Pacote não oficial E2guardian v5 para software pfsense®

maicosantana

Pessoal, fiz um lab com o e2guardian v5 com pfsense 2.4.3, porem estou com dois problemas. O primeiro quando reinicio o servidor o e2guardian inicia o serviço mas nenhum host navega, após eu executar o Filter Reload tudo volta ao normal. O segundo são as ACLs, somente o que ponho em filtro por domínio (Site Lists) que funciona, quando utilizo as outras não bloqueia as paginas e nem os conteúdos.

marcelloc

Acabei de fazer um teste de liberação de url e registrou normalmente no log.


8.05.12 02:27:39	192.168.25.106	https://ssl.google-analytics.com/__utm.gif	200	192.168.25.106	Wifi	*TRUSTED* URL match: ssl.google-analytics.com/__utm.gif
18.05.12 02:27:33	192.168.25.106	https://www.google.com.br/complete/search	200	192.168.25.106	Wifi	*TRUSTED* Banned file extension

O que aparece nos logs para estas configurações fora do site list?

Habilitou o Weighted phrase mode no grupo antes de configurar as acls de phrase list?

gerardocoelho

Bom dia a todos!
Gostaria de agradecer pelo pacote, realmente bem interessante.
Gostaria de saber se essas interceptações funciona a nível de dispositivo móvel, pois tenho uma rede com captive portal para os usuários do WIFI e normalmente dá problema quando não uso proxy transparente (configurações default)
Preciso pegar os logs dos acessos http e https tanto da lan como do rede wifi devido a lei do marco civil para evitar que a responsabilidade de mau uso da internet prejudique a empresa.

Obrigado desde já!

marcelloc

Em dispositivos móveis, sem o certificado, o filtro é feito com base nos hosts/fqdn do certificado, mas uma vez fechado o túnel, você não terá nos logs as urls do site https.

gerardocoelho

Teria alguma solução para esse caso de interceptar e gravar os logs de acesso dos dispositivos móveis?

dnascimento86

bom dia pessoal.
meu servidor de nf-e não consegue autorizar as notas fiscais.
como faço pra deixar o IP dele de fora da interceptação do e2guardian?

marcelloc

@gerardocoelho:

Teria alguma solução para esse caso de interceptar e gravar os logs de acesso dos dispositivos móveis?

Nos logs ficam os registros de acesso ao site, sem as urls.

Pra logar as urls, so interceptando o tráfego. No e2guardian ou em qualquer outra ferramenta de proxy.

marcelloc

@dnascimento86:

como faço pra deixar o IP dele de fora da interceptação do e2guardian?

Depende de como configurou ele na rede.

Se for em modo transparente, na aba Daemon, tem o campo de bypass Proxy for these destination ips

maicosantana

@marcelloc:

Acabei de fazer um teste de liberação de url e registrou normalmente no log.
8.05.12 02:27:39	192.168.25.106	https://ssl.google-analytics.com/__utm.gif	200	192.168.25.106	Wifi	*TRUSTED* URL match: ssl.google-analytics.com/__utm.gif
18.05.12 02:27:33	192.168.25.106	https://www.google.com.br/complete/search	200	192.168.25.106	Wifi	*TRUSTED* Banned file extension
O que aparece nos logs para estas configurações fora do site list?

Habilitou o Weighted phrase mode no grupo antes de configurar as acls de phrase list?

@marcelloc Então eu habilitei Weighted phrase mode no grupo tudo certinho. O que pude observar é que ele só faz o bloqueio da interceptação SSL quando esta na ACL Sites Lists. Quando é http a ACL Phrase Lists faz o bloqueio normal. Fiz um teste com facebook observe o print em anexo.
A linha que corresponde ao horário de 1:58:40 é quando pus o domínio FACEBOOK.COM na ACL Site Lists, como pode ver fez o bloqueio normalmente.
A linha que corresponde ao horário de 1:57:38 é quando pus a palavra <facebook>na ACL Phrase Lists, como pode ver ele não fez o bloqueio.
Pode ajudar?

Desde já agradeço a atenção

![Sem título.jpg](/public/imported_attachments/1/Sem título.jpg)
![Sem título.jpg_thumb](/public/imported_attachments/1/Sem título.jpg_thumb)</facebook>

marcelloc

@maicosantana:

@marcelloc Então eu habilitei Weighted phrase mode no grupo tudo certinho. O que pude observar é que ele só faz o bloqueio da interceptação SSL quando esta na ACL Sites Lists. Quando é http a ACL Phrase Lists faz o bloqueio normal. Fiz um teste com facebook observe o print em anexo.

Percebeu a diferença entre o meu print e o seu? urls https completas vs fqdn do site.

Se não estiver fazendo o MITM(filtrando ssl com certificado no cliente), o e2guardian só vai fazer o teste até o nome do site ssl que está tentando acessar.

Depois do túnel ssl estabelecido sem o MITM, ninguém além do cliente e o servidor web sabem o que está passando por dentro do túnel.

maicosantana

@marcelloc:

@maicosantana:

@marcelloc Então eu habilitei Weighted phrase mode no grupo tudo certinho. O que pude observar é que ele só faz o bloqueio da interceptação SSL quando esta na ACL Sites Lists. Quando é http a ACL Phrase Lists faz o bloqueio normal. Fiz um teste com facebook observe o print em anexo.

Percebeu a diferença entre o meu print e o seu? urls https completas vs fqdn do site.

Se não estiver fazendo o MITM(filtrando ssl com certificado no cliente), o e2guardian só vai fazer o teste até o nome do site ssl que está tentando acessar.

Depois do túnel ssl estabelecido sem o MITM, ninguém além do cliente e o servidor web sabem o que está passando por dentro do túnel.

Ah sim… Então isso quer dizer que ele só vai conseguir abrir o pacote para fazer o filtro de conteúdo se estiver com certificado instalado no cliente. Pq o Lab que estou fazendo é rede wi-fi com clientes sem certificado instalado. Seria isso ?

Obrigado pela atenção !

marcelloc

@maicosantana:

Ah sim… Então isso quer dizer que ele só vai conseguir abrir o pacote para fazer o filtro de conteúdo se estiver com certificado instalado no cliente.

Em sites SSL, sim. O MITM é a unica forma de "entrar" na conexão SSL do cliente para filtrar o conteúdo.

rscarpeli

Galera bom dia, eu mais uma vez aqui pedindo ajuda.
Hoje o html da tela de bloqueio voltou o código padrão e eu não consigo atualizar, altero salvo e retorna no código padrão.
Alguém sabe qual o arquivo template dentro do Pfsense na qual posso editar? valeu

marcelloc

Esta usando a última versão do pacote?

rscarpeli

@marcelloc:

Esta usando a última versão do pacote?

Marcello, o problema estava no meu html, corrigi, solucionou o problema. Obrigado

Aproveitando, notei que depois que atualizei o e2guardian, o log está no mesmo padrão do squid, será que agora o squidanalyzer reconhece?
Vou fazer os testes aqui.

marcelloc

O formato do log é uma opção da aba report.

fabiofraga

Boa tarde!

Estou com problemas para consumir um webservice quando ativo o proxy. No log aparece:

18.05.14 11:54:14 10.25.0.177 https://www3.bcb.gov.br/wsscr2/services/Scr2WebService 100 Default Exceção Exceção da URL confere.www3.bcb.gov.br/wsscr2/services/scr2webservice

Já adicionei o endereço como exceção nas ACL's do E2Guardian, porém continua dando falha ao tentar consumir o serviço. Há alguma maneira de colocar esse endereço em BYPASS.
Estou usando UserAuth+WPAD+E2Guardian, autenticado no AD Windows Server 2012 R2.

Se alguém puder me dar uma luz por onde posso começar?

Att.

marcelloc

Coloca no wpad para este ip de destino não passar pelo proxy.

fabiofraga

Assim?

function FindProxyForURL(url, host) {

// No proxy for hosts with local domain
// you ca replace this with your local domain
if (shExpMatch(host, ".local")) return "DIRECT";

// No proxy for internal networks.
if (isPlainHostName(host) ||
isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0") ||
isInNet(dnsResolve(host), "172.16.0.0", "255.240.0.0") ||
isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0") ||
isInNet(dnsResolve(host), "127.0.0.0", "255.255.255.0"))||
isInNet(dnsResolve(host), "200.218.208.96", "255.255.255.255")
return "DIRECT";

return "PROXY 10.25.0.99:8080";
}

fabiofraga

Obrigado pela dica, funcionou perfeitamente.