Pacote não oficial E2guardian v5 para software pfsense®

digaovaa · Feb 6, 2019, 7:15 PM

@leite-leite vou montar um lab em casa e testar. Uma coisa é certa: se vc quer autenticação no e2guardian, sem o userauth, precisa do squid. Consegui funcionar com o squid autenticado no CP e este autenticava no AD. No e2guardian funcionou controle por grupos do ad de boa. POrém, pra navegar precisa autenticar no CP.. mas acredito que funciona com o pf2ad

Leite.leite · Feb 7, 2019, 1:44 PM

@digaovaa Onde acho o pf2ad?

digaovaa · Feb 7, 2019, 2:08 PM

@leite-leite said in Pacote não oficial E2guardian v5 para software pfsense:

@digaovaa Onde acho o pf2ad?

https://pf2ad.mundounix.com.br/pt/index.html

fabricioguzzy · Feb 7, 2019, 8:06 PM

Alguém conseguiu habilitar o Google SAFE SEARCH ou Expressões Regulares no e2guardian?
Já tentei uma série de coisas por aqui sem sucesso.

Fabricio.

tomaswaldow · Feb 7, 2019, 8:31 PM

@fabricioguzzy Essa é uma questão que envolve o navegador também, talvez só com inspeção SSL possa ser feito.

fabricioguzzy · Feb 8, 2019, 6:58 PM

@tomaswaldow Já estou usando o MITM (SSl Inspection) mas não consigo fazer o Google safe search ficar ativado como eu fazia no squidguard. Já tentei N expressões regulares e nada.

jotajunniors · Feb 18, 2019, 9:04 PM

Pessoal, boa noite.

Vocês sabem dizer se no e2guardian após a conexão passar pelo proxy ser direcionada para uma wan especifica? No squid eu faço isso numa boa, mas no E2 não consegui fazer ainda.
Tenho 2 links Wan e queria que após as conexões serem interceptadas, eles serem direcionadas para redes diferentes. Alguém sabe?

marcelloc · Feb 18, 2019, 9:23 PM

@jotajunniors said in Pacote não oficial E2guardian v5 para software pfsense:

Pessoal, boa noite.

Vocês sabem dizer se no e2guardian após a conexão passar pelo proxy ser direcionada para uma wan especifica? No squid eu faço isso numa boa, mas no E2 não consegui fazer ainda.
Tenho 2 links Wan e queria que após as conexões serem interceptadas, eles serem direcionadas para redes diferentes. Alguém sabe?

Infelizmente só direcionando a saída do e2guardian para um squid.

fabricioguzzy · May 9, 2019, 9:07 PM

@tomaswaldow Eu já encontrei o problema.... precisa ser na ABA de URL e não de SITES.... Funcionou perfeitamente...não só para google, mas para vários Search Engines.
Abs
Fabricio

jotajunniors · Feb 19, 2019, 6:36 PM

@marcelloc Obrigado! Como direciono? Uso ele com o squid de proxy? E tem algum problema na mesma máquina usar o e2 para uma rede nas portas 9090 e 9091 e usar o squid para outra rede nas portas 3128 e 3129 na mesma rede?

Afetara algum dos serviços?

Abraços.

Jota

jotajunniors · Feb 19, 2019, 9:15 PM

@fabricioguzzy Por favor, me manda o tutorial, estou precisando desse cenário. Squid + e2guardian. No aguardo. Abraços.

manzke89 · Feb 20, 2019, 2:22 PM

Ola instalei e configurei o e2guardian e estou com o seguinte TCP_DENIED no meu log

2019.02.20 11:20:46 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
2019.02.20 11:20:10 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
2019.02.20 11:19:45 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -

Utilizo alguns emulador de android e não estou conseguindo utilizar aplicações ssl.

digaovaa · Feb 20, 2019, 3:45 PM

@jotajunniors said in Pacote não oficial E2guardian v5 para software pfsense:

@fabricioguzzy Por favor, me manda o tutorial, estou precisando desse cenário. Squid + e2guardian. No aguardo. Abraços.

Olá... Vou explicar por cima o meu cenário e veja se te ajuda:
Implementei em uma escola pfsense + vlans + Captive Portal + Squid + E2Guardian. Como funciona: temos unifi aps com redes para alunos, professores e visitantes (cada rede em uma VLAN separada). Alunos e professores foi pedido para passar pelo squid. Como eles queriam controle de acesso por usuario, fiz o squid autenticar no CaptivePortal (com base nos usuários do Google). O squid passa para o E2guardian a autenticação e os filtros são feitos pelo E2guardian, filtrando SSL sem necessidade de instalação do certificado.
O que foi feito:
Para o acesso as contas do Google foi instalado Stunnel e configurado uma base de dados Ldap na aba Authentication Servers (System > Users).
Configurado o captive portal para autenticar nesse servidor LDAP, escutando as interfaces (VLANS) ALUNOS e PROFESSORES.
Configurado SQUID para autenticar no CP. Na aba General Settings do squid foi marcado nas interfaces (ALUNOS PROFESSORES e tbm loopback). Mais abaixo na parte de SSL foi marcado SPLICE ALL e nas opções avançadas (abaixo no lado do botão salvar) foi introduzido o código abaixo na opção Custon Options (Before Auth):
cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow all

No E2Guardian, mesmas configurações de interfaces do squid, foi marcado pra interceptar SSL e nas opções avançadas (abaixo no lado de Salvar), deixei marcada a opçao Use automatic embeded parent config. Nas aba General, marquei as opções Proxy-basic e Proxy-NTLM.
A princípio foi isso que fiz...

Créditos: o fórum aqui, ao nosso grande amigo @marcelloc e o blog do Elias Pereira (https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/)

jotajunniors · Feb 20, 2019, 3:50 PM

Esse tutorial do Elias funciona no E2guardian versão 5? Pois li no tutorial e ele fala que não.

Só quero usar o squid como proxy nativo e o e2 fazendo o filtro de conteúdo. Habilito interceptação SSL nos dois?

digaovaa · Feb 20, 2019, 4:03 PM

@jotajunniors Estou usando na última versão de tudo (pfsense, e2guardian etc)

jotajunniors · Feb 20, 2019, 4:04 PM

Massa! Vou testar e te aviso. Grande abraço.

digaovaa · Feb 20, 2019, 4:09 PM

Boa sorte, qualquer coisa prende o grito.... Sobre a questão do Google, só ficou um pouco lenta a autenticação pq tem que ir autenticar na nuvem.. Ano passado implementei o Google for education nesta escola. Esse ano executamos esse projeto. Ficou bacana. Inicialmente eu ia autenticar no ad local, fazendo integração entre o ad e google (Google Cloud Directory Sync) porém o servidor 2012 deles possui uma licença Foundation, que permite no máximo 15 usuários no AD. Mas hoje está atendendo legal assim.. se for usar em uma rede cabeada, acredito que possa ser configurado com o pf2ad (nunca mais usei, vi que o projeto foi abandonado e por isso não sei o quão estável está).

reinaldoex · Feb 20, 2019, 6:12 PM

Pessoal Adicionei uma interface no pfsense para a rede wifi, liberei as regras de firewall com permissão udp DNS 53, http80 e https443 e também configurei o dhcp, a te ai tudo bem navega normalmente. só que quando ativo no e2guardian o proxy transparente para essa interface wifi não navega mais e dar esse erro (ERR_CONNECTION_TIMED_OUT.
O Estranho e seu eu criar uma regra no firewall liberando qualquer protocolo o acesso e liberado.

Sera que alguém pode me dar uma luz !

tomaswaldow · Feb 20, 2019, 6:50 PM

@reinaldoex em modo transparente precisa de uma regra liberado as portas tcp/8080-8081 com destino ao pfSense;

reinaldoex · Feb 20, 2019, 8:54 PM

@tomaswaldow Era isso mesmo amigo, funcionou direitinho, muito obrigado vc resolveu meu problema.