Pacote não oficial E2guardian para software pfsense® - Adeus squidguard :D

lorena

bom dia, sou nova no PFsense gostaria de um help, fiz exatamente como no tutorial do Elias
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/#comment-49
pfsense 2.3.4 release (AMD64) e win 7 ambos em maquinas virtuais.
Mas ao abrir as paginas no navegador, o seguinte erro é apresentado:

“ERRO
A URL requisitada não pôde ser recuperada
O seguinte erro foi encontrado ao tentar recuperar a URL: http://www.globo.com/
conexão para 127.0.0.1 falhou.
O sistema retornou: (60) operation timed out
O host ou rede remota pode estar fora do ar. Por favor, faça a requisição novamente.”

No log do Squid apresentam as seguintes informações

Squid - Access Logs
Date IP Status Address User Destination
16.09.2017 11:34:33 192.168.1.101 TAG_NONE/409 clients4.google.com:443 - -
16.09.2017 11:34:32 192.168.1.101 TAG_NONE/200 216.58.222.110:443 - -
16.09.2017 11:29:05 192.168.1.101 TAG_NONE/503 mail.google.com:443 - -
16.09.2017 11:28:54 192.168.1.101 TCP_MISS/500 http://www.gstatic.com/generate_204 - -
16.09.2017 11:27:50 192.168.1.101 TAG_NONE/503 mail.google.com:443 - -
16.09.2017 11:27:50 192.168.1.101 TCP_MISS/503 http://noticias.r7.com/favicon.ico - 127.0.0.1
16.09.2017 11:27:45 192.168.1.101 TCP_MISS/503 http://www.globo.com/favicon.ico - 127.0.0.1
16.09.2017 11:27:45 192.168.1.101 TAG_NONE/503 s3.glbimg.com:443 - -
16.09.2017 11:27:05 192.168.1.101 TAG_NONE/200 172.217.29.37:443 - -
16.09.2017 11:26:54 192.168.1.101 TCP_MISS/503 http://www.gstatic.com/generate_204 - 127.0.0.1
16.09.2017 11:26:48 192.168.1.101 TCP_MISS/503 http://noticias.r7.com/ - 127.0.0.1
16.09.2017 11:26:45 192.168.1.101 TCP_SWAPFAIL_MISS/503 http://www.globo.com/ - 127.0.0.1
16.09.2017 11:25:53 192.168.1.101 TAG_NONE/409 www.youtube.com:443 - -
16.09.2017 11:25:53 192.168.1.101 TAG_NONE/409 www.youtube.com:443 - -
16.09.2017 11:25:53 192.168.1.101 TAG_NONE/200 172.217.29.78:443 - -
16.09.2017 11:25:53 192.168.1.101 TAG_NONE/200 172.217.29.78:443 - -
16.09.2017 11:25:50 192.168.1.101 TAG_NONE/200 172.217.29.37:443 - -
16.09.2017 11:25:45 192.168.1.101 TAG_NONE/200 186.192.90.3:443 - -
16.09.2017 11:25:44 192.168.1.101 TAG_NONE/409 www.google.com.br:443 - -
16.09.2017 11:25:44 192.168.1.101 TAG_NONE/200 216.58.202.227:443 - -

E dessa forma nenhuma pagina está abrindo, apenas as pesquisas do GOOGLE funcionam

empbilly

Lorena,

A principio os logs deveriam aparecer no e2guardian. Me parece que o link entre os dois não está funcionando. No pfsense, dá uma olhada no System Logs.

lorena

@empbilly:

Lorena,

A principio os logs deveriam aparecer no e2guardian. Me parece que o link entre os dois não está funcionando. No pfsense, dá uma olhada no System Logs.

Qual o caminho onde eu consigo verificar esse log no Pfsense

empbilly

@lorena:

@empbilly:

Lorena,

A principio os logs deveriam aparecer no e2guardian. Me parece que o link entre os dois não está funcionando. No pfsense, dá uma olhada no System Logs.

Qual o caminho onde eu consigo verificar esse log no Pfsense

Status > System Logs > System/General

lorena

@empbilly:

@lorena:

@empbilly:

Lorena,

A principio os logs deveriam aparecer no e2guardian. Me parece que o link entre os dois não está funcionando. No pfsense, dá uma olhada no System Logs.

Qual o caminho onde eu consigo verificar esse log no Pfsense

Status > System Logs > System/General

Last 50 General Log Entries. (Maximum 50)
Time Process PID Message
Sep 16 14:12:55 (squid-1) Unable to open HTTPS Socket
Sep 16 14:12:58 (squid-1) Ipc::Mem::Segment::open failed to shm_open(/var/run/squid/ssl_session_cache.shm): (2) No such file or directory
Sep 16 14:13:00 root /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian
Sep 16 14:13:00 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:02 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:04 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:05 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:07 (squid-1) Ipc::Mem::Segment::open failed to shm_open(/var/run/squid/ssl_session_cache.shm): (2) No such file or directory
Sep 16 14:13:10 root /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian
Sep 16 14:13:11 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:11 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:14 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:14 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:18 (squid-1) Ipc::Mem::Segment::open failed to shm_open(/var/run/squid/ssl_session_cache.shm): (2) No such file or directory
Sep 16 14:13:20 root /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian
Sep 16 14:13:21 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:21 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:24 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:25 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:27 (squid-1) Ipc::Mem::Segment::open failed to shm_open(/var/run/squid/ssl_session_cache.shm): (2) No such file or directory
Sep 16 14:13:30 root /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian
Sep 16 14:13:31 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:31 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:35 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:35 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:38 (squid-1) Ipc::Mem::Segment::open failed to shm_open(/var/run/squid/ssl_session_cache.shm): (2) No such file or directory
Sep 16 14:13:41 root /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian
Sep 16 14:13:42 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:42 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:45 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:45 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:49 (squid-1) Ipc::Mem::Segment::open failed to shm_open(/var/run/squid/ssl_session_cache.shm): (2) No such file or directory
Sep 16 14:13:51 root /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian
Sep 16 14:13:52 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:52 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:55 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:56 (squid-1) Unable to open HTTPS Socket
Sep 16 14:13:59 (squid-1) Ipc::Mem::Segment::open failed to shm_open(/var/run/squid/ssl_session_cache.shm): (2) No such file or directory
Sep 16 14:14:00 root /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian
Sep 16 14:14:00 (squid-1) Unable to open HTTPS Socket
Sep 16 14:14:02 (squid-1) Unable to open HTTPS Socket
Sep 16 14:14:04 (squid-1) Unable to open HTTPS Socket
Sep 16 14:14:06 (squid-1) Unable to open HTTPS Socket
Sep 16 14:14:07 (squid-1) Ipc::Mem::Segment::open failed to shm_open(/var/run/squid/ssl_session_cache.shm): (2) No such file or directory
Sep 16 14:14:10 root /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian
Sep 16 14:14:11 (squid-1) Unable to open HTTPS Socket
Sep 16 14:14:11 (squid-1) Unable to open HTTPS Socket
Sep 16 14:14:14 (squid-1) Unable to open HTTPS Socket

lorena

como faço pra resolver essa falha para iniciar o serviço E2Guardian?

empbilly

Você seguiu exatamente como mostro no meu tutorial?

Essa parte:

CONFIGURAÇÕES DOS PACOTES

SQUID

Vá ate o menu Services e selecione Squid Proxy Server.

Selecione o menu Local Cache e clique em Save.

OBS: Você precisa criar uma CA para ser utilizada no squid. Para isso acesse o menu System > Cert. Manager e na opção Method selecione Create an Internal Certificate Authority. Preencha os campos e salve a CA.

Executou?

lorena

@empbilly:

Você seguiu exatamente como mostro no meu tutorial?

Essa parte:

CONFIGURAÇÕES DOS PACOTES

SQUID

Vá ate o menu Services e selecione Squid Proxy Server.

Selecione o menu Local Cache e clique em Save.

OBS: Você precisa criar uma CA para ser utilizada no squid. Para isso acesse o menu System > Cert. Manager e na opção Method selecione Create an Internal Certificate Authority. Preencha os campos e salve a CA.

Executou?

sim eu segui corretamente o tutorial

https://s26.postimg.org/rwosjxkh5/log_E2_Guardian.jpg

lorena

Estou colocando abaixo toda minha configuração, muito obrigada pela ajuda desde já

##Certificado##

https://s26.postimg.org/6s33dnkzt/Certificado_parte1.jpg
https://s26.postimg.org/rq99bqkuh/Certificado_parte2.jpg

##WEB Configurator##

https://postimg.org/gallery/1k90fh1wm/

##Squid Cache##

https://postimg.org/gallery/1qacmzy7a/

##Squid General##

https://postimg.org/gallery/1f67w34yu/

##L2Guardian##

https://postimg.org/gallery/2tqsnyrc6/

lorena

Boa tarde refiz toda instalação do inicio, e fui acompanhando os logs em cada habilitação dos serviços, foi tudo ocorrendo sem problemas até momento em que habilitei o E2Guandian, nesse log abaixo.

Fiz a intalação do L2Guandian pelo Diagnostics>Command Prompt>pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/e2guardian-4.1.3_1.txz
e depois
Diagnostics>Command Prompt>pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/pfSense-pkg-E2guardian4-0.4.2.6.txz

esse é o erro logo após habilitar e aplicar as configurações no L2guardian do seu tutorial

https://s26.postimg.org/fxua9uyvd/l2guardian_erro.jpg

marcelloc

habilite o repositório não oficial no lugar de instalar pela console. A imagem mostra a falta da libssl necessária para a interceptação de ssl

empbilly

Parece que o openssl-1.0.2l,1.txz não foi instalado corretamente.

Habilita o repositório não oficial.

fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf

E tenta reinstalar o e2guardian.

Caso não funcione, tente instalar manualmente o pacote.

pkg install openssl-1.0.2l,1

lorena

Boa noite Marcelo e Elias muito obrigada pela ajuda, consegui habilitar o repositório, agora nos testes as regras de bloqueio de pornografia estão OK, e alguns sites estão abrindo normalmente**(ex: globo.com, R7, G1)** mas outros não (youtube, facebook, terra.com.br), será que esqueci de algo???

https://s26.postimg.org/58x1wkcft/log_l2guardian.jpg

Leonardo Bevilacqua

Olá Marcelo!

Fiz a instalação do squid+e2guardian tranparente autenticação por IP em uma VM e deu tudo certo conforme seu tutorial. fiz também a instalação em um hardware no inicio deu certo, fiz a alteração dos nomes das Acl´s de default para Liberados então começou a dar problemas e não navegou mais nos sites. Fiz uma nova instalação do pfsense e agora não consigo habilitar o repositorio não oficial, tentei instalar via comando ele instalou o e2guardian mas não startou o serviço. refiz uma nova instalação do pfsense e não consegui habilitar o repositório. A versão que estou utilizando é a 2.3.4-RELEASE (amd64) .

quando tento dar o comando pkg update no shell aparecem os erros conforme a imagem. O que posso estar fazendo de errado?

Agradeço por sua atenção e parabéns pelo trabalho!

err.png_thumb

Leonardo Bevilacqua

Marcelo, bom dia!

Tentei instalar com os seguintes comandos:

pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/e2guardian-4.1.3_2.txz
pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/pfSense-pkg-E2guardian4-0.4.2.7.txz
pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/libiconv-1.14_11.txz
pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/openssl-1.0.2l,1.txz

Ele instalou e startou o serviço do e2guradian

vou fazer alguns testes com as acls agora.

Obrigado!!!

lucianosaulo

Bom dia Srs,

Marcelloc realmente você está fazendo um excelente trabalho, Quero deixar minha gratidão por disponibilizar seus conhecimentos gratuitamente, Muito grato por todas as respostas que foi dada no forum e aos outros que de certa forma ajudaram também.

Amigos, estou querendo configura acessos destintos no E2guardian e não consegui ainda.

Vou explicar:

Tenho um usuário que é liberado tudo, outro bloqueado tudo e só acessa o que é permitido e outro que é liberado tudo porém bloqueado algumas palavras como: sexo, etc..,

Hoje em dia eu uso assim no squid:

acl master arp "/etc/squid/acl/usuarios_sem_bloqueios" #por_ip
acl users arp "/etc/squid/acl/usuarios_limitados" #por_ip
acl bloqueados arp "/etc/squid/acl/usuarios_bloqueados" #por_ip
acl bloqueados_sites url_regex "/etc/squid/acl/sites_liberados.txt" #cadastro_os_sites_liberados
acl negapalavra url_regex -i "/etc/squid/acl/sites_e_palavras_bloqueados.txt" #cadastro_as_palavras_bloqueadas

http_access deny negapalavra !master
http_access allow master
http_access allow bloqueados bloqueados_sites
http_access allow users !negapalavra
http_access deny all

Isso é possível no "E2guardian"? se for em qual aba eu faria isso nele?

grato a todos que puderem me dar uma dica de como fazer.

lucianosaulo

Bom dia Srs,

Continuo na luta tentando entender como funciona a política do e2guardian.

Andei lendo o help e o que entendi é que quando se cria as “acls”, em seguida vai em “grups” seleciona suas “acls”, depois vai em “users” para desbloquear por “usúarios” ou em “ips”, por ip, por dedução acho que é os ips das maquinas em questões.

Minha pergunta:
estou correto?

Caso esteja correto!, estou botando o ip na aba dos dois grupos que criei e simplesmente ele ignora a regra pegando só a primeira, mesmo botando no “exception” para ele não aplicar regra alguma ao ip ele não faz nada.

Será um bug no que eu instalei?

Por favor se alguém puder pelo menos me falar se estou no caminho correto ficarei muito grato.

Obs.: vou postar as telas abaixo. Usei esse artigo
de Elias Pereira para implementar ( https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/ )

Abraços,

acls.png_thumb

grupo.png_thumb

user.png_thumb

ips01.png_thumb

h-tek123

Bom, tbm continuo me aventurando pelo E2guardian depois de um longo estudo consegui fazer funcionar.
Porém, como nem tudo na vida são flores ainda tenho alguns problemas a resolver.

Tudo funcionando perfeitamente, apenas os sites HTTPs que as vezes não respondem (principalmente Facebook e Google), dão o erro "ERR_SSL_PROTOCOL_ERROR".

Bom senhores, continuo na minha saga, estou em um ambiente administrativo com muitos usuários na rede WIFI.

Caso alguém tenha alguma dica de como resolver esse meu ultimo problema ficarei eternamente grato.

No mais agradeço a todos.

lucianosaulo

@h-tek123:

Bom, tbm continuo me aventurando pelo E2guardian depois de um longo estudo consegui fazer funcionar.
Porém, como nem tudo na vida são flores ainda tenho alguns problemas a resolver.

Tudo funcionando perfeitamente, apenas os sites HTTPs que as vezes não respondem (principalmente Facebook e Google), dão o erro "ERR_SSL_PROTOCOL_ERROR".

Bom senhores, continuo na minha saga, estou em um ambiente administrativo com muitos usuários na rede WIFI.

Caso alguém tenha alguma dica de como resolver esse meu ultimo problema ficarei eternamente grato.

No mais agradeço a todos.

bom dia,
Me ajude rs.

abraços

lotus

Boa tarde Marcelloc

Meu caro gostaria so de uma informação, esse repositório do e2guardian funciona no pfsense 2.4? Porque so esta fazendo referencia ao 2.3x.

Caso seja outro diferente você pode fornecer o repositório?

desde ja agradeço, bom trabalho com e2guardian.