Pacote não oficial E2guardian v5 para software pfsense®

Jean Carlos

@tomaswaldow eu estou usando a interceptação ssl, mas não ta abilitado o MITM. to trabalhando desta forma.

obmor

Lá na guia Daemon, eu deixo marcado no Enable SSL support.

E no exemplo da imagem acima, eu deixo desmarcado esta opção Filter ssl sites forging SSL Certificates (off) fica só a primeira e a segunda selecionada.

Minha memória nunca passou dos 16% de 8Gb de ram

digaovaa

@digaovaa said in Pacote não oficial E2guardian v5 para software pfsense:

Olá @marcelloc tudo bem? Cara, primeiramente, parabéns pelo seu trabalho, simplesmente fantástico.
"Segundamente" ehehe: configurei Stunnel pra uma base LDAP do google, captive portal autenticando certinho, Squid configurado para autenticar no CP, até aí ok, nos logs do squid aparece usuário autenticado.

Informei as opçoes abaixo no squid (Before Auth) e os logs aparecem no realtime do e2guardian, bloqueia e tudo mais, porém não lista usuário.

cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow all

Versão do pfsense: 2.4.4.1
e2guardian 5

Desde já obrigado

Consegui fazer funcionar. Meu cenário:
Estou configurando o pfSense para uma escola. Nessa escola, possui 2 SSID com 8 Unifi AP (ALUNOS e PROFESSORES). Configurei no AD o NPS e para cada SSID valida usuários de cada grupo, não permitindo alunos conectarem na rede professores e vice-versa. Tenho, então, captive portal autenticando no AD e o squid, por sua vez, autenticando no CP. Para controle de navegação por grupos, instalei o e2guardian5 (com autenticacao basic e ntlm marcadas) e o mesmo está buscando usuários no AD e colocando nos grupos automaticamente. Consigo bloquear HTTPS sem precisar instalar o certificado (Splice ALL no squid). Única dúvida que tenho:

É normal o e2guardian mostrar o ip 127.0.0.1 invés do IP do dispositivo do usuário?

Obs: Estou com a versão 2.4.4_p2 do pfsense.

Leite.leite

Como faço para inserir este arquivo no pf sense https://github.com/marcelloc/Unofficial-pfSense-packages/blob/master/244_unofficial_packages_list.patch

digaovaa

@leite-leite said in Pacote não oficial E2guardian v5 para software pfsense:

Como faço para inserir este arquivo no pf sense https://github.com/marcelloc/Unofficial-pfSense-packages/blob/master/244_unofficial_packages_list.patch

Acesse o link abaixo, está bem explicadinho:
https://www.conexti.com.br/fw/docs/patches/man_patch_add_repo_pf244.pdf

Leite.leite

@digaovaa Valeu, vou olhar!

digaovaa

@leite-leite said in Pacote não oficial E2guardian v5 para software pfsense:

@digaovaa Valeu, vou olhar!

se não conseguir com a URL que está lá, tente com esta abaixo:

https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/244_unofficial_packages_list.patch

Leite.leite

@digaovaa eu coloco este script e não funciona:

--- /etc/inc/pkg-utils.orig 2018-09-24 17: 51: 32.458825000 -0300
+++ /etc/inc/pkg-utils.inc 2018-09-24 17: 51: 54.387033000 -0300
@@ -388,7 +388,7 @@
if ($ base_packages) {
$ repo_param = "";
} outro {

•   $ repo_param = "-r {$ g ['nome_do_produto']}";
  

•   $ repo_param = "";
  

  }

  / *
  @@ -485,7 +485,7 @@
  $ err);
  if (! $ base_packages &&
  rtrim ($ out)! = $ g ['product_name']) {

•   		continuar;
  

•   		// continuar;
    	}
  
    	$ pkg_info ['instalado'] = verdadeiro;
  

Aparece este detalhe quando irei testar

/usr/bin/patch --directory=/ -t -p1 -i /var/patches/5c349f10573cd.patch --check --forward --ignore-whitespace

Hmm... Looks like a unified diff to me...
The text leading up to this was:

-- /etc/inc/pkg-utils.orig 2018-09-24 17: 51: 32.458825000 -0300

+++ /etc/inc/pkg-utils.inc 2018-09-24 17: 51: 54.387033000 -0300
Patching file etc/inc/pkg-utils.inc using Plan A...
Hunk #1 failed at 388.
Hunk #2 failed at 485.
2 out of 2 hunks failed while patching etc/inc/pkg-utils.inc
done

digaovaa

@leite-leite
Exclui o Patch e cria outro fazendo assim:

informe na url apenas esse link:
https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/244_unofficial_packages_list.patch e não informe nada no Patc Contents

Leite.leite

@digaovaa Funcionou direitinho consegui aplicar mas, quando vou no prompt de comando para inserir este ink fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marceloc/Unofficial-pfSense-packages/master/Unofficial.conf exiber que a url não foi encontrada

digaovaa

@leite-leite Faltou um L no marcelloc. Segue url correta
https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf

Leite.leite

@digaovaa Ok, funcionou direitnho.

Muito obrigado @digaovaa .

Vou brincar com ele agora!

digaovaa

@leite-leite Que bom.. eu fiquei brincando com o e2guardian desde o natal kkkk ontem a noite consegui fazer o que queria hehehe. Vou deixar em testes até final do mês e aí coloco em produção

Leite.leite

@digaovaa Tenho um ambiente com mias de 1000 máquinas e uso o Squid + SquidGuard que anda dando uma dor de cabeça.
Espero que o E2Guardian resolva meu problema

digaovaa

Realmente acho que vai resolver. Agora que consegui configurar como eu precisava, percebi que é muito fácil a configuração/integração entre as duas ferramentas. Se tiver alguma dúvida e eu puder auxiliar.. estou a disposição. abraços

Leite.leite

@digaovaa Tranquilo, vlw pela força

blutsa10

Ola Marcelo, executei o repositorio , felizmente veio execução bem sucedida, meu espanto é que o pacote não aparece alguma dica!

digaovaa

@blutsa10 said in Pacote não oficial E2guardian v5 para software pfsense:

Ola Marcelo, executei o repositorio , felizmente veio execução bem sucedida, meu espanto é que o pacote não aparece alguma dica!

Você aplicou o patch conforme consta acima?
https://forum.netgate.com/topic/128007/pacote-n%C3%A3o-oficial-e2guardian-v5-para-software-pfsense/555

blutsa10

Funcionou, meus parabens!!!!

fabricioguzzy

Olá Pessoal,
Instalei o e2guardian + Squid (uso integração com AD por NTLM e Kerberos) sem problemas.
Venho testando durante toda a semana e pude perceber alguns detalhes (Feedback) os quais descrevo abaixo:

• O e2guardian sozinho funciona "perfeitamente" - NOTA 10 - Só não dá pra fazer autenticação NTLM/Kerberos apenas com ele stand-alone.
• Usei uma blacklist proprietária (mas que segue o padrão da shalla) - Funcionou perfeitamente. Minha BL é bem maior que a Shalla e não tive problema algum de performance. Tudo OK.
• A integração SQUID //E2guardian é bem "difícil" - Tentei diversas configurações diferentes, mas nenhuma funcionou a contento. Tentei Squid na frente, E2Guardian na frente e nada.
  Com o Squid na frente (por que preciso da autenticação), o E2guardian não filtra HTTPS - Talvez pq o squid não esteja "redirecionando" o tráfego HTTPS para o e2guardian?! Os Sites HTTP são bloqueados (às vezes) - parece não estar estável por alguma razão que ainda não descobri.
  Com o e2guardian na frente, a Autenticação não funciona (creio ser obvio)
• Faltou um tutorial de configuração para o modelo SQUID+E2Guardian+ Autenticação.
• Procurei documentação na Internet e não pude encontrar quase nada. Mesmo a documentação do antigo DansGuardian é bastante limitada.
  Eu estou tomando nota de todos os detalhes de configuração deste modelo SQUID+e2guardian+Autenticação NTLM para postar no futuro e ajudar aos que usam (ou pretendem usar) este mesmo modelo.

Caso alguém tenha conhecimento das configurações neste modelo, peço que compartilhe algumas ideias.

Cordialmente,
Fabricio.