PfSense 2.3.3 p1 + proxy http/https

loos

@Tomas:

Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

Acho difícil. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas e dentro da nova política da Netgate, enquanto não tiverem um cliente precisando disso, esse pacote entra na categoria "trabalho a mais que eu não quero ter".

Marcello a Netgate não pratica esse tipo de política, por favor não cite 'políticas da Netgate' sem referencias, especialmente quando elas não condizem com a realidade.

Nunca recebemos e committamos tantos PRs como agora[1], fazemos o possível para atender a todos, agora se você não enviar sua contribuição não vamos poder saber.

1: https://github.com/pfsense/pfsense/graphs/contributors

marcelloc

Loos, já tinha corrigido o outro post mas esqueci desse.

Sei que mudanças aconteceram para a maior estabilidade do projeto.

Desculpe ter mantido esse desabafo aqui no fórum. Como contribuidor e entusiasta do projeto, preciso medir melhor minhas palavras e opiniões.

Pontos específicos nestas mudanças me mantiveram sem motivação para contribuir, mas isso são águas passadas. Vou manter minhas contribuições em caráter não oficial respeitando o documento sobre como referenciar código para o pfSense não oficial (política de compliance se não estiver enganado).

Mais uma vez esclareço que de forma alguma quis denegrir o projeto ou qualquer pessoa ligada a ele.

Sobre o envio da contribuição, de uma olhada no histórico dos pull requests. Elas estiveram por um bom tempo publicadas por lá.

andrefreire

Boa tarde !

Eu consegui fazer com que o squidguard funcionasse sem aparecer o erro mencionado adicionando nas configurações avançadas do squid na parte de integrations onde faz a chamada do squidguard a seguinte opção:

ssl_bump none all

coloque isso no inicio da linha de integração e o erro de DNS para de aparecer. A pagina de erro não irá aparecer para paginas HTTPS mas isso é outro problema do squidguard que não foi solucionado.

Em resumo com isso o Squid exibirá a pagina de erro tanto para HTTP e HTTPS e o squidguard exibirá a pagina de erro para o HTTP porém não para o HTTPS mas isso é um comportamento que está acontecendo em várias ferramentas que usam o squidguard, não é algo particular do PFSense.

Espero ter ajudado.
Att,

germinoskull

Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

marcelloc

@germinoskull:

Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

Utilizando o e2guardian no lugar do squidguard…

germinoskull

@marcelloc:

@germinoskull:

Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

Utilizando o e2guardian no lugar do squidguard…

Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

Tentei alguns tutoriais, mas não deu certo..
Quando analiso real time do e2guardian e não retorna nada, só retorna quando deixou transparente ou aponto para porta 8080, preciso manter a autenticação com o AD.

1.png_thumb

2.png_thumb

3.png_thumb

marcelloc

@germinoskull:

Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

desativa o squidguard
Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
seleciona a autenticação basic + ntlm na aba general do e2guardian
salva e aplica.

Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
http://sys-squad.com/licao/259

germinoskull

@marcelloc:

@germinoskull:

Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

desativa o squidguard
Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
seleciona a autenticação basic + ntlm na aba general do e2guardian
salva e aplica.

Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
http://sys-squad.com/licao/259

marcelloc obrigado pelo retorno…

Efetuei as configurações e agora consigo visualizar em real time IP e username, mas vem ocorrendo problemas onde hora solicita autenticação e hora não, sendo assim muitas vezes não retorna o user na página Access Denied e em Realtime.
Quando aponto o client diretamente para o squid a solicitação de credenciais ocorre sempre que o navegador é fechado ou aberto uma guia em modo anonimo.
No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

ConfigDaemon.png_thumb

ConfigGeneral.png_thumb

ConfigGroup.png_thumb

ReturnAccessDenied.JPG_thumb

marcelloc

@germinoskull:

No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.

germinoskull

@marcelloc:

@germinoskull:

No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.

Consegui…
O Grupo default não pode ter a opção Filter ssl sites forging SSL Certificates selecionada.
Sendo assim, deixei habilitado em todos os outros grupos.