Pacote não oficial E2guardian v5 para software pfsense®
-
Ola instalei e configurei o e2guardian e estou com o seguinte TCP_DENIED no meu log
2019.02.20 11:20:46 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
2019.02.20 11:20:10 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
2019.02.20 11:19:45 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -Utilizo alguns emulador de android e não estou conseguindo utilizar aplicações ssl.
-
@jotajunniors said in Pacote não oficial E2guardian v5 para software pfsense
:@fabricioguzzy Por favor, me manda o tutorial, estou precisando desse cenário. Squid + e2guardian. No aguardo. Abraços.
Olá... Vou explicar por cima o meu cenário e veja se te ajuda:
Implementei em uma escola pfsense + vlans + Captive Portal + Squid + E2Guardian. Como funciona: temos unifi aps com redes para alunos, professores e visitantes (cada rede em uma VLAN separada). Alunos e professores foi pedido para passar pelo squid. Como eles queriam controle de acesso por usuario, fiz o squid autenticar no CaptivePortal (com base nos usuários do Google). O squid passa para o E2guardian a autenticação e os filtros são feitos pelo E2guardian, filtrando SSL sem necessidade de instalação do certificado.
O que foi feito:
Para o acesso as contas do Google foi instalado Stunnel e configurado uma base de dados Ldap na aba Authentication Servers (System > Users).
Configurado o captive portal para autenticar nesse servidor LDAP, escutando as interfaces (VLANS) ALUNOS e PROFESSORES.
Configurado SQUID para autenticar no CP. Na aba General Settings do squid foi marcado nas interfaces (ALUNOS PROFESSORES e tbm loopback). Mais abaixo na parte de SSL foi marcado SPLICE ALL e nas opções avançadas (abaixo no lado do botão salvar) foi introduzido o código abaixo na opção Custon Options (Before Auth):
cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow allNo E2Guardian, mesmas configurações de interfaces do squid, foi marcado pra interceptar SSL e nas opções avançadas (abaixo no lado de Salvar), deixei marcada a opçao Use automatic embeded parent config. Nas aba General, marquei as opções Proxy-basic e Proxy-NTLM.
A princípio foi isso que fiz...Créditos: o fórum aqui, ao nosso grande amigo @marcelloc e o blog do Elias Pereira (https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/)
-
Esse tutorial do Elias funciona no E2guardian versão 5? Pois li no tutorial e ele fala que não.
Só quero usar o squid como proxy nativo e o e2 fazendo o filtro de conteúdo. Habilito interceptação SSL nos dois?
-
@jotajunniors Estou usando na última versão de tudo (pfsense, e2guardian etc)
-
Massa! Vou testar e te aviso. Grande abraço.
-
Boa sorte, qualquer coisa prende o grito.... Sobre a questão do Google, só ficou um pouco lenta a autenticação pq tem que ir autenticar na nuvem.. Ano passado implementei o Google for education nesta escola. Esse ano executamos esse projeto. Ficou bacana. Inicialmente eu ia autenticar no ad local, fazendo integração entre o ad e google (Google Cloud Directory Sync) porém o servidor 2012 deles possui uma licença Foundation, que permite no máximo 15 usuários no AD. Mas hoje está atendendo legal assim.. se for usar em uma rede cabeada, acredito que possa ser configurado com o pf2ad (nunca mais usei, vi que o projeto foi abandonado e por isso não sei o quão estável está).
-
Pessoal Adicionei uma interface no pfsense para a rede wifi, liberei as regras de firewall com permissão udp DNS 53, http80 e https443 e também configurei o dhcp, a te ai tudo bem navega normalmente. só que quando ativo no e2guardian o proxy transparente para essa interface wifi não navega mais e dar esse erro (ERR_CONNECTION_TIMED_OUT.
O Estranho e seu eu criar uma regra no firewall liberando qualquer protocolo o acesso e liberado.Sera que alguém pode me dar uma luz !
-
@reinaldoex em modo transparente precisa de uma regra liberado as portas tcp/8080-8081 com destino ao pfSense;
-
@tomaswaldow Era isso mesmo amigo, funcionou direitinho, muito obrigado vc resolveu meu problema.
-
@manzke89 said in Pacote não oficial E2guardian v5 para software pfsense
:Ola instalei e configurei o e2guardian e estou com o seguinte TCP_DENIED no meu log
2019.02.20 11:20:46 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
2019.02.20 11:20:10 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
2019.02.20 11:19:45 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -Utilizo alguns emulador de android e não estou conseguindo utilizar aplicações ssl.
Alguma solução pra esse erro?
-
Pessoal, alguém pode ajudar!! O whatsapp demora a enviar a msg quando uso e2guardian. Ele fica tentando a porta 443 primeiro e depois de uns 5 minutos tentando enviar a msg ele acha a porta 5222-5223 e envia. Porem se o celular ficar para uns 10 minutos parado e tentar enviar msg de novo ele demorar novamente. Isso esta causando transtorno para os usuários da minha rede. olhando no realtime do e2guardian a tentativas são direcionadas para 127.0.0.1.
-
@maicosantana essa conexão 127.0.0.1 não tem nada a ver com o whatsapp, é uma questão do e2guardian com o freebsd. sobre o whatsapp, voce deve fazer ele não passar pelo proxy, 443.
-
@tomaswaldow Amigo vc pode dar uma dica de como fazer isso, whatsapp, voce deve fazer ele não passar pelo proxy, 443.
-
@reinaldoex depende do como está o e2guardian, se está em modo transparente, ode fazer um Alias com o hosts abaixo e informar eme em bypass for this destinations e liberar no firewall;
c.whatsapp.net c1.whatsapp.net c2.whatsapp.net c3.whatsapp.net c4.whatsapp.net c5.whatsapp.net c1.whatsapp.net c2.whatsapp.net c3.whatsapp.net c4.whatsapp.net c5.whatsapp.net c6.whatsapp.net c7.whatsapp.net c8.whatsapp.net c9.whatsapp.net c10.whatsapp.net e.whatsapp.net e1.whatsapp.net e2.whatsapp.net e3.whatsapp.net e4.whatsapp.net e5.whatsapp.net e6.whatsapp.net e7.whatsapp.net e8.whatsapp.net e9.whatsapp.net e10.whatsapp.net e11.whatsapp.net e12.whatsapp.net e13.whatsapp.net e14.whatsapp.net e15.whatsapp.net e16.whatsapp.net e17.whatsapp.net e18.whatsapp.net e19.whatsapp.net e20.whatsapp.net s.whatsapp.net s1.whatsapp.net s2.whatsapp.net s3.whatsapp.net s4.whatsapp.net s5.whatsapp.net s6.whatsapp.net s7.whatsapp.net s8.whatsapp.net s9.whatsapp.net s10.whatsapp.net sro.whatsapp.net ns2.p13.dynect.net ns1.p13.dynect.net ns3.p13.dynect.net ns4.p13.dynect.net pps.whatsapp.net mmg.whatsapp.net mmg-fna.whatsapp.net mmx-ds.cdn.whatsapp.net web.whatsapp.com whatsapp.com dyn.web.whatsapp.com w1.web.whatsapp.com w2.web.whatsapp.com w3.web.whatsapp.com w4.web.whatsapp.com w5.web.whatsapp.com w6.web.whatsapp.com w7.web.whatsapp.com w8.web.whatsapp.com w9.web.whatsapp.com w10.web.whatsapp.com -
@tomaswaldow Entendi...mas essa solução me impede de criar log de acesso... não tem jeito de passar pelo proxy essa conexão do whatsapp?
-
@maicosantana said in Pacote não oficial E2guardian v5 para software pfsense
:@tomaswaldow Entendi...mas essa solução me impede de criar log de acesso... não tem jeito de passar pelo proxy essa conexão do whatsapp?
O protocolo do whatsapp apesar de passar na 443 não é web. Os proxies só conseguem tratar requisições http e https.
Qual versão do e2guardian está usando? na 5.3.1, o changelog mostra alterações/melhora na tratativa de protocolos não padrão.
-
@marcelloc "o changelog mostra alterações/melhora na tratativa de protocolos não padrão" pode me explicar melhor ?
-
Olá a todos. Alguém pode me dizer qual Blacklist é mais completa hoje para utilizar no E2?
Estou utilizando essa > http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz
Porém não sei se é a mais completa para sites brasileiros, porno etc.Obrigado.
-
@tomaswaldow obrigado pelo retorno. vou testar aqui.
-
@maicosantana e as outras portas que ele usa, como fazer o log, cai no mesmo problema.
