Pacote não oficial E2guardian para software pfsense® - Adeus squidguard :D

lotus

Oi Marcelo, como já havia mencionado estou em processo de testes com o E2guardan em laboratorio, e tenho algumas considerações a fazer sobre a verão anterior e essa nova versão que você disponibilizou.
Não sei se é por erro meu de configuração ou se é algum outro erro.

PS: consegui resolver o problema do erro do site do banco do brasil que relatei no post anterior, só precisei limpar o cache do Squid dai o site voltou ao normal.

Vamos la:

Versão Antiga:

1 - Na versão antiga eu conseguia liberar um site de maneira simples apenas colocando na Exception da ACL Site Access Lists, dai já liberava imediatamente;

2 - Quando queria liberar um ip colocava o mesmo na lista Exception IP list e o mesmo liberava tudo;

Nova Versão:

1 - O site "msn.com.br" cai em uma Phrase List pornografica de varios paises, vou em Exception da ACL Site Access Lists e adiciono o site e o mesmo continua bloqueado. Para tentar conseguir desbloquear, adicionei o site em "/usr/local/etc/e2guardian/lists/phraselists/goodphrases/exception", depois reiniciei o serviço e o site liberou, mas não sei porque motivo acontece de cair novamente no bloqueio e quando atualizo a pagina por varias vezes ele libera.

2 - Adicionei o ip na lista Exception IP list e o mesmo continua tudo bloqueado;

Isso pode ser um erro meu de configuração ou pode estar havendo realmente algum problema?

Existe a possibilidade do Squid que vem junto com o E2guardian interferir no Squid que esta instalado no próprio Pfsense?

O pacote do Squid do E2guardian pode funcionar sozinho sem a necessidade de outro Squid instalado no Pfsense? Caso não seja possível, como eu poderia fazer para desativar o Squid quem acompanha o E2guardian deixando apenas o do Pfsense?

PS: Estou usando em modo Proxy transparent.

Grato pela atenção,

marcelloc

@lotus:

1 - O site "msn.com.br" cai em uma Phrase List pornografica de varios paises, vou em Exception da ACL Site Access Lists e adiciono o site e o mesmo continua bloqueado. Para tentar conseguir desbloquear, adicionei o site em "/usr/local/etc/e2guardian/lists/phraselists/goodphrases/exception", depois reiniciei o serviço e o site liberou, mas não sei porque motivo acontece de cair novamente no bloqueio e quando atualizo a pagina por varias vezes ele libera.

Está marcando o enable no exception da acl? Não precisa editar nenhum arquivo.

2 - Adicionei o ip na lista Exception IP list e o mesmo continua tudo bloqueado;

Isso pode ser um erro meu de configuração ou pode estar havendo realmente algum problema?

@lotus:

Existe a possibilidade do Squid que vem junto com o E2guardian interferir no Squid que esta instalado no próprio Pfsense?

No funcionamento não. Não tenho certeza se squid "oficial" sabe ser virar com um restart porque o rc.d dele faz grep nos processos no lugar de procurar o arquivo de pid

@lotus:

O pacote do Squid do E2guardian pode funcionar sozinho sem a necessidade de outro Squid instalado no Pfsense?
Caso não seja possível, como eu poderia fazer para desativar o Squid quem acompanha o E2guardian deixando apenas o do Pfsense?

Não recomendo, mas para desativar o parent automático, coloque ele em modo manual (aba daemon -> advanced)
Em modo transparente, você precisa do squid na frente para "capturar" as conexões  e o e2guardian precisa de um parent proxy para buscar as páginas.

O E2guardian pode funcionar sem o pacote do squid, se não precisar do ssl transparente ou de alguma das autenticações do squid.

lotus

@marcelloc:

@lotus:

1 - O site "msn.com.br" cai em uma Phrase List pornografica de varios paises, vou em Exception da ACL Site Access Lists e adiciono o site e o mesmo continua bloqueado. Para tentar conseguir desbloquear, adicionei o site em "/usr/local/etc/e2guardian/lists/phraselists/goodphrases/exception", depois reiniciei o serviço e o site liberou, mas não sei porque motivo acontece de cair novamente no bloqueio e quando atualizo a pagina por varias vezes ele libera.

Está marcando o enable no exception da acl? Não precisa editar nenhum arquivo.

2 - Adicionei o ip na lista Exception IP list e o mesmo continua tudo bloqueado;

Isso pode ser um erro meu de configuração ou pode estar havendo realmente algum problema?

@lotus:

Existe a possibilidade do Squid que vem junto com o E2guardian interferir no Squid que esta instalado no próprio Pfsense?

No funcionamento não. Não tenho certeza se squid "oficial" sabe ser virar com um restart porque o rc.d dele faz grep nos processos no lugar de procurar o arquivo de pid

@lotus:

O pacote do Squid do E2guardian pode funcionar sozinho sem a necessidade de outro Squid instalado no Pfsense?
Caso não seja possível, como eu poderia fazer para desativar o Squid quem acompanha o E2guardian deixando apenas o do Pfsense?

Não recomendo, mas para desativar o parent automático, coloque ele em modo manual (aba daemon -> advanced)
Em modo transparente, você precisa do squid na frente para "capturar" as conexões  e o e2guardian precisa de um parent proxy para buscar as páginas.

O E2guardian pode funcionar sem o pacote do squid, se não precisar do ssl transparente ou de alguma das autenticações do squid.

Obrigado Marcelo, estou fazendo outros teste e ja tenho mais ou menos uma ideia do que esta havendo…. assim qu tiver mais informações informo aqui.

marcelloc

Acabei de subir a versão 4.2

Principais novidades:

• Os templates da pagina de erro agora podem ser restauradas ao original de forma fácil

• Melhorias no e2gerror.php e opção para gerar um log exclusivo do que foi negado

• Inclusão da aba real time no pacote, mostrando os logs no formato padrâo do e2guardian, no formato do squid e o arquivo denied.log gerado pelo e2gerror.php

empbilly

Bahhh Marcello, o e2guardian tá ficando filé!!!! Ótimo trabalho!!!!

Se tu fizer um curso no sysquad mais avançado dele integrado com o squid, opções de proxy transparente, não transparente, toda a parafernalha que eles juntos podem fazer, etc, vai fazer sucesso!!! Sou um que faço o curso com certeza!!! :D

marcelloc

@empbilly:

Se tu fizer um curso no sysquad mais avançado dele integrado com o squid, opções de proxy transparente, não transparente, toda a parafernalha que eles juntos podem fazer, etc, vai fazer sucesso!!! Sou um que faço o curso com certeza!!! :D

Farei com certeza!

fabianopolone

@danilosv.03:

Marcelloc,
Você conseguiu montar o material explicando a instalação e a configuração?

Olá, ja esta disponível?

Obrigado

marcelloc

@fabianopolone:

Olá, ja esta disponível?

Sim. No meu repositório não oficial. As instruções estão no primeiro post.
Do tópico.

fabianopolone

Muito obrigado

fabianopolone

im. No meu repositório não oficial. As instruções estão no primeiro post.
Do tópico.

Olá

Desculpe mais não consegui achar fui em https://github.com/marcelloc e não achei nenhum tutorial ou parecidos.

Obrigado pela ajuda.

marcelloc

As instruções estão no primeiro post.
Do tópico.

https://forum.pfsense.org/index.php?topic=128127.msg706536#msg706536

fabianopolone

@marcelloc:

As instruções estão no primeiro post.
Do tópico.

https://forum.pfsense.org/index.php?topic=128127.msg706536#msg706536

Ata entendi, achei que éra um tutorial a parte com fotos e tauz, vou tentar aqui.

Obrigado Marcelloc

empbilly

@fabianopolone:

@marcelloc:

As instruções estão no primeiro post.
Do tópico.

https://forum.pfsense.org/index.php?topic=128127.msg706536#msg706536

Ata entendi, achei que éra um tutorial a parte com fotos e tauz, vou tentar aqui.

Obrigado Marcelloc

Dá uma olhada no link abaixo.
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/

fabianopolone

Dá uma olhada no link abaixo.
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/

Já tinha visto esse, estou indo por ele, mais achei que tinham feito um mais completo.

Obrigado

fabianopolone

Olá, poderiam dar uma explicada na questão das ACL? ele trabalha igual ao SQUID GUARD criando grupos e colocando os usuarios? como ele funciona? precisava liberar os usuarios de acordo com os grupos igual fazia no squid guard porem na guia groups nao tem campo para colocar os usuarios.

Se conseguir dar uma esclarecida de como funciona vou ficar muito grato.

E outra duvida;

E Instalei o E2guardian aqui e configurei de acordo com o tutorial:

---

https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/

---

Porem ao meu ver ele não inicia, ao clicar em play la em cima ele não faz nada.

Obrigado desde já.

guitarcleiton

O e2Guardian trabalha com squid autenticado via NCSA e  respeita as ACL do squid?

marcelloc

@guitarcleiton:

O e2Guardian trabalha com squid autenticado via NCSA e  respeita as ACL do squid?

Ele tem suas próprias acls, mas recebe os usuários que o squid autenticou via configuração do parent. você pode fazer a declaração tanto via custom options quanto pela segunda aba de configuração do squid.

marcelloc

@fabianopolone:

Olá, poderiam dar uma explicada na questão das ACL? ele trabalha igual ao SQUID GUARD criando grupos e colocando os usuarios? como ele funciona? precisava liberar os usuÁrios de acordo com os grupos igual fazia no squid guard porem na guia groups nao tem campo para colocar os usuarios.

Depois de configurar o squid para enviar o trafego para o e2guardian

cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow all

Acesse o E2guardian e:

• Defina as acls na aba acl com o que você permite ou bloqueia, de acordo com o horário ou sem ativa.

• Em seguida defina os grupos (Default, admin, restrito, etc..) e selecione quais acls se aplicam a ele

• Depois de definir os grupos, diga quais usuários fazem parte de cada grupo na aba users.

marcelloc

Procedimento básico de instalação em um pfSense 2.3.4 recém instalado sem nenhum pacote

Depois do repositório habilitado:

>>> Installing pfSense-pkg-E2guardian4... 
Updating Unofficial repository catalogue...
Fetching meta.txz: . done
Fetching packagesite.txz: . done
Processing entries: .. done
Unofficial repository update completed. 13 packages processed.
Updating pfSense-core repository catalogue...
pfSense-core repository is up to date.
Updating pfSense repository catalogue...
pfSense repository is up to date.
All repositories are up to date.
Updating database digests format: . done
The following 7 package(s) will be affected (of 0 checked):

New packages to be INSTALLED:
	pfSense-pkg-E2guardian4: 0.4.2.3 [Unofficial]
	squid: 3.5.26 [pfSense]
	krb5: 1.15.1_4 [pfSense]
	pkgconf: 1.3.0,1 [pfSense]
	cyrus-sasl: 2.1.26_12 [pfSense]
	e2guardian: 4.1.1_11 [Unofficial]
	openssl: 1.0.2l,1 [Unofficial]

Number of packages to be installed: 7

The process will require 29 MiB more space.
7 MiB to be downloaded.
[1/7] Fetching pfSense-pkg-E2guardian4-0.4.2.3.txz: .......... done
[2/7] Fetching squid-3.5.26.txz: .......... done
[3/7] Fetching krb5-1.15.1_4.txz: .......... done
[4/7] Fetching pkgconf-1.3.0,1.txz: ....... done
[5/7] Fetching cyrus-sasl-2.1.26_12.txz: .......... done
[6/7] Fetching e2guardian-4.1.1_11.txz: .......... done
[7/7] Fetching openssl-1.0.2l,1.txz: .......... done
Checking integrity... done (0 conflicting)
[1/7] Installing pkgconf-1.3.0,1...
[1/7] Extracting pkgconf-1.3.0,1: .......... done
[2/7] Installing krb5-1.15.1_4...
[2/7] Extracting krb5-1.15.1_4: .......... done
[3/7] Installing cyrus-sasl-2.1.26_12...
*** Added group `cyrus' (id 60)
*** Added user `cyrus' (id 60)
[3/7] Extracting cyrus-sasl-2.1.26_12: .......... done
[4/7] Installing squid-3.5.26...
===> Creating groups.
Creating group 'squid' with gid '100'.
===> Creating users
Creating user 'squid' with uid '100'.
===> Pre-installation configuration for squid-3.5.26
[4/7] Extracting squid-3.5.26: .......... done
[5/7] Installing e2guardian-4.1.1_11...
[5/7] Extracting e2guardian-4.1.1_11: .......... done
[6/7] Installing pfSense-pkg-E2guardian4-0.4.2.3...
[6/7] Extracting pfSense-pkg-E2guardian4-0.4.2.3: ......... done
Saving updated package information...
done.
Loading package configuration... done.
Configuring package components...
Loading package instructions...
Custom commands...
Executing custom_php_install_command()...Checking E2guardian Blacklists... One moment please...Hmm...  Looks like a unified diff to me...
The text leading up to this was:
--------------------------
|--- /usr/local/www/pkg_edit.orig.php	2017-04-05 17:12:56.478730000 -0300
|+++ /usr/local/www/pkg_edit.php	2017-04-05 17:13:51.614222000 -0300
--------------------------
Patching file /usr/local/www/pkg_edit.php using Plan A...
Hunk #1 succeeded at 656 (offset 5 lines).
done
Hmm...  Looks like a unified diff to me...
The text leading up to this was:
--------------------------
|--- /usr/local/www/pkg.orig.php	2017-04-05 17:18:25.349676000 -0300
|+++ /usr/local/www/pkg.php	2017-04-05 17:20:49.204578000 -0300
--------------------------
Patching file /usr/local/www/pkg.php using Plan A...
Hunk #1 succeeded at 329 (offset 5 lines).
done
Checking Blacklist...
   1%   2%   3%   4%   5%   6%   7%   8%   9%  10%  20%  30%  40%  50%  60%  70%  80%  90% 100%Blacklist check done, continuing package config sync.
done.
Executing custom_php_resync_config_command()...done.
Menu items... done.
Services... done.
Writing configuration... done.
[7/7] Installing openssl-1.0.2l,1...
Extracting openssl-1.0.2l,1: .......... done
Message from cyrus-sasl-2.1.26_12:
You can use sasldb2 for authentication, to add users use:

	saslpasswd2 -c username

If you want to enable SMTP AUTH with the system Sendmail, read
Sendmail.README

NOTE: This port has been compiled with a default pwcheck_method of
      auxprop.  If you want to authenticate your user by /etc/passwd,
      PAM or LDAP, install ports/security/cyrus-sasl2-saslauthd and
      set sasl_pwcheck_method to saslauthd after installing the
      Cyrus-IMAPd 2.X port.  You should also check the
      /usr/local/lib/sasl2/*.conf files for the correct
      pwcheck_method.
      If you want to use GSSAPI mechanism, install
      ports/security/cyrus-sasl2-gssapi.
      If you want to use SRP mechanism, install
      ports/security/cyrus-sasl2-srp.
      If you want to use LDAP auxprop plugin, install
      ports/security/cyrus-sasl2-ldapdb.
Message from squid-3.5.26:
o You can find the configuration files for this package in the
       directory /usr/local/etc/squid.

     o The default cache directory is /var/squid/cache/.
       The default log directory is /var/log/squid/.

       Note:
       You must initialize new cache directories before you can start
       squid.  Do this by running "squid -z" as 'root' or 'squid'.
       If your cache directories are already initialized (e.g. after an
       upgrade of squid) you do not need to initialize them again.

     o When using DiskD storage scheme remember to read documentation:
         http://wiki.squid-cache.org/Features/DiskDaemon
       and alter your kern.ipc defaults in /boot/loader.conf. DiskD will not
       work reliably without this. Last recomendations were:

         kern.ipc.msgmnb=8192
         kern.ipc.msgssz=64
         kern.ipc.msgtql=2048

     o The default configuration will deny everyone but the local host and
       local networks as defined in RFC 1918 for IPv4 and RFCs 4193 and
       4291 for IPv6 access to the proxy service.  Edit the "http_access
       allow/deny" directives in /usr/local/etc/squid/squid.conf
       to suit your needs.

     o If AUTH_SQL option is set, please, don't forget to install one of
       following perl modules depending on database you like:
         databases/p5-DBD-mysql
         databases/p5-DBD-Pg
         databases/p5-DBD-SQLite

     To enable Squid, set squid_enable=yes in either
     /etc/rc.conf, /etc/rc.conf.local or /etc/rc.conf.d/squid
     Please see /usr/local/etc/rc.d/squid for further details.

     Note:
     If you just updated your Squid installation from an earlier version,
     make sure to check your Squid configuration against the 3.4 default
     configuration file /usr/local/etc/squid/squid.conf.sample.

     /usr/local/etc/squid/squid.conf.documented is a fully annotated
     configuration file you can consult for further reference.

     Additionally, you should check your configuration by calling
     'squid -f /path/to/squid.conf -k parse' before starting Squid.
Message from e2guardian-4.1.1_11:
===>   Please Note:

*******************************************************************************
       This port has created a log file named e2guardian.log that can get
       quite large.  Please read the newsyslog(8) man page for instructions
       on configuring log rotation and compression.

       This port has been converted using old dansguardian-devel port
       Let me know how it works (or not). (Patches always welcome.)
*******************************************************************************
Message from pfSense-pkg-E2guardian4-0.4.2.3:
Please visit Services - E2guardian Server menu to configure the package and enable it.
Message from openssl-1.0.2l,1:
Edit /usr/local/openssl/openssl.cnf to fit your needs.
>>> Cleaning up cache... done.
Success

Após a instalação,

• Criei uma CA

• selecionei ela na aba daemon do e2g e digitei a porta(8080)

• Habilitei o ssl filtering

• selecioneil o watchdog no advanced fields

• save

• na aba general

• selecionei address como authentication

• Mudei o modo de filtro de denied para filtered

• save, apply

Por segurança, criei uma regra na lan permitindo trafego na porta 8080 do e2guardian.

guitarcleiton

@marcelloc:

Ele tem suas próprias acls, mas recebe os usuários que o squid autenticou via configuração do parent. você pode fazer a declaração tanto via custom options quanto pela segunda aba de configuração do squid.

Estou levantando um lab virtual para colaborar com os testes.
Em meu cenário tenho alguns equipamentos do laboratório de uso coletivo e somente alguns usuários tem permissão de uso da internet.

No Squid por padrão todos são obrigado a se autenticar, utilizei um recurso de ACL onde diretores e alguns usuários do administrativo (ip fixo) acessam a internet mas o navegador não pede autenticação e o bom de tudo que todos passam e recebem as regras do squid.

Em breve posto meu resultado com os testes nestas condições.