Pacote não oficial E2guardian para software pfsense® - Adeus squidguard :D
-
Qual a configuração básica pra proxy transparente + MITM?
O MITM dele é via wpad. Pra fazer os dois, você coloca o squid na fente com splice all.
A interceptação de ssl transparente está no roadmap, deve sair na 4.2 provavelmente.
Bacana!!! Vou aguardar a 4.2!! :D
-
Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.
-
Se estiver usando o squid com a interceptação completa, basta definir o e2guardian como parent para usar as acls.
Como parent fica como a imagem em anexo?
-
Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).
Desta forma:
Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache
-
Se estiver querendo usar o transparente, voce deixa o e2guardian no modo automático e no pacote do squid configuration a segunda aba (remote proxy).
Desta forma:
Squid autenticando e transparente com ssl bump -> e2guardian -> squid mem cache
Marcelloc,
A segunda aba é a "Remote Cache".
Estou utlizando o squid em modo transparente com o Splice ALL. Continuo utilizando esse modo pra trabalhar com o e2guardian ou marco a opção "Splice whitelist, Bump otherwise"?
Como ficaria a configuração na aba remote cache? Não consegui visualizar. kkkkk
-
Certo. Usa o Splice whitelist e no lugar de configurar o remote cache, coloca na custom options:
cache_peer 127.0.0.1 parent 8080 ssl
-
Certo. Usa o Splice whitelist e no lugar de configurar o remote cache, coloca na custom options:
cache_peer 127.0.0.1 parent 8080 ssl
marcelloc, mesmo configurando dessa forma que você me informou eu necessito ter o proxy configurado no navegador via wpad, configuração manual ou o certificado instalado na maquina, correto?
-
Via wpad ou proxy marcado, você manda direto pro e2guardian.
Transparente com certificado instalado, configura o squid como no post acima.
Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.
-
Via wpad ou proxy marcado, você manda direto pro e2guardian.
Transparente com certificado instalado, configura o squid como no post acima.
Transparente sem certificado, você usa o squid com o splice all. Nesse cenário, se configurar o cache peer, o squid vai mandar para o e2guardian só as requisições http.
Ok. Então para o https no modo splice all só na próxima versão do e2g?
-
No splice all o squid não intercepta e consequentemente não encaminha para o parent
-
No splice all o squid não intercepta e consequentemente não encaminha para o parent
Tranquilo. Vlw pelas duvidas sanadas Marcelloc. :D
-
De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.
-
De nada. Vou incluir no pacote uma integração das acls do e2guardian com as acls de https do squid. Dessa forma você tem o bloqueio com o Splice all.
Bahh! Isso vai ajudar muito!!! No aguardo!!! :D
-
Subi uma requisição de mudança para aplicar o novo template de erro no template em portugues e criei também um aquivo de erro em php para aumentar o nível de detalhes e personalização da ferramenta.
https://github.com/e2guardian/e2guardian/pull/236
Se alguém quiser aplicar o template novo antes dele entrar no código padrão e eu compilar novamente, segue o link:
e2gerror.php
https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/e2gerror.phptemplate.html
https://raw.githubusercontent.com/marcelloc/e2guardian/25d06e7416c5f77c859a96988b102e76a4f09bae/data/languages/ptbrazilian/template.html -
Bahh! Isso vai ajudar muito!!! No aguardo!!! :D
Subir uma primeira implementação das acls do e2guardian no filtro de ssl do squid. Instala a versão 0.4.1 do pacote e veja se ela está se comportando de acordo com o que você queria.
Para habilitar a integração, escolha as opções avançadas na aba daemon do pacote.
-
marcelloc,
Após a instalação do e2guardian, fiz mudanças somente na aba Daemon, como você indicou e também na aba ACL opções Site Lists e Url Lists. Pra bloquear somente os marcados nas acls, é assim a configuração?
Vou anexar algumas imagens da minha configuração. No squid tenho configura pra proxy transparente com MITM mode Splice ALL.
-
Nao precisa descomentar as linhas dentro das acls se tiver marcado a categoria na lista acima.
-
Nao precisa descomentar as linhas dentro das acls se tiver marcado a categoria na lista acima.
Ok.
Com essas configs que fiz, não está bloqueando por exemplo, sites pornográficos que configurei.
Em firewall rules esta como a imagem em anexo.
-
Tenta desmarcar essa opção nova no e2guardian e em seguida, no squid coloca isso no custom options before auth
Não esqueça de colocar o e2guardian para ouvir na loopbackcache_peer 127.0.0.1 parent 8080 0 login=*:password always_direct deny all never_direct allow all
E olha o access.log do squid para ver se tem trafego chegando nele.
-
Acabei de subir a versão 0.4 do pacote. 8)
Novidades:
- Agendamento avançado das acls usando o firewall -> schedules.
Nota: As acls agora tem o campo de agendamento. Após a atualização, verifique suas acls para garantir que elas não "pegaram" o primeiro schedule definido no sistema.
É possível agrupar acls para ter um controle granular dos seus acessos. Por exemplo, a aba site acls, crie uma nova acl para redes sociais e nela marque apenas o banned, a blacklist social media e o horario comercial. Depois no grupos, selecione as duas acls (Default e a de redes sociais), salve e aplique. Com essa configuração, você tem a acl Default durante todo o dia e bloqueio de redes sociais durante o horário comercial.
Quando o agendamento passar de ativo para inativo, segundo o schedule definido, o processo recebe um HUP/restart suave. Desta forma as conexões ativas permanecem ativas e somente as novas conexões vão utilizar as novas acls.
Marcelloc,
Participo de um grupo no telegram onde temos mais de 1500 pessoas e muitos estão super interessado em migrar para esse futuro pacote homologado desenvolvido pra você. Contrapartida muitos deles também estão tendo dificuldades nas configurações. Existe uma possibilidade de você fazer um "mini curso" ou algo bem didático para ajudar todos nós?