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian'Error reading /usr/local/etc/e2guardian/lists/blacklists/virusinfected/domains. Check directory and file permissions. They should be 640 and 750: No such file or directoryError opening filter group config: /usr/local/etc/e2guardian/e2guardianf1.conf -
Acabei de subir a versão 0.4 do pacote. 8)
Novidades:
- Agendamento avançado das acls usando o firewall -> schedules.
Nota: As acls agora tem o campo de agendamento. Após a atualização, verifique suas acls para garantir que elas não "pegaram" o primeiro schedule definido no sistema.
É possível agrupar acls para ter um controle granular dos seus acessos. Por exemplo, a aba site acls, crie uma nova acl para redes sociais e nela marque apenas o banned, a blacklist social media e o horario comercial. Depois no grupos, selecione as duas acls (Default e a de redes sociais), salve e aplique. Com essa configuração, você tem a acl Default durante todo o dia e bloqueio de redes sociais durante o horário comercial.
Quando o agendamento passar de ativo para inativo, segundo o schedule definido, o processo recebe um HUP/restart suave. Desta forma as conexões ativas permanecem ativas e somente as novas conexões vão utilizar as novas acls.
-
To testando aqui e tá ocorrendo alguns erros. O serviço não starta.
Desinstala o pacote e instala novamente. Durante a instalação, deve aparecer o pacote openssl.
você pode tentar via console também.
pkg install openssl
-
Qual a configuração básica pra proxy transparente + MITM?
-
Qual a configuração básica pra proxy transparente + MITM?
O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.
A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.
-
Qual a configuração básica pra proxy transparente + MITM?
O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.
A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.
Bacana!!! Vou aguardar a 4.2!! :D
-
Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.
-
Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.
Como parent fica como a imagem em anexo?
-
Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).
Desta forma:
Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache
-
Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).
Desta forma:
Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache
Marcelloc,
A segunda aba é a "Remote Cache".
Estou utlizando o squid em modo transparente com o Splice ALL. Continuo utilizando esse modo pra trabalhar com o e2guardian ou marco a opção "Splice whitelist, Bump otherwise"?
Como ficaria a configuração na aba remote cache? Não consegui visualizar. kkkkk
-
Certo. Usa o Splice whitelist e no lugar de configurar o remote cache, coloca na custom options:
cache_peer 127.0.0.1 parent 8080 ssl -
Certo. Usa o Splice whitelist e no lugar de configurar o remote cache, coloca na custom options:
cache_peer 127.0.0.1 parent 8080 sslmarcelloc, mesmo configurando dessa forma que você me informou eu necessito ter o proxy configurado no navegador via wpad, configuração manual ou o certificado instalado na maquina, correto?
-
Via wpad ou proxy marcado, você manda direto pro e2guardian.
Transparente com certificado instalado, configura o squid como no post acima.
Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.
-
Via wpad ou proxy marcado, você manda direto pro e2guardian.
Transparente com certificado instalado, configura o squid como no post acima.
Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.
Ok. Então para o https no modo splice all só na próxima versão do e2g?
-
No splice all o squid não intercepta e consequentemente não encaminha para o parent
-
No splice all o squid não intercepta e consequentemente não encaminha para o parent
Tranquilo. Vlw pelas duvidas sanadas Marcelloc. :D
-
De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.
-
De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.
Bahh! Isso vai ajudar muito!!! No aguardo!!! :D
-
Subi uma requisição de mudança para aplicar o novo template de erro no template em portugues e criei também um aquivo de erro em php para aumentar o nível de detalhes e personalização da ferramenta.
https://github.com/e2guardian/e2guardian/pull/236
Se alguém quiser aplicar o template novo antes dele entrar no código padrão e eu compilar novamente, segue o link:
e2gerror.php
https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/e2gerror.phptemplate.html
https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/languages/ptbrazilian/template.html -
Bahh! Isso vai ajudar muito!!! No aguardo!!! :D
Subir uma primeira implementação das acls do e2guardian no filtro de ssl do squid. Instala a versão 0.4.1 do pacote e veja se ela está se comportando de acordo com o que você queria.
Para habilitar a integração, escolha as opções avançadas na aba daemon do pacote.
