Pacote não oficial E2guardian para software pfsense® - Adeus squidguard :D



  • @danilosv.03:

    Ele também possui black list? Ele também fica com a tela personalizada pelo o gerror?

    Sim. Além de interceptação de ssl, filtro no conteúdo da página, etc…



  • Tu tem algum print da interface gráfica dele viu browser?



  • @danilosv.03:

    Tu tem algum print da interface gráfica dele viu browser?

    São muitas telas. Fiz o print de algumas.












  • Pra configurar ele, tem que desabilitar o squidguard? Será que ele irá pegar minha tela de bloqueio pelo o sgerror?



  • @danilosv.03:

    Pra configurar ele, tem que desabilitar o squidguard? Será que ele irá pegar minha tela de bloqueio pelo o sgerror?

    O template de erro é outro bem como aa configurações. Tem que refazer/migrar/importar



  • Tem como tu postar uma tela de bloqueio dele?





  • Só faltou ter em qual categoria ele foi bloqueado.



  • @danilosv.03:

    Só faltou ter em qual categoria ele foi bloqueado.

    Ele retorna o grupo em que você está inserido e o tipo de regra que te bloqueou(site, url, conteúdo, etc)



  • Acabei de subir a versão 0.3 do pacote. 8)

    Novidades:

    • Proxy parent nativo no pacote.

    • Script watchdog para verificar a execução tanto do e2g quando do parent 'interno'

    Se você não está usando autenticação de usuários, você não precisa mais instalar o pacote do squid. Mas se estiver usando autenticação ou se precisar de proxy transparente, você pode configurar o e2guardian como parent do squid autenticado(modo sanduiche).

    Nota: Movi a configuração de SSL da aba general para a aba daemon, então verifique suas configurações se fizer o upgrade da 0.2.2 para a 0.3




  • Bacana Marcello. Se eu puder, quero sugerir algo. :D

    Nas partes dos "includes" imagem 1 em anexo, poderia deixar como a imagem 2 em anexo? Talvez fique melhor a marcação. Quem sabe colocar em um "expand" pra não ficar tão grande na tela.






  • A framework de pacotes não é tão flexível assim  mas o expand por campo (banner,exceprion,regex) é possível.

    Vou testar algumas variações depois da versão 0.4




  • @marcelloc:

    A framework de pacotes não é tão flexível assim  mas o expand por campo (banner,exceprion,regex) é possível.

    Vou testar algumas variações depois da versão 0.4

    Show de bola Marcello!! :D



  • marcelloc,

    To testando aqui e tá ocorrendo alguns erros. O serviço não starta.

    Segue:

    /pkg.php: The command '/usr/local/etc/rc.d/e2guardian.sh start' returned exit code '1', the output was 'kern.ipc.somaxconn: 16384 -> 16384 kern.maxfiles: 131072 -> 131072 kern.maxfilesperproc: 104856 -> 104856 kern.threads.max_threads_per_proc: 4096 -> 4096 Starting e2guardian. Shared object "libssl.so.9" not found, required by "e2guardian" /usr/local/etc/rc.d/e2guardian.sh: WARNING: failed to start e2guardian'
    
    Error reading /usr/local/etc/e2guardian/lists/blacklists/virusinfected/domains. Check directory and file permissions. They should be 640 and 750: No such file or directory
    
    Error opening filter group config: /usr/local/etc/e2guardian/e2guardianf1.conf
    


  • Acabei de subir a versão 0.4 do pacote. 8)

    Novidades:

    • Agendamento avançado das acls usando o firewall -> schedules.

    Nota: As acls agora tem o campo de agendamento. Após a atualização, verifique suas acls para garantir que elas não "pegaram" o primeiro schedule definido no sistema.

    É possível agrupar acls para ter um controle granular dos seus acessos. Por exemplo, a aba site acls, crie uma nova acl para redes sociais e nela marque apenas o banned, a blacklist social media e o horario comercial. Depois no grupos, selecione as duas acls (Default e a de redes sociais), salve e aplique. Com essa configuração, você tem a acl Default durante todo o dia e bloqueio de redes sociais durante o horário comercial.

    Quando o agendamento passar de ativo para inativo, segundo o schedule definido, o processo recebe um HUP/restart suave. Desta forma as conexões ativas permanecem ativas e somente as novas conexões vão utilizar as novas acls.



  • @empbilly:

    To testando aqui e tá ocorrendo alguns erros. O serviço não starta.

    Desinstala o pacote e instala novamente. Durante a instalação, deve aparecer o pacote openssl.

    você pode tentar via console também.

    pkg install openssl



  • Qual a configuração básica pra proxy transparente + MITM?



  • @empbilly:

    Qual a configuração básica pra proxy transparente + MITM?

    O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.

    A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.



  • @marcelloc:

    @empbilly:

    Qual a configuração básica pra proxy transparente + MITM?

    O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.

    A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.

    Bacana!!! Vou aguardar a 4.2!! :D



  • Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.



  • @marcelloc:

    Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.

    Como parent fica como a imagem em anexo?




  • Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).

    Desta forma:

    Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache



  • @marcelloc:

    Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).

    Desta forma:

    Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache

    Marcelloc,

    A segunda aba é a "Remote Cache".

    Estou utlizando o squid em modo transparente com o Splice ALL. Continuo utilizando esse modo pra trabalhar com o e2guardian ou marco a opção "Splice whitelist, Bump otherwise"?

    Como ficaria a configuração na aba remote cache? Não consegui visualizar. kkkkk




  • Certo. Usa o Splice whitelist  e no lugar de configurar o remote cache, coloca na custom options:

    cache_peer 127.0.0.1 parent 8080 ssl 
    


  • @marcelloc:

    Certo. Usa o Splice whitelist  e no lugar de configurar o remote cache, coloca na custom options:

    cache_peer 127.0.0.1 parent 8080 ssl 
    

    marcelloc, mesmo configurando dessa forma que você me informou eu necessito ter o proxy configurado no navegador via wpad, configuração manual ou o certificado instalado na maquina, correto?



  • Via wpad ou proxy marcado, você manda direto pro e2guardian.

    Transparente com certificado instalado, configura o squid como no post acima.

    Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.



  • @marcelloc:

    Via wpad ou proxy marcado, você manda direto pro e2guardian.

    Transparente com certificado instalado, configura o squid como no post acima.

    Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.

    Ok. Então para o https no modo splice all só na próxima versão do e2g?



  • No splice all o squid não intercepta e consequentemente não encaminha para o parent



  • @marcelloc:

    No splice all o squid não intercepta e consequentemente não encaminha para o parent

    Tranquilo. Vlw pelas duvidas sanadas Marcelloc. :D



  • De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.



  • @marcelloc:

    De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.

    Bahh! Isso vai ajudar muito!!! No aguardo!!! :D



  • Subi uma requisição de mudança para aplicar o novo template de erro no template em portugues e criei também um aquivo de erro em php para aumentar o nível de detalhes e personalização da ferramenta.

    https://github.com/e2guardian/e2guardian/pull/236

    Se alguém quiser aplicar o template novo antes dele entrar no código padrão e eu compilar novamente, segue o link:

    e2gerror.php
    https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/e2gerror.php

    template.html
    https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/languages/ptbrazilian/template.html



  • @empbilly:

    Bahh! Isso vai ajudar muito!!! No aguardo!!! :D

    Subir uma primeira implementação das acls do e2guardian no filtro de ssl do squid. Instala a versão 0.4.1 do pacote e veja se ela está se comportando de acordo com o que você queria.

    Para habilitar a integração, escolha as opções avançadas na aba daemon do pacote.



  • marcelloc,

    Após a instalação do e2guardian, fiz mudanças somente na aba Daemon, como você indicou e também na aba ACL opções Site Lists e Url Lists. Pra bloquear somente os marcados nas acls, é assim a configuração?

    Vou anexar algumas imagens da minha configuração. No squid tenho configura pra proxy transparente com MITM mode Splice ALL.










  • Nao precisa descomentar as linhas dentro das acls se tiver marcado a categoria na lista acima.



  • @marcelloc:

    Nao precisa descomentar as linhas dentro das acls se tiver marcado a categoria na lista acima.

    Ok.

    Com essas configs que fiz, não está bloqueando por exemplo, sites pornográficos que configurei.

    Em firewall rules esta como a imagem em anexo.




  • Tenta desmarcar essa opção nova no e2guardian e em seguida, no squid coloca isso no custom options before auth
    Não esqueça de colocar o e2guardian para ouvir na loopback

    
    cache_peer 127.0.0.1 parent 8080 0 login=*:password
    always_direct deny all
    never_direct allow all
    
    

    E olha o access.log do squid para ver se tem trafego chegando nele.



  • @marcelloc:

    Acabei de subir a versão 0.4 do pacote. 8)

    Novidades:

    • Agendamento avançado das acls usando o firewall -> schedules.

    Nota: As acls agora tem o campo de agendamento. Após a atualização, verifique suas acls para garantir que elas não "pegaram" o primeiro schedule definido no sistema.

    É possível agrupar acls para ter um controle granular dos seus acessos. Por exemplo, a aba site acls, crie uma nova acl para redes sociais e nela marque apenas o banned, a blacklist social media e o horario comercial. Depois no grupos, selecione as duas acls (Default e a de redes sociais), salve e aplique. Com essa configuração, você tem a acl Default durante todo o dia e bloqueio de redes sociais durante o horário comercial.

    Quando o agendamento passar de ativo para inativo, segundo o schedule definido, o processo recebe um HUP/restart suave. Desta forma as conexões ativas permanecem ativas e somente as novas conexões vão utilizar as novas acls.

    Marcelloc,
    Participo de um grupo no telegram onde temos mais de 1500 pessoas e muitos estão super interessado em migrar para esse futuro pacote homologado desenvolvido pra você. Contrapartida muitos deles também estão tendo dificuldades nas configurações. Existe uma possibilidade de você fazer um "mini curso" ou algo bem didático para ajudar todos nós?



  • @marcelloc:

    Tenta desmarcar essa opção nova no e2guardian e em seguida, no squid coloca isso no custom options before auth
    Não esqueça de colocar o e2guardian para ouvir na loopback

    
    cache_peer 127.0.0.1 parent 8080 0 login=*:password
    always_direct deny all
    never_direct allow all
    
    

    E olha o access.log do squid para ver se tem trafego chegando nele.

    Bahh marcelloc, show de bola!! Agora tá funcionando com o squid em proxy transparente e MITM no modo Splice ALL. :D

    Se tu quiser fazer mais testes, só da um grito!!! Até pra fazer um tutorial basico de configuração pro pessoal que também está com dificuldades. Vlw



  • @empbilly:

    Se tu quiser fazer mais testes, só da um grito!!! Até pra fazer um tutorial basico de configuração pro pessoal que também está com dificuldades. Vlw

    Gravei uma aula com overview da ferramenta. Deve ser publicada em breve.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy