Pacote não oficial E2guardian para software pfsense® - Adeus squidguard :D
-
Via wpad ou proxy marcado, você manda direto pro e2guardian.
Transparente com certificado instalado, configura o squid como no post acima.
Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.
Ok. Então para o https no modo splice all só na próxima versão do e2g?
-
No splice all o squid não intercepta e consequentemente não encaminha para o parent
-
No splice all o squid não intercepta e consequentemente não encaminha para o parent
Tranquilo. Vlw pelas duvidas sanadas Marcelloc. :D
-
De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.
-
De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.
Bahh! Isso vai ajudar muito!!! No aguardo!!! :D
-
Subi uma requisição de mudança para aplicar o novo template de erro no template em portugues e criei também um aquivo de erro em php para aumentar o nível de detalhes e personalização da ferramenta.
https://github.com/e2guardian/e2guardian/pull/236
Se alguém quiser aplicar o template novo antes dele entrar no código padrão e eu compilar novamente, segue o link:
e2gerror.php
https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/e2gerror.phptemplate.html
https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/languages/ptbrazilian/template.html -
Bahh! Isso vai ajudar muito!!! No aguardo!!! :D
Subir uma primeira implementação das acls do e2guardian no filtro de ssl do squid. Instala a versão 0.4.1 do pacote e veja se ela está se comportando de acordo com o que você queria.
Para habilitar a integração, escolha as opções avançadas na aba daemon do pacote.
-
marcelloc,
Após a instalação do e2guardian, fiz mudanças somente na aba Daemon, como você indicou e também na aba ACL opções Site Lists e Url Lists. Pra bloquear somente os marcados nas acls, é assim a configuração?
Vou anexar algumas imagens da minha configuração. No squid tenho configura pra proxy transparente com MITM mode Splice ALL.
-
Nao precisa descomentar as linhas dentro das acls se tiver marcado a categoria na lista acima.
-
Nao precisa descomentar as linhas dentro das acls se tiver marcado a categoria na lista acima.
Ok.
Com essas configs que fiz, não está bloqueando por exemplo, sites pornográficos que configurei.
Em firewall rules esta como a imagem em anexo.
-
Tenta desmarcar essa opção nova no e2guardian e em seguida, no squid coloca isso no custom options before auth
Não esqueça de colocar o e2guardian para ouvir na loopbackcache_peer 127.0.0.1 parent 8080 0 login=*:password always_direct deny all never_direct allow allE olha o access.log do squid para ver se tem trafego chegando nele.
-
Acabei de subir a versão 0.4 do pacote. 8)
Novidades:
- Agendamento avançado das acls usando o firewall -> schedules.
Nota: As acls agora tem o campo de agendamento. Após a atualização, verifique suas acls para garantir que elas não "pegaram" o primeiro schedule definido no sistema.
É possível agrupar acls para ter um controle granular dos seus acessos. Por exemplo, a aba site acls, crie uma nova acl para redes sociais e nela marque apenas o banned, a blacklist social media e o horario comercial. Depois no grupos, selecione as duas acls (Default e a de redes sociais), salve e aplique. Com essa configuração, você tem a acl Default durante todo o dia e bloqueio de redes sociais durante o horário comercial.
Quando o agendamento passar de ativo para inativo, segundo o schedule definido, o processo recebe um HUP/restart suave. Desta forma as conexões ativas permanecem ativas e somente as novas conexões vão utilizar as novas acls.
Marcelloc,
Participo de um grupo no telegram onde temos mais de 1500 pessoas e muitos estão super interessado em migrar para esse futuro pacote homologado desenvolvido pra você. Contrapartida muitos deles também estão tendo dificuldades nas configurações. Existe uma possibilidade de você fazer um "mini curso" ou algo bem didático para ajudar todos nós? -
Tenta desmarcar essa opção nova no e2guardian e em seguida, no squid coloca isso no custom options before auth
Não esqueça de colocar o e2guardian para ouvir na loopbackcache_peer 127.0.0.1 parent 8080 0 login=*:password always_direct deny all never_direct allow allE olha o access.log do squid para ver se tem trafego chegando nele.
Bahh marcelloc, show de bola!! Agora tá funcionando com o squid em proxy transparente e MITM no modo Splice ALL. :D
Se tu quiser fazer mais testes, só da um grito!!! Até pra fazer um tutorial basico de configuração pro pessoal que também está com dificuldades. Vlw
-
Se tu quiser fazer mais testes, só da um grito!!! Até pra fazer um tutorial basico de configuração pro pessoal que também está com dificuldades. Vlw
Gravei uma aula com overview da ferramenta. Deve ser publicada em breve.
-
Se tu quiser fazer mais testes, só da um grito!!! Até pra fazer um tutorial basico de configuração pro pessoal que também está com dificuldades. Vlw
Gravei uma aula com overview da ferramenta. Deve ser publicada em breve.
Manda para nós assim que possível. Marcelloc, uma duvida: É possível o Pfsense virar uma ferramenta paga? Sei que existe a versão gold etc.
-
Se tu quiser fazer mais testes, só da um grito!!! Até pra fazer um tutorial basico de configuração pro pessoal que também está com dificuldades. Vlw
Gravei uma aula com overview da ferramenta. Deve ser publicada em breve.
Bacana!!! :D
-
uma duvida: É possível o Pfsense virar uma ferramenta paga? Sei que existe a versão gold etc.
Ate onde sei não. O pfSense é opensource.
-
Se tu quiser fazer mais testes, só da um grito!!! Até pra fazer um tutorial basico de configuração pro pessoal que também está com dificuldades. Vlw
Gravei uma aula com overview da ferramenta. Deve ser publicada em breve.
Bacana!!! :D
Em breve, no Screencast Zone do Sys Squad: http://sys-squad.com
Abraços!
Jack -
Fiz um tutorial bem básico de configuração do squid + e2guardian. Quem quiser dar uma olhada, clica no link abaixo. Qualquer erro, criticas construtivas e updates, só falar. :D
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/ -
empbilly Desde ja agradeço pela sua pequena parcela de ajuda, me deu uma luz aqui com o E2guardian.
marcelloc Estou realizando testes em laboratório com o pacote do E2guardian + Squid, esta em modo transparente. O meu feedback:
-
Consegui colocar pra funcionar com a ajuda das respostas que você foi colocando quando alguém tinha alguma duvida e de acordo com o que fui lendo consegui fazer funcionar;
-
Os bloqueios estão funcionando bem com interceptação por SSL em modo "Transparente";
*** Problemas que estou tendo:**
1 - Alguns sites mesmo não estando na lista de bloqueio carregam incompletos a exemplo do site do Banco do Brasil que não carrega a pagina por completo, fica como se boa parte dele estivesse em alguma regra de bloqueio e o site não carrega por completo;
2 - Antes da nova versão quando algum site estava bloqueado ou como citei acima no caso do Banco do Brasil, eu ia em "ACLs > Site List > Exception" e adicionava o site que eu queria liberar e funcionava de imediato, nessa nova versão isso não acontece! Por exemplo o site "www.msn.com.br" cai na "Phrase Lists" como site porno! Dai vou em "Exception Lits" adicio "msn.com.br" e continua na mesma, mesmo eu reiniciando o tanto o serviço so Squid quanto o do E2guardian. O que pode ser?
Ate mesmo se adicionar o site direto no arquivo "/usr/local/etc/e2guardian/lists/phraselists/goodphrases/exception" continua dando o mesmo problema.Acho que esses são meus 2 principais problemas…! De resto estou conseguindo me virar ate sair seu video com algumas explicações a mais sobre a ferramenta.
Desde ja agradeço sua atenção e parabéns pelo trabalho, assim que algumas duvidas e/ou problemas forem sanados, quero colocar em produção em meus clientes e remover de vez tanto o Squidguard como Nxfilter que tenho rodando em alguns dos meus clientes.
-
