Proxy transparente + filtro SSL + E2guardian - Solução definitiva
-
Quando eu faço uma alteração nas acl's, preciso limpar reiniciar o serviço e limpar o cache como no squid?
Não. Só salva, aplica e em poucos segundos o e2guardian recarrega.
-
Obrigado Mestre, você tem ajudado demais!
Vou deixar aqui uma info que demorei para achar, o significado de cada coluna do widget do e2guardian, talvez seja util para alguém, assim fica bem simples monitorar a performance.
1. Time - in unix format
2. busy - Number of httpworker threads busy handling connections at current time
3. httpwQ - Number of connections waiting in queue for a worker thread.
In normal use this will be 0 (and on occasion 1 or 2) but will increase once
all worker threads are busy. Lowish numbers are OK for transitory peaks.
High numbers indicate an overloaded system. If there is still memory and
cpu available, then httpworkers may be increased.4. logQ - Number of messages waiting to be logged to disk. In normal use 0.
An increase in number may indicate system overloading, but should not
otherwise affect performance.5. conx - number of connections handled since last stats line.
6. conx/s - average connections per sec over period since last stats line.
7. reqs - indication of number of requests handled since last stats line.
Only an indication as requests made over https tunnels (i.e. non-MITM) cannot
be counted, so each https tunnel is counted as one request.8. reqs/s - average requests per sec over period since last stats line.
9. maxfd - Indication of maximum number file descriptor in use
10. LCcnt - Number of List Option Containers in use. A new List Option Container
is created at start up and on gentle restart. Old containers are deleted
once all connections still using it have finished. Normally figure will be
one, but may rise after a gentle restart(s) and should return to one after a
period of time. -
Estou trabalhando agora nesses 3 casos.
1- Acompanhando pelo log e aparece acesso negado para um subdominio do nosso sistema.
Já adicionei o dominio no exceptions do sitelisturl, mas não funcionou.
Agora eu adicionei o endereço dos dois sistemas no campo Bypass Proxy for These Destination IPs, vou testar amanhã se funcionou.2- Estava usando o log format file do squid, mudei para o formato e2guardian para tentar identificar pq nosso sistema estava bloqueando, mas na aba real time não aparece nada.
3- Preciso Mascarar a conexão que sai por uma 3ª placa, criei as rotas estaticas e o NAT outbound. Mas quando mando um tracert da rede interna o primeiro salto mostra o IP do Default GW, acredito que deveria ser o IP da 3ª placa, até pq ele sai pela rota certa.
-
Boa tarde amigos, a última versão do e2guardian com o sarg está excelente!
Subi em produção na sexta, mas notei que houve uma queda muito grande no meu tráfego de internet, com alguns usuários reclamando de lentidão em alguns momentos.
Já aumentei os workers para 2000 em uma rede com cerca de 60 usuário, porém sem sucesso.
Utilizo um Mikrotik antes do firewall para fazer o balanceamento de 2 links.Uma coisa que não consegui fazer funcionar ainda é o redirecionamento de porta... Eu redireciono do Mikrotik pro pfsense mas não funciona, mas antes funcionava de boa.
Não sei se preciso criar uma regra no firewall para aceitar essa conexão, se puderem ajudar
️ -
A configuração é estações -> pfSense -> Mikrotik -> Internet ?
-
Exato Marcelo
-
Se for nat de entrada, a melhor forma de ver onde está parando é via tcpdump. Tanto no pfSense quanto no Mikrotik.
-
Obrigado Marcelo, eu consegui via TCPDUMP ver que os pacotes chegam no meu firewall, então acho que a parte de encaminhamento do Mikrotik está OK.
Estou fazendo uma regra para acessar o firewall de fora, via ssh inicialmente, criei um regra no firewall para aceitar qlq conexão na porta 822, mas não funciona.
Existe algum bloqueio para acesso externo? -
Rodou o tcpdump na lan tambem?
Tem alguma regra da wan forçando algum gateway?
-
@marcelloc Rodei e não captura nenhum pacote na LAN.
Desculpa, mas não entendi sua segunda pergunta, eu possuo apenas o gateway padrão configurado. -
@remix said in Proxy transparente + filtro SSL + E2guardian - Solução definitiva:
@marcelloc Rodei e não captura nenhum pacote na LAN.
Desculpa, mas não entendi sua segunda pergunta, eu possuo apenas o gateway padrão configurado.A segunda pergunta é porque as vezes na tentativa de configurar o load balance no pfSense, alguns sysadmins se confundem e marcam regras na wan com o load balance, inviabilizando o tráfego.
-
Entendi, mas não tenho load balancer nesse pfsense.
-
Amigo consegui!
O problema era no balanceamento do mikrotik, removi de destino ao pfsense do balance e foi 100%!
Muitissimo obrigado por toda ajuda.
Estou te enviando umas cervejas!
-
Veja esse vídeo:
https://www.youtube.com/watch?v=rHmvAtt5Ybw
Ele é bem simples e eficaz, já testei em lab e roda 100%
-
navegação com o liberado e com a ajuda de squid e squidguard e blocos o detalhe é que se você não limpar os cookies os navegadores deixam o conteúdo passar e parece que o firewall não fez o seu trabalho limpar os kookies e não tem como resolver
-
This post is deleted!
