Pacote não oficial E2guardian para software pfsense® - Adeus squidguard :D



  • Atualizei o procedimento de instalação deste pacote também, agora é possível instalar, atualizar e remover via interface web.

    O procedimento está no primeiro post do tópico.



  • Subi hoje a versão mais nova do e2guardian (4.1.1). A interceptação de ssl e o uso em geral estão com performance acima do esperado.

    Pra quem anda meio chateado com o squidguard, está chegando a hora de aposentar ele  8)

    A imagem abaixo mostra o e2guardian "autenticando por ip", fazendo a interceptação de ssl e identificando o grupo que o usuário faz parte. O mesmo teste com autentições nativas do squid também funcionam…

    O repositório não oficial está atualizado para o pfSense 2.3 e 2.4 64 bits. Amanhã subo os pacotes para a 2.3 32 bits




  • Muito da hora eu também quero aposentar o squidguard. Ele também possui black list? Ele também fica com a tela personalizada pelo o gerror?



  • @danilosv.03:

    Ele também possui black list? Ele também fica com a tela personalizada pelo o gerror?

    Sim. Além de interceptação de ssl, filtro no conteúdo da página, etc…



  • Tu tem algum print da interface gráfica dele viu browser?



  • @danilosv.03:

    Tu tem algum print da interface gráfica dele viu browser?

    São muitas telas. Fiz o print de algumas.












  • Pra configurar ele, tem que desabilitar o squidguard? Será que ele irá pegar minha tela de bloqueio pelo o sgerror?



  • @danilosv.03:

    Pra configurar ele, tem que desabilitar o squidguard? Será que ele irá pegar minha tela de bloqueio pelo o sgerror?

    O template de erro é outro bem como aa configurações. Tem que refazer/migrar/importar



  • Tem como tu postar uma tela de bloqueio dele?





  • Só faltou ter em qual categoria ele foi bloqueado.



  • @danilosv.03:

    Só faltou ter em qual categoria ele foi bloqueado.

    Ele retorna o grupo em que você está inserido e o tipo de regra que te bloqueou(site, url, conteúdo, etc)



  • Acabei de subir a versão 0.3 do pacote. 8)

    Novidades:

    • Proxy parent nativo no pacote.

    • Script watchdog para verificar a execução tanto do e2g quando do parent 'interno'

    Se você não está usando autenticação de usuários, você não precisa mais instalar o pacote do squid. Mas se estiver usando autenticação ou se precisar de proxy transparente, você pode configurar o e2guardian como parent do squid autenticado(modo sanduiche).

    Nota: Movi a configuração de SSL da aba general para a aba daemon, então verifique suas configurações se fizer o upgrade da 0.2.2 para a 0.3




  • Bacana Marcello. Se eu puder, quero sugerir algo. :D

    Nas partes dos "includes" imagem 1 em anexo, poderia deixar como a imagem 2 em anexo? Talvez fique melhor a marcação. Quem sabe colocar em um "expand" pra não ficar tão grande na tela.






  • A framework de pacotes não é tão flexível assim  mas o expand por campo (banner,exceprion,regex) é possível.

    Vou testar algumas variações depois da versão 0.4




  • @marcelloc:

    A framework de pacotes não é tão flexível assim  mas o expand por campo (banner,exceprion,regex) é possível.

    Vou testar algumas variações depois da versão 0.4

    Show de bola Marcello!! :D



  • marcelloc,

    To testando aqui e tá ocorrendo alguns erros. O serviço não starta.

    Segue:

    /pkg.php: The command '/usr/local/etc/rc.d/e2guardian.sh start' returned exit code '1', the output was 'kern.ipc.somaxconn: 16384 -> 16384 kern.maxfiles: 131072 -> 131072 kern.maxfilesperproc: 104856 -> 104856 kern.threads.max_threads_per_proc: 4096 -> 4096 Starting e2guardian. Shared object "libssl.so.9" not found, required by "e2guardian" /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian'
    
    Error reading /usr/local/etc/e2guardian/lists/blacklists/virusinfected/domains. Check directory and file permissions. They should be 640 and 750: No such file or directory
    
    Error opening filter group config: /usr/local/etc/e2guardian/e2guardianf1.conf
    


  • Acabei de subir a versão 0.4 do pacote. 8)

    Novidades:

    • Agendamento avançado das acls usando o firewall -> schedules.

    Nota: As acls agora tem o campo de agendamento. Após a atualização, verifique suas acls para garantir que elas não "pegaram" o primeiro schedule definido no sistema.

    É possível agrupar acls para ter um controle granular dos seus acessos. Por exemplo, a aba site acls, crie uma nova acl para redes sociais e nela marque apenas o banned, a blacklist social media e o horario comercial. Depois no grupos, selecione as duas acls (Default e a de redes sociais), salve e aplique. Com essa configuração, você tem a acl Default durante todo o dia e bloqueio de redes sociais durante o horário comercial.

    Quando o agendamento passar de ativo para inativo, segundo o schedule definido, o processo recebe um HUP/restart suave. Desta forma as conexões ativas permanecem ativas e somente as novas conexões vão utilizar as novas acls.



  • @empbilly:

    To testando aqui e tá ocorrendo alguns erros. O serviço não starta.

    Desinstala o pacote e instala novamente. Durante a instalação, deve aparecer o pacote openssl.

    você pode tentar via console também.

    pkg install openssl



  • Qual a configuração básica pra proxy transparente + MITM?



  • @empbilly:

    Qual a configuração básica pra proxy transparente + MITM?

    O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.

    A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.



  • @marcelloc:

    @empbilly:

    Qual a configuração básica pra proxy transparente + MITM?

    O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.

    A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.

    Bacana!!! Vou aguardar a 4.2!! :D



  • Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.



  • @marcelloc:

    Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.

    Como parent fica como a imagem em anexo?




  • Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).

    Desta forma:

    Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache



  • @marcelloc:

    Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).

    Desta forma:

    Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache

    Marcelloc,

    A segunda aba é a "Remote Cache".

    Estou utlizando o squid em modo transparente com o Splice ALL. Continuo utilizando esse modo pra trabalhar com o e2guardian ou marco a opção "Splice whitelist, Bump otherwise"?

    Como ficaria a configuração na aba remote cache? Não consegui visualizar. kkkkk




  • Certo. Usa o Splice whitelist  e no lugar de configurar o remote cache, coloca na custom options:

    cache_peer 127.0.0.1 parent 8080 ssl 
    


  • @marcelloc:

    Certo. Usa o Splice whitelist  e no lugar de configurar o remote cache, coloca na custom options:

    cache_peer 127.0.0.1 parent 8080 ssl 
    

    marcelloc, mesmo configurando dessa forma que você me informou eu necessito ter o proxy configurado no navegador via wpad, configuração manual ou o certificado instalado na maquina, correto?



  • Via wpad ou proxy marcado, você manda direto pro e2guardian.

    Transparente com certificado instalado, configura o squid como no post acima.

    Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.



  • @marcelloc:

    Via wpad ou proxy marcado, você manda direto pro e2guardian.

    Transparente com certificado instalado, configura o squid como no post acima.

    Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.

    Ok. Então para o https no modo splice all só na próxima versão do e2g?



  • No splice all o squid não intercepta e consequentemente não encaminha para o parent



  • @marcelloc:

    No splice all o squid não intercepta e consequentemente não encaminha para o parent

    Tranquilo. Vlw pelas duvidas sanadas Marcelloc. :D



  • De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.



  • @marcelloc:

    De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.

    Bahh! Isso vai ajudar muito!!! No aguardo!!! :D



  • Subi uma requisição de mudança para aplicar o novo template de erro no template em portugues e criei também um aquivo de erro em php para aumentar o nível de detalhes e personalização da ferramenta.

    https://github.com/e2guardian/e2guardian/pull/236

    Se alguém quiser aplicar o template novo antes dele entrar no código padrão e eu compilar novamente, segue o link:

    e2gerror.php
    https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/e2gerror.php

    template.html
    https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/languages/ptbrazilian/template.html



  • @empbilly:

    Bahh! Isso vai ajudar muito!!! No aguardo!!! :D

    Subir uma primeira implementação das acls do e2guardian no filtro de ssl do squid. Instala a versão 0.4.1 do pacote e veja se ela está se comportando de acordo com o que você queria.

    Para habilitar a integração, escolha as opções avançadas na aba daemon do pacote.



  • marcelloc,

    Após a instalação do e2guardian, fiz mudanças somente na aba Daemon, como você indicou e também na aba ACL opções Site Lists e Url Lists. Pra bloquear somente os marcados nas acls, é assim a configuração?

    Vou anexar algumas imagens da minha configuração. No squid tenho configura pra proxy transparente com MITM mode Splice ALL.










  • Nao precisa descomentar as linhas dentro das acls se tiver marcado a categoria na lista acima.



  • @marcelloc:

    Nao precisa descomentar as linhas dentro das acls se tiver marcado a categoria na lista acima.

    Ok.

    Com essas configs que fiz, não está bloqueando por exemplo, sites pornográficos que configurei.

    Em firewall rules esta como a imagem em anexo.




  • Tenta desmarcar essa opção nova no e2guardian e em seguida, no squid coloca isso no custom options before auth
    Não esqueça de colocar o e2guardian para ouvir na loopback

    
    cache_peer 127.0.0.1 parent 8080 0 login=*:password
    always_direct deny all
    never_direct allow all
    
    

    E olha o access.log do squid para ver se tem trafego chegando nele.