Pacote não oficial E2guardian para software pfsense® - Adeus squidguard :D
-
Pra quem não conhece, esse pacote é a nova geração do pacote dansguardian. Filtro de conteúdo e de url, muito mais poderoso e completo que o squidguard. A mudança de configuração pode parecer assustadora no início, mas em pouco tempo dá pra ficar expert na ferramenta.
**Abaixo procedimento para configuração do repositório de pacotes NÃO OFICIAIS para instalação do pacote via inteface web no software pfSense(R) 2.3.x
AMD64**
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf
I386
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficiali386.conf
**caso não queira habilitar o repositório não oficial, é possível fazer a instalação vai script
AMD64**
pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/e2guardian-3.5.1.txz pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/pfSense-pkg-E2guardian-0.9.txz
I386
pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo-i386/e2guardian-3.5.1.txz pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo-i386/pfSense-pkg-E2guardian-0.9.txz
E2guardian requer um cache/upstream server , então, se não quiser usar o squid junto com o e2guardian, aponte na configuração de proxy do e2guardian o ip 127.0.0.1 e porta 8888 para usar o tinyproxy cache server.
http://www.shallalist.de/Downloads/shallalist.tar.gz é uma das blacklists compatíveis com o e2guardian. Configure na aba blacklist do pacote.
AVISO
Use por sua conta e risco.
Este script instala packages do freebsd e altera o seu config.xml
-
Bahhh marcelloc, show de bola!!! Muito obrigado por tuas contribuições!!! :D
-
Bahhh marcelloc, show de bola!!! Muito obrigado por tuas contribuições!!! :D
Marcelo isso tem possibilidade de entrar na lista de pacotes oficiais?
-
Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?
Nao sei.O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas.
-
show de bola a dica
não conhecia este software… vale a pena? muito melhor que o dansguardian?
-
show de bola a dica
não conhecia este software… vale a pena? muito melhor que o dansguardian?
É a evolução do dasnguardian. O código base de e2guardian foi a versão 2.12 do dansguardian.
-
Boa Tarde Marcelo,
Estou com o seguinte erro ao iniciar o serviço.
/usr/local/etc/rc.d/e2guardian.sh: WARNING: run_rc_command: cannot run /usr/local/sbin/e2guardian
Sabe me informar o que pode ser ?
-
Sabe me informar o que pode ser ?
A instalação retornou algum erro? configurou as abas, blacklist, etc?
-
Apenas para feedback, refiz todo o procedimento de instalação, e agora funcionou normalmente.
Estou utilizando Squid como cache server, e até o momento nenhum erro, estou planejando colocar ele em paralelo para testar em produção.Já utiliza em algum ambiente de produção Marcello ?
Obrigado.
-
Já utiliza em algum ambiente de produção Marcello ?
Ainda não, estou focado no antispam(postfix + mailscanner) por enquanto.
-
Ainda não, estou focado no antispam(postfix + mailscanner) por enquanto.
Entendi marcelloc, irei realizar os testes, e posto um feedback depois.
Vou testar se funciona bem com o Sarg e o LogSquid também.
-
Ainda não, estou focado no antispam(postfix + mailscanner) por enquanto.
Mas o pacote é baseado no dansguardian, onde tenho um cluster em produção.
-
Atualizei o procedimento de instalação deste pacote também, agora é possível instalar, atualizar e remover via interface web.
O procedimento está no primeiro post do tópico.
-
Subi hoje a versão mais nova do e2guardian (4.1.1). A interceptação de ssl e o uso em geral estão com performance acima do esperado.
Pra quem anda meio chateado com o squidguard, está chegando a hora de aposentar ele 8)
A imagem abaixo mostra o e2guardian "autenticando por ip", fazendo a interceptação de ssl e identificando o grupo que o usuário faz parte. O mesmo teste com autentições nativas do squid também funcionam…
O repositório não oficial está atualizado para o pfSense 2.3 e 2.4 64 bits. Amanhã subo os pacotes para a 2.3 32 bits
-
Muito da hora eu também quero aposentar o squidguard. Ele também possui black list? Ele também fica com a tela personalizada pelo o gerror?
-
Ele também possui black list? Ele também fica com a tela personalizada pelo o gerror?
Sim. Além de interceptação de ssl, filtro no conteúdo da página, etc…
-
Tu tem algum print da interface gráfica dele viu browser?
-
Tu tem algum print da interface gráfica dele viu browser?
São muitas telas. Fiz o print de algumas.
-
Pra configurar ele, tem que desabilitar o squidguard? Será que ele irá pegar minha tela de bloqueio pelo o sgerror?
-
Pra configurar ele, tem que desabilitar o squidguard? Será que ele irá pegar minha tela de bloqueio pelo o sgerror?
O template de erro é outro bem como aa configurações. Tem que refazer/migrar/importar
-
Tem como tu postar uma tela de bloqueio dele?
-
Tem como tu postar uma tela de bloqueio dele?
https://forum.pfsense.org/index.php?topic=128116.msg723481#msg723481
-
Só faltou ter em qual categoria ele foi bloqueado.
-
Só faltou ter em qual categoria ele foi bloqueado.
Ele retorna o grupo em que você está inserido e o tipo de regra que te bloqueou(site, url, conteúdo, etc)
-
Acabei de subir a versão 0.3 do pacote. 8)
Novidades:
-
Proxy parent nativo no pacote.
-
Script watchdog para verificar a execução tanto do e2g quando do parent 'interno'
Se você não está usando autenticação de usuários, você não precisa mais instalar o pacote do squid. Mas se estiver usando autenticação ou se precisar de proxy transparente, você pode configurar o e2guardian como parent do squid autenticado(modo sanduiche).
Nota: Movi a configuração de SSL da aba general para a aba daemon, então verifique suas configurações se fizer o upgrade da 0.2.2 para a 0.3
-
-
Bacana Marcello. Se eu puder, quero sugerir algo. :D
Nas partes dos "includes" imagem 1 em anexo, poderia deixar como a imagem 2 em anexo? Talvez fique melhor a marcação. Quem sabe colocar em um "expand" pra não ficar tão grande na tela.
-
A framework de pacotes não é tão flexível assim mas o expand por campo (banner,exceprion,regex) é possível.
Vou testar algumas variações depois da versão 0.4
-
A framework de pacotes não é tão flexível assim mas o expand por campo (banner,exceprion,regex) é possível.
Vou testar algumas variações depois da versão 0.4
Show de bola Marcello!! :D
-
marcelloc,
To testando aqui e tá ocorrendo alguns erros. O serviço não starta.
Segue:
/pkg.php: The command '/usr/local/etc/rc.d/e2guardian.sh start' returned exit code '1', the output was 'kern.ipc.somaxconn: 16384 -> 16384 kern.maxfiles: 131072 -> 131072 kern.maxfilesperproc: 104856 -> 104856 kern.threads.max_threads_per_proc: 4096 -> 4096 Starting e2guardian. Shared object "libssl.so.9" not found, required by "e2guardian" /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian'
Error reading /usr/local/etc/e2guardian/lists/blacklists/virusinfected/domains. Check directory and file permissions. They should be 640 and 750: No such file or directory
Error opening filter group config: /usr/local/etc/e2guardian/e2guardianf1.conf
-
Acabei de subir a versão 0.4 do pacote. 8)
Novidades:
- Agendamento avançado das acls usando o firewall -> schedules.
Nota: As acls agora tem o campo de agendamento. Após a atualização, verifique suas acls para garantir que elas não "pegaram" o primeiro schedule definido no sistema.
É possível agrupar acls para ter um controle granular dos seus acessos. Por exemplo, a aba site acls, crie uma nova acl para redes sociais e nela marque apenas o banned, a blacklist social media e o horario comercial. Depois no grupos, selecione as duas acls (Default e a de redes sociais), salve e aplique. Com essa configuração, você tem a acl Default durante todo o dia e bloqueio de redes sociais durante o horário comercial.
Quando o agendamento passar de ativo para inativo, segundo o schedule definido, o processo recebe um HUP/restart suave. Desta forma as conexões ativas permanecem ativas e somente as novas conexões vão utilizar as novas acls.
-
To testando aqui e tá ocorrendo alguns erros. O serviço não starta.
Desinstala o pacote e instala novamente. Durante a instalação, deve aparecer o pacote openssl.
você pode tentar via console também.
pkg install openssl
-
Qual a configuração básica pra proxy transparente + MITM?
-
Qual a configuração básica pra proxy transparente + MITM?
O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.
A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.
-
Qual a configuração básica pra proxy transparente + MITM?
O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.
A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.
Bacana!!! Vou aguardar a 4.2!! :D
-
Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.
-
Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.
Como parent fica como a imagem em anexo?
-
Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).
Desta forma:
Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache
-
Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).
Desta forma:
Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache
Marcelloc,
A segunda aba é a "Remote Cache".
Estou utlizando o squid em modo transparente com o Splice ALL. Continuo utilizando esse modo pra trabalhar com o e2guardian ou marco a opção "Splice whitelist, Bump otherwise"?
Como ficaria a configuração na aba remote cache? Não consegui visualizar. kkkkk
-
Certo. Usa o Splice whitelist e no lugar de configurar o remote cache, coloca na custom options:
cache_peer 127.0.0.1 parent 8080 ssl
-
Certo. Usa o Splice whitelist e no lugar de configurar o remote cache, coloca na custom options:
cache_peer 127.0.0.1 parent 8080 ssl
marcelloc, mesmo configurando dessa forma que você me informou eu necessito ter o proxy configurado no navegador via wpad, configuração manual ou o certificado instalado na maquina, correto?