Pacote não oficial E2guardian v5 para software pfsense®
-
Amigos, quando ativo o filtro SSL para possibilitar o bloqueio dos sites HTTPS, ocorre o seguinte:
Alguns sites abrem - https://ibb.co/b0k5Nx
Outros não - https://ibb.co/i2jX2x
Erro chrome:
ERR_SSL_PROTOCOL_ERRORErro firefox:
Ocorreu um erro durante uma conexão com www.google.com. O SSL recebeu um registro que excedia o comprimento máximo permitido. (Código do erro: ssl_error_rx_record_too_long)Minhas configurações do squid e e2guardian:
https://ibb.co/iEv89c
https://ibb.co/e9KDaHO que pode está acontecendo?
-
Saulo, anexa as imagens na própria mensagem no lugar de incluir links para sites externos.
Deixe somente o e2guardian v5 no ar e veja como fica a interceptação. Esses erros de rx_record_too_long eu só vejo quando uso o squid.
Nas imagens, tem o squid pacote habilitado com interceptação, e2guardian habilitado com interceptação e utilizando o parent proxy automatico(outra instancia do squid)
-
Marcello, quando desabilito a interceptação SSL no SQUID, não consigo bloquear sites HTTPS no E2GUARDIAN.
Uso o SQUID como transparente, pois uso o LIGHTSQUID para gerar os relatórios.
Existe outro caminho sem ser esse, para gerar relatórios?
Só funciona bem se usar o E2GUARDIAN puro? O SQUID não se integra bem com o E2GUARDIAN? -
Pessoal, habilitei o SQUID, mas sem o proxy transparente e sem a interceptação, deixei isso por conta do E2GUARDIAN. Na configuração parent mode: direct connect.
Obrigado Marcello!
-
Deixei isso por conta do E2GUARDIAN. Na configuração parent mode: direct connect.
Nessa configuração, o e2guardian está fazendo tomando conta de tudo, pode desativar o squid.
-
Desabilitei, está perfeito!
Preciso configurar agora os logs, pois antes usava o lightsquid.
Vi que no próprio E2GUARDIAN tem opções de log, porém n sei como configurar para o lightsquid ler ou outra ferramenta compatível.
Qual ferramenta é mais recomendada nesse cenário? Me ajuda!
-
Squid log format e tenta criar um link da pasta para a pasta que o lightsquid procura ou altera o .inc do lightsquid pra ler a pasta certa.
-
Tarde pessoal,
Estou na luta ai tentando fazer funcionar, ja fiz a refiz 10 vezes do zero :) e nao consigo achar o erro.
Resumo: E2guard V5
ACL de redesociais (que estou testando) Bloqueia!!! todos os sites, porém não consigo fazer dar o erro amigavel para usuario.
E o certificado na estacao não é do Pfsense.
Tem como me da uma luz por favor… nao consigo sair disso.
Ja vi e revi video do marcello, serio ... 5 vezes seguida, fazendo exatamente igual ele, e aqui pra mim NAO da certo...
-
Qual erro o usuário recebe quando bloqueia connection refused?
-
Marcelo,
Então …
Cara serio mesmo tem algum BUG ... antes de pegar agora o erro pra te enviar - eu zerei de novo... e "meio que PESQUEI" que tem algum erro/Bug, sei lá.
Eu sigo seu video! blza ... funciona como falei acima, ele bloqueia redesocial seguindo exatamente seu video, porem, nao mostra erro pro usario, da erro ERROR-SSL no navegador.
Ai refiz tudo do zero, fez o bloqueio. LEGAL, pensei consegui!!!
Ai salvei, e reiniciei o Pfsense, cara juro, sem mudar nada, apenas reiniciando o pf, PARA de funcionar … isso que estou frustrado.
Anexo notei uma coisa, quando faço da primeira vez e ativo o serviço, funciona, apos eu reiniciar ... toda vez que eu reinciar o botao aplicar mudanças está para ativar > e nao bloqueia mais nada, mesmo eu clicando no botao, e reiniciando, sem reiniciar … nao bloqueia mais.
-
Anexo notei uma coisa, quando faço da primeira vez e ativo o serviço, funciona, apos eu reiniciar … toda vez que eu reinciar o botao aplicar mudanças está para ativar > e nao bloqueia mais nada, mesmo eu clicando no botao, e reiniciando, sem reiniciar … nao bloqueia mais.
Vou verificar a questão do reboot assim que possível, mas foca na configuração afinal firewall não é ativo windows para viver dando boot ;)
-
Marcelo,
Claro, perfeitamente … que firewall não é pra ficar fazendo reboot.
E que mexi tanto, que não estava entendendo ... porque tinha hora que funcionada e hora não.
Ou seja ... tinha dia que eu começava configurar pela manhã ... tals ... bloqueando, eu ia avançando os testes ... um, dois, treis dias, estudando ... AI no primeiro reboot, eu caia por TERRA entende, UÉ, parava de funcionar do nada, sem eu alterar nada, apenas ao dar reboot para de funcionar.
Ai vai lá eu, ver seu video, e fazer tudo de novo, ... ai ia montando digamos por 2 dias ... ai no reboot, novamente ... parava ...
Só consegui pegar isso HJ - que ele para de funcionar ao reiniciar.
Legal meu querido, aguardo … você dar uma noticia boa :)
Valeu.
-
Esse tutorial do nosso amigo ainda serve?
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
Os problemas relatados no fim dos comentários será que estarão resolvidos, não implementei ainda pois vi que estavam com alguns problemas, tomara que sejam sanados, parabéns pelo trabalho.
Fala galera, tudo tranquilo?
Então, estava sem tempo de testar o e2guardian, pois troquei de trabalho e estava com outros projetos. Vou realizar um lab de testes novamente e irei atualizar o tutorial acima. No que eu conseguir, eu posto aqui avisando.
Continue com esse ótimo trabalho marcelloc!!! :D
-
Atualizei a versão para a 5.0.1_3.
Pontos principais:
-
Inclusão do tipo do grupo que antes eram opções espalhada pelos arquivos de acls.
-
Correção da função LDAP para popular os grupos
![group type.PNG](/public/imported_attachments/1/group type.PNG)
![group type.PNG_thumb](/public/imported_attachments/1/group type.PNG_thumb) -
-
Marcelo, parabéns pelo trabalho, esta ficando cada vez melhor o pacote.
Minha contribuição para a thread é a seguinte:
Após atualizar o E2Guadian para versão 5, acabei tendo problemas na opção de autenticação por IP. Ele não marcou a opção na atualização e ao subir o serviço na mão constatei o erro, que foir resolvido na guia General >> Auth Plugin, não tinha nenhuma opção selecionada, voltei a marcar a opção IP Address e ficou normal.
Atualizei o squid também e tive um erro que não lembro qual era, mas que foi resolvido limpando o cache do squid.
No mais a performance esta superior sim, conforme foi informado. Estou esperando um pouco para colocar em produção em outros clientes.
-
Obrigado pelo retorno Alessandro. Se estiver usando somente a autenticação por ip, não precisa subir o squid.
-
Esse tutorial do nosso amigo ainda serve?
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
Os problemas relatados no fim dos comentários será que estarão resolvidos, não implementei ainda pois vi que estavam com alguns problemas, tomara que sejam sanados, parabéns pelo trabalho.
Fala galera, tudo tranquilo?
Então, estava sem tempo de testar o e2guardian, pois troquei de trabalho e estava com outros projetos. Vou realizar um lab de testes novamente e irei atualizar o tutorial acima. No que eu conseguir, eu posto aqui avisando.
Continue com esse ótimo trabalho marcelloc!!! :D
Na espera ! ;D
-
ola, estou com o e2guardian instalado aqui na empresa fiz alguns testes e ate agora tudo ok, porem não estou comprendendo como faço para permitir um site para um ip,como faço isso? já vi uns tutorias mas nada ficou claro.
-
ola, estou com o e2guardian instalado aqui na empresa fiz alguns testes e ate agora tudo ok, porem não estou comprendendo como faço para permitir um site para um ip,como faço isso? já vi uns tutorias mas nada ficou claro.
Viu o screencast que gravei?
Basicamente você precisa:
-
cria as acls de site, url,etc, quantas quiser ou precisar
-
cria os grupos com cada tipo de perfil
-
Habilita a autenticação por ip(exemplo)
-
depois de salvar as acls e grupos, vai na aba IP e coloca o(s) ip(s) das maquinas nos seus respectivos grupos
-
Salva e aplica
-
-
Olá montei um ambiente com a ultima versão do pfsense, instalei o squid e o e2guardian v5, instalei o squid porque preciso filtrar por usuário e não IP.
O problema é que o site do google e uol por exemplo apresentam erro.
Seguem os prints da configuração e do erro.
Obs: foi instalado o certificado no browser, tanto que site do submarino que é https abre normalmente.