Pacote não oficial E2guardian v5 para software pfsense®
-
Fiz isto marcello, ainda continuo com um alto consumo de memoria. Estou mandando um print também do ps aux que rodei no console.
Esses processos de pinger não são do pacote. O consumo de memória do E2guardian existe mesmo. Em um ambiente de produção com quase mil máquinas onde instalei o e2guardian, ele consome de 9 a 12g de ram, dependendo do volume de utilização.
Veja se a máquina está fazendo swap ou se apesar do consumo alto, a máquina está estável.
-
Amigos, quando ativo o filtro SSL para possibilitar o bloqueio dos sites HTTPS, ocorre o seguinte:
Alguns sites abrem - https://ibb.co/b0k5Nx
Outros não - https://ibb.co/i2jX2x
Erro chrome:
ERR_SSL_PROTOCOL_ERRORErro firefox:
Ocorreu um erro durante uma conexão com www.google.com. O SSL recebeu um registro que excedia o comprimento máximo permitido. (Código do erro: ssl_error_rx_record_too_long)Minhas configurações do squid e e2guardian:
https://ibb.co/iEv89c
https://ibb.co/e9KDaHO que pode está acontecendo?
-
Saulo, anexa as imagens na própria mensagem no lugar de incluir links para sites externos.
Deixe somente o e2guardian v5 no ar e veja como fica a interceptação. Esses erros de rx_record_too_long eu só vejo quando uso o squid.
Nas imagens, tem o squid pacote habilitado com interceptação, e2guardian habilitado com interceptação e utilizando o parent proxy automatico(outra instancia do squid)
-
Marcello, quando desabilito a interceptação SSL no SQUID, não consigo bloquear sites HTTPS no E2GUARDIAN.
Uso o SQUID como transparente, pois uso o LIGHTSQUID para gerar os relatórios.
Existe outro caminho sem ser esse, para gerar relatórios?
Só funciona bem se usar o E2GUARDIAN puro? O SQUID não se integra bem com o E2GUARDIAN? -
Pessoal, habilitei o SQUID, mas sem o proxy transparente e sem a interceptação, deixei isso por conta do E2GUARDIAN. Na configuração parent mode: direct connect.
Obrigado Marcello!
-
Deixei isso por conta do E2GUARDIAN. Na configuração parent mode: direct connect.
Nessa configuração, o e2guardian está fazendo tomando conta de tudo, pode desativar o squid.
-
Desabilitei, está perfeito!
Preciso configurar agora os logs, pois antes usava o lightsquid.
Vi que no próprio E2GUARDIAN tem opções de log, porém n sei como configurar para o lightsquid ler ou outra ferramenta compatível.
Qual ferramenta é mais recomendada nesse cenário? Me ajuda!
-
Squid log format e tenta criar um link da pasta para a pasta que o lightsquid procura ou altera o .inc do lightsquid pra ler a pasta certa.
-
Tarde pessoal,
Estou na luta ai tentando fazer funcionar, ja fiz a refiz 10 vezes do zero :) e nao consigo achar o erro.
Resumo: E2guard V5
ACL de redesociais (que estou testando) Bloqueia!!! todos os sites, porém não consigo fazer dar o erro amigavel para usuario.
E o certificado na estacao não é do Pfsense.
Tem como me da uma luz por favor… nao consigo sair disso.
Ja vi e revi video do marcello, serio ... 5 vezes seguida, fazendo exatamente igual ele, e aqui pra mim NAO da certo...
-
Qual erro o usuário recebe quando bloqueia connection refused?
-
Marcelo,
Então …
Cara serio mesmo tem algum BUG ... antes de pegar agora o erro pra te enviar - eu zerei de novo... e "meio que PESQUEI" que tem algum erro/Bug, sei lá.
Eu sigo seu video! blza ... funciona como falei acima, ele bloqueia redesocial seguindo exatamente seu video, porem, nao mostra erro pro usario, da erro ERROR-SSL no navegador.
Ai refiz tudo do zero, fez o bloqueio. LEGAL, pensei consegui!!!
Ai salvei, e reiniciei o Pfsense, cara juro, sem mudar nada, apenas reiniciando o pf, PARA de funcionar … isso que estou frustrado.
Anexo notei uma coisa, quando faço da primeira vez e ativo o serviço, funciona, apos eu reiniciar ... toda vez que eu reinciar o botao aplicar mudanças está para ativar > e nao bloqueia mais nada, mesmo eu clicando no botao, e reiniciando, sem reiniciar … nao bloqueia mais.
-
Anexo notei uma coisa, quando faço da primeira vez e ativo o serviço, funciona, apos eu reiniciar … toda vez que eu reinciar o botao aplicar mudanças está para ativar > e nao bloqueia mais nada, mesmo eu clicando no botao, e reiniciando, sem reiniciar … nao bloqueia mais.
Vou verificar a questão do reboot assim que possível, mas foca na configuração afinal firewall não é ativo windows para viver dando boot ;)
-
Marcelo,
Claro, perfeitamente … que firewall não é pra ficar fazendo reboot.
E que mexi tanto, que não estava entendendo ... porque tinha hora que funcionada e hora não.
Ou seja ... tinha dia que eu começava configurar pela manhã ... tals ... bloqueando, eu ia avançando os testes ... um, dois, treis dias, estudando ... AI no primeiro reboot, eu caia por TERRA entende, UÉ, parava de funcionar do nada, sem eu alterar nada, apenas ao dar reboot para de funcionar.
Ai vai lá eu, ver seu video, e fazer tudo de novo, ... ai ia montando digamos por 2 dias ... ai no reboot, novamente ... parava ...
Só consegui pegar isso HJ - que ele para de funcionar ao reiniciar.
Legal meu querido, aguardo … você dar uma noticia boa :)
Valeu.
-
Esse tutorial do nosso amigo ainda serve?
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
Os problemas relatados no fim dos comentários será que estarão resolvidos, não implementei ainda pois vi que estavam com alguns problemas, tomara que sejam sanados, parabéns pelo trabalho.
Fala galera, tudo tranquilo?
Então, estava sem tempo de testar o e2guardian, pois troquei de trabalho e estava com outros projetos. Vou realizar um lab de testes novamente e irei atualizar o tutorial acima. No que eu conseguir, eu posto aqui avisando.
Continue com esse ótimo trabalho marcelloc!!! :D
-
Atualizei a versão para a 5.0.1_3.
Pontos principais:
-
Inclusão do tipo do grupo que antes eram opções espalhada pelos arquivos de acls.
-
Correção da função LDAP para popular os grupos
![group type.PNG](/public/imported_attachments/1/group type.PNG)
![group type.PNG_thumb](/public/imported_attachments/1/group type.PNG_thumb) -
-
Marcelo, parabéns pelo trabalho, esta ficando cada vez melhor o pacote.
Minha contribuição para a thread é a seguinte:
Após atualizar o E2Guadian para versão 5, acabei tendo problemas na opção de autenticação por IP. Ele não marcou a opção na atualização e ao subir o serviço na mão constatei o erro, que foir resolvido na guia General >> Auth Plugin, não tinha nenhuma opção selecionada, voltei a marcar a opção IP Address e ficou normal.
Atualizei o squid também e tive um erro que não lembro qual era, mas que foi resolvido limpando o cache do squid.
No mais a performance esta superior sim, conforme foi informado. Estou esperando um pouco para colocar em produção em outros clientes.
-
Obrigado pelo retorno Alessandro. Se estiver usando somente a autenticação por ip, não precisa subir o squid.
-
Esse tutorial do nosso amigo ainda serve?
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
Os problemas relatados no fim dos comentários será que estarão resolvidos, não implementei ainda pois vi que estavam com alguns problemas, tomara que sejam sanados, parabéns pelo trabalho.
Fala galera, tudo tranquilo?
Então, estava sem tempo de testar o e2guardian, pois troquei de trabalho e estava com outros projetos. Vou realizar um lab de testes novamente e irei atualizar o tutorial acima. No que eu conseguir, eu posto aqui avisando.
Continue com esse ótimo trabalho marcelloc!!! :D
Na espera ! ;D
-
ola, estou com o e2guardian instalado aqui na empresa fiz alguns testes e ate agora tudo ok, porem não estou comprendendo como faço para permitir um site para um ip,como faço isso? já vi uns tutorias mas nada ficou claro.
-
ola, estou com o e2guardian instalado aqui na empresa fiz alguns testes e ate agora tudo ok, porem não estou comprendendo como faço para permitir um site para um ip,como faço isso? já vi uns tutorias mas nada ficou claro.
Viu o screencast que gravei?
Basicamente você precisa:
-
cria as acls de site, url,etc, quantas quiser ou precisar
-
cria os grupos com cada tipo de perfil
-
Habilita a autenticação por ip(exemplo)
-
depois de salvar as acls e grupos, vai na aba IP e coloca o(s) ip(s) das maquinas nos seus respectivos grupos
-
Salva e aplica
-
-
Olá montei um ambiente com a ultima versão do pfsense, instalei o squid e o e2guardian v5, instalei o squid porque preciso filtrar por usuário e não IP.
O problema é que o site do google e uol por exemplo apresentam erro.
Seguem os prints da configuração e do erro.
Obs: foi instalado o certificado no browser, tanto que site do submarino que é https abre normalmente.
-
Boa noite pessoal hoje me deparei com o seguinte erro que não deixa o serviço levantar:
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story Reporting_level is : 0 file /usr/local/etc/e2guardian/e2guardianf5.conf SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story master: Error binding server thttps socket: (Address already in use) Exiting with error
-
Boa noite pessoal hoje me deparei com o seguinte erro que não deixa o serviço levantar:
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story Reporting_level is : 0 file /usr/local/etc/e2guardian/e2guardianf5.conf SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story master: Error binding server thttps socket: (Address already in use) Exiting with error
Fora todos esses warnings de listas vazias, o erro diz que já tem um processo ouvindo na porta
master: Error binding server thttps socket: (Address already in use)
-
Olá montei um ambiente com a ultima versão do pfsense, instalei o squid e o e2guardian v5, instalei o squid porque preciso filtrar por usuário e não IP.
O problema é que o site do google e uol por exemplo apresentam erro.
Seguem os prints da configuração e do erro.
Obs: foi instalado o certificado no browser, tanto que site do submarino que é https abre normalmente.
Desativa a interceptação de ssl do squid e deixa o e2guardian na frente.
Na aba daemon do e2g, configure ele no lugar de direct connect para remote proxy, preenchendo ip e porta da lan do squid.
no squid, remova as configurações de parent que colocou . -
Olá montei um ambiente com a ultima versão do pfsense, instalei o squid e o e2guardian v5, instalei o squid porque preciso filtrar por usuário e não IP.
O problema é que o site do google e uol por exemplo apresentam erro.
Seguem os prints da configuração e do erro.
Obs: foi instalado o certificado no browser, tanto que site do submarino que é https abre normalmente.
Desativa a interceptação de ssl do squid e deixa o e2guardian na frente.
Na aba daemon do e2g, configure ele no lugar de direct connect para remote proxy, preenchendo ip e porta da lan do squid.
no squid, remova as configurações de parent que colocou .Obrigado pelo retorno marcelloc, fiz conforme suas orientações, agora se acesso um site sem ssl da acesso negado, e quando tentar acessar o google por exemplo, demora muito e quando carrega diz que tenho que fazer autenticação, porém eu já fiz no captive portal.
Segume os prints do erro e das configurações após as alterações
-
O squid ainda está com Proxy transparente habilitado.
Está integrando com o captive? Se tiver, talvez precise alterar alguma coisa nas custom acls do squid porque o ip que vai aparecer no log é o do e2guardian que está na frente.
Procure por custom acls do squid que registram o ip do x_forwarded_for e no e2guardian, habilite o envio da variável x_forwarded_for
-
O squid ainda está com Proxy transparente habilitado.
Está integrando com o captive? Se tiver, talvez precise alterar alguma coisa nas custom acls do squid porque o ip que vai aparecer no log é o do e2guardian que está na frente.
Procure por custom acls do squid que registram o ip do x_forwarded_for e no e2guardian, habilite o envio da variável x_forwarded_for
Primeiro vou tentar fazer funcionar sem autenticar por usuario, com um filtro padrao do e2guardian, depois vejo a parte de integração com o cp.
Eu desabilitei o a opção de proxy transparente do squid, e voltou o do jeito que estava no começo, sites sem ssl abrem normalmente, e alguns sites com ssl apresentam erro, como o google e uol.
-
Deixa só o e2guardian ativo(lan e loopback + transparente na lan), lembrando de deixar ele no modo direct connect. Salva e aplica.
Monitora pelos logs se o tráfego está indo pra ele mesmo e começa a evoluir a configuração (acls, grupos, etc).
A autenticação por ip é bem eficiente para entender e ajustar os grupos antes de ir para configurações mais complexas.
-
Fala marcelo, acho que descobri o problema, no inicio das configs do e2guardian, eu nao tinha criado um certificado, entao usei o do freeradius.
Mas ai depois criei uma ca e coloquei no e2guardian, porém pelo que vi o e2guardian não esta mudando o certificado.
-
Fala marcelo, acho que descobri o problema, no inicio das configs do e2guardian, eu nao tinha criado um certificado, entao usei o do freeradius.
Mas ai depois criei uma ca e coloquei no e2guardian, porém pelo que vi o e2guardian não esta mudando o certificado.
A interceptação ocorre com a definição da na aba daemon e nas opções do grupo.
Se no grupo não estiver habilitado a interceptação, ele vai filtrar baseado no certificado do site, sem fazer o MITM, semelhante ao spliceall do squid.
-
Eu sei, já deu certo aqui, instalei o certificado antigo do freeradius. Tem um bug ai, uma vez que vc seleciona um certificado no e2guardian, e depois muda para outro, ele não esta alterando nas configs.
Testa ai pra vc ver, por isso eu estava com erros de certificado.
-
O Pacote faz cache dos certificados gerados, ele deve estar entregando um certificado já gerado.
Vou colocar na lista de 'coisas a verificar'.
Valeu pelo feedback.
-
Poderia me informar qual arquivo de configuração vc salva essa informação do certificado para que eu passo mudar manualmente para continuar os testes com o certificado certo?
-
Poderia me informar qual arquivo de configuração vc salva essa informação do certificado para que eu passo mudar manualmente para continuar os testes com o certificado certo?
olhando rapidamente o código, acredito que fica aqui
/usr/local/etc/e2guardian/ssl/generatedcerts
-
O serviço sobe normalmente, o que acontece, é que no inicio usei um certificado, depois criei outro, e ao mudar o certificado no e2guardian, aparentemente ele não esta mudando nas configs, somente na tela do browser, por isso queria confirmar nas configs.
-
Ja troquei o certificado algumas vezes. Talvez precise só remover os certificados gerados, parar o serviço, subir novamente ou coisas do tipo.
De qualquer forma vou conferir a rotina quando o certificado é trocado. Talvez forçar a exclusão do cache de certifidos seja a melhor opção.
-
Apaguei o certificado antigo em Cert Manager, parei o serviço do e2guardian, e iniciei, deu certo, pegou o novo.
-
Marcelloc agora coloquei o squid na frente e voltou a dar erro de certificado no browser, ai olhando no browser esta com o certificado do freeradius, porém eu já exclui esse certificado, no squid e no e2guardian estão com o certificado novo.
-
:'( Não sei oque houve estava tudo correndo bem mas meu e2guardian agora esta bloqueando todo o trafego https se eu deixar marcada a opção filter ssl sites forging ssl certficates (off) pra funcionar tenho que deixar isso desmarcado nos grupos o que que faz com que a tela de bloquei desapareça ficando apenas uma tela de erro de carregamento de pagina, fazendo com que o e2guardian funcione como o squidguard no modo splice all, o que sera que houve? :'( :'( :'(
Quando deixo marcado a opção filter ssl sites forging ssl certficates (off) o trafego https só e liberado nas estações que tem instalado a CA
-
Quando deixo marcado a opção filter ssl sites forging ssl certficates (off) o trafego https só e liberado nas estações que tem instalado a CA
É exatamente assim que tem que funcionar. A página de erro só aparece quando o trafego é de fato interceptado.
Quando o filtro ssl está habilitado mas a interceptação não, o teste é feito no certificado e caso seja negado, o proxy só pode fazer isso recusando a conexão.
Resumindo a configuração:
Em redes wifi, hotspot e etc, onde você não tem o controle das estações, modo verificação de certificado(splice_all) e mensagem de conexão recusada para ssl
Em redes coorporativas onde podemos instalar a CA nas estações, habilitamos a interceptação e temos pagina de bloqueio formatada para sites https bloqueados.