Pacote não oficial E2guardian v5 para software pfsense®
-
Senhores,
Subi a primeira versão funcional do e2guardian v5 para o repositório não oficial.
Como a versão 4.1 precisa de um parent proxy com interceptação de ssl habilitada para funcionar sem crash, decidi remover ela da lista de pacotes não oficiais para a versão 2.4.
Estou testando ele com direct mode e interceptação de ssl com proxy marcado e até agora não percebi nenhum crash.
Vou focar agora em acertar a replicação da configuração via GUI XMLRPC e incluir as regras de proxy transparente.
Vale lembrar que essa versão 5 não depende do squid para funcionar, mas pode ser usada em conjunto e inclusive com ICAP server para o squid(parecido com o funcionamento do squidguard).
Entenda melhor os pacotes não oficiais
https://github.com/marcelloc/Unofficial-pfSense-packagesProcedimento para habilitar o repositório de pacotes não oficiais:
pfSense 2.3 ou superior:fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.confTreinamentos de Elite: http://sys-squad.com
-
Versão 0.5.0_9 do pacote
-
Corrigido xmlrpc
-
Incluido regras para o proxy transparente
Faltando testar/implementar
- Modo ICAP para funcionar como um helper do squid
Fiz vários testes com ele sendo o único proxy instalado e até agora não encontrei crashes ou erros.
Muitas configurações e listas mudaram de lugar, testando básico do pacote está ok, mas testes e feedbacks são muito bem vindos.
-
-
Marcello, acabei de testar e parece tudo certo, testei em modo transparente e consegui bloqueio de redes sociais pela categoria da shallalist.
Só o log https não aparece em Real Time, só http.
Abraço, e parabéns pelo trabalho!
-
Abri dois tickets ontem a noite no projeto e já temos a correção 8)
https://github.com/e2guardian/e2guardian/issues/359
https://github.com/e2guardian/e2guardian/issues/360 -
Abri dois tickets ontem a noite no projeto e já temos a correção 8)
https://github.com/e2guardian/e2guardian/issues/359
https://github.com/e2guardian/e2guardian/issues/360Muito bom.
-
Performance impressionante!
-
Após os testes e verificações, será lançado algum passo-a-passo ou tutorial básico como tinha na outra versão?
-
Após os testes e verificações, será lançado algum passo-a-passo ou tutorial básico como tinha na outra versão?
As mudanças na interface gráfica são minimas, pode usar o outro tutorial como base.
-
Show marcelloc.
Estou realizando os testes e até o momento me parece que a performance está bem superior a versão anterior.
Fiquei em dúvida de como se deve utilizar os Blanket blocks agora, que antes ara bloquear tudo, bastava adicionar
**
**sPara http e https respectivamente, agora é apenas pela lista de categorias ?
Obrigado e parabéns mais um vez.
-
Fiquei em dúvida de como se deve utilizar os Blanket blocks agora, que antes ara bloquear tudo, bastava adicionar
**
**sPara http e https respectivamente, agora é apenas pela lista de categorias ?
Não testei ainda.
-
Esse tutorial do nosso amigo ainda serve?
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
Os problemas relatados no fim dos comentários será que estarão resolvidos, não implementei ainda pois vi que estavam com alguns problemas, tomara que sejam sanados, parabéns pelo trabalho.
-
Assista ao screencast que fiz sobre o e2guardian. Está disponível lá no sys-squad
http://sys-squad.com/screencast/59
configuração básica (http e https transparente) nas imagens abaixo
-
Esse tutorial do nosso amigo ainda serve?
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
Os problemas relatados no fim dos comentários será que estarão resolvidos, não implementei ainda pois vi que estavam com alguns problemas, tomara que sejam sanados, parabéns pelo trabalho.
Boa tarde pessoal.
Também gostaria de saber. Meu ambiente esta funcionando de acordo com este tutorial, porém com essa nova versão do e2guardian ainda não consegui ativar o ssl MITM com proxy transparente…
EDIT - Funcionando com interceptação SSL e proxy transparente. Desativei a interceptação SSL do Squid e removi as opções de "Custon Options (Before Auth):". A única coisa que notei até agora é que a página de bloqueio do e2guardian não é exibida caso o squid esteja ativo. Testando!
Marcelo, muito obrigado pela sua contribuição!
-
Boa tarde, instalei e esta tudo funcionando até o momento, porem estou com dificuldade em acessar os logs, quais ferramentas vocês estão usando.
Tentei com o Squid analyzer mas ele não encontra os logs.
Alguém esta conseguindo acessar os logs de acesso negado por usuário?
-
Alguém esta conseguindo acessar os logs de acesso negado por usuário?
Se estiver registrando os usuarios pelo squid, então aponte a ferramenta para ele.
-
A versão 5 está escalonando tanto verticalmente quanto horizontalmente.
Este primeiro servidor em produção está trabalhando com 15mil processos simultâneos e batendo picos de quase 300 conexões por segundo. 8)
Que ferramenta!!!!
-
Fantástico, isso tem que estar no repositório oficial em breve.
-
Boa noite
Estou começando agora no e2guardian e já cai direto na v5. Antes de tudo, parabéns pelo trabalho.
Pra mim, já resolveu um grande problema, só quero tirar uma dúvida.
Estou usando proxy transparente, sem certificado no cliente, e nas páginas https, não aparece a error page do e2guardian aparece ERR_SSL_PROTOCOL_ERROR.
É normal assim nesta situação (transparente) ou tem como mostrar a página de erro como já é mostrado para páginas http? -
Estou usando proxy transparente, sem certificado no cliente, e nas páginas https, não aparece a error page do e2guardian aparece ERR_SSL_PROTOCOL_ERROR.
É normal assim nesta situação (transparente) ou tem como mostrar a página de erro como já é mostrado para páginas http?Se habilitou o filtro de ssl na aba Daemon mas não marcou a interceptação de ssl no grupo, o erro de site negado para o cliente vai aparecer como conexão recusada.
Pra mostrar a página de erro, você precisa habilitar a interceptação no(s) grupo(s)e instalar o certificado nas máquinas.
-
Marcelo,
Estou tendo um alto consumo de memoria em relação a versão anterior.Em um ambiente de produção pequeno, que coloquei para testar, tem cerca de 10 estações em uma máquina Core i3, 4GB de RAM, depois de 5~6 horas o consumo sobe para praticamente 100%.
Tem algum parâmetro que você para mensurar as configurações de um ambiente ?
-
Tem algum parâmetro que você para mensurar as configurações de um ambiente ?
Diminui a quantidade de processos em execução. Ele vem com 256, tenta 180 ou 150.
-
Estou usando proxy transparente, sem certificado no cliente, e nas páginas https, não aparece a error page do e2guardian aparece ERR_SSL_PROTOCOL_ERROR.
É normal assim nesta situação (transparente) ou tem como mostrar a página de erro como já é mostrado para páginas http?Se habilitou o filtro de ssl na aba Daemon mas não marcou a interceptação de ssl no grupo, o erro de site negado para o cliente vai aparecer como conexão recusada.
Pra mostrar a página de erro, você precisa habilitar a interceptação no(s) grupo(s)e instalar o certificado nas máquinas.
Obrigado pela resposta.
Sim eu ativei o SSL, ele está fazendo a interceptação (que é o principal), mas não tenho como instalar os certificados nos clientes (celulares e notebooks particulares).
Era só uma dúvida se teria como contornar este detalhe. -
Tem algum parâmetro que você para mensurar as configurações de um ambiente ?
Diminui a quantidade de processos em execução. Ele vem com 256, tenta 180 ou 150.
Fiz isto marcello, ainda continuo com um alto consumo de memoria. Estou mandando um print também do ps aux que rodei no console.
Obrigado por enquanto.
-
Fiz isto marcello, ainda continuo com um alto consumo de memoria. Estou mandando um print também do ps aux que rodei no console.
Esses processos de pinger não são do pacote. O consumo de memória do E2guardian existe mesmo. Em um ambiente de produção com quase mil máquinas onde instalei o e2guardian, ele consome de 9 a 12g de ram, dependendo do volume de utilização.
Veja se a máquina está fazendo swap ou se apesar do consumo alto, a máquina está estável.
-
Amigos, quando ativo o filtro SSL para possibilitar o bloqueio dos sites HTTPS, ocorre o seguinte:
Alguns sites abrem - https://ibb.co/b0k5Nx
Outros não - https://ibb.co/i2jX2x
Erro chrome:
ERR_SSL_PROTOCOL_ERRORErro firefox:
Ocorreu um erro durante uma conexão com www.google.com. O SSL recebeu um registro que excedia o comprimento máximo permitido. (Código do erro: ssl_error_rx_record_too_long)Minhas configurações do squid e e2guardian:
https://ibb.co/iEv89c
https://ibb.co/e9KDaHO que pode está acontecendo?
-
Saulo, anexa as imagens na própria mensagem no lugar de incluir links para sites externos.
Deixe somente o e2guardian v5 no ar e veja como fica a interceptação. Esses erros de rx_record_too_long eu só vejo quando uso o squid.
Nas imagens, tem o squid pacote habilitado com interceptação, e2guardian habilitado com interceptação e utilizando o parent proxy automatico(outra instancia do squid)
-
Marcello, quando desabilito a interceptação SSL no SQUID, não consigo bloquear sites HTTPS no E2GUARDIAN.
Uso o SQUID como transparente, pois uso o LIGHTSQUID para gerar os relatórios.
Existe outro caminho sem ser esse, para gerar relatórios?
Só funciona bem se usar o E2GUARDIAN puro? O SQUID não se integra bem com o E2GUARDIAN? -
Pessoal, habilitei o SQUID, mas sem o proxy transparente e sem a interceptação, deixei isso por conta do E2GUARDIAN. Na configuração parent mode: direct connect.
Obrigado Marcello!
-
Deixei isso por conta do E2GUARDIAN. Na configuração parent mode: direct connect.
Nessa configuração, o e2guardian está fazendo tomando conta de tudo, pode desativar o squid.
-
Desabilitei, está perfeito!
Preciso configurar agora os logs, pois antes usava o lightsquid.
Vi que no próprio E2GUARDIAN tem opções de log, porém n sei como configurar para o lightsquid ler ou outra ferramenta compatível.
Qual ferramenta é mais recomendada nesse cenário? Me ajuda!
-
Squid log format e tenta criar um link da pasta para a pasta que o lightsquid procura ou altera o .inc do lightsquid pra ler a pasta certa.
-
Tarde pessoal,
Estou na luta ai tentando fazer funcionar, ja fiz a refiz 10 vezes do zero :) e nao consigo achar o erro.
Resumo: E2guard V5
ACL de redesociais (que estou testando) Bloqueia!!! todos os sites, porém não consigo fazer dar o erro amigavel para usuario.
E o certificado na estacao não é do Pfsense.
Tem como me da uma luz por favor… nao consigo sair disso.
Ja vi e revi video do marcello, serio ... 5 vezes seguida, fazendo exatamente igual ele, e aqui pra mim NAO da certo...
-
Qual erro o usuário recebe quando bloqueia connection refused?
-
Marcelo,
Então …
Cara serio mesmo tem algum BUG ... antes de pegar agora o erro pra te enviar - eu zerei de novo... e "meio que PESQUEI" que tem algum erro/Bug, sei lá.
Eu sigo seu video! blza ... funciona como falei acima, ele bloqueia redesocial seguindo exatamente seu video, porem, nao mostra erro pro usario, da erro ERROR-SSL no navegador.
Ai refiz tudo do zero, fez o bloqueio. LEGAL, pensei consegui!!!
Ai salvei, e reiniciei o Pfsense, cara juro, sem mudar nada, apenas reiniciando o pf, PARA de funcionar … isso que estou frustrado.
Anexo notei uma coisa, quando faço da primeira vez e ativo o serviço, funciona, apos eu reiniciar ... toda vez que eu reinciar o botao aplicar mudanças está para ativar > e nao bloqueia mais nada, mesmo eu clicando no botao, e reiniciando, sem reiniciar … nao bloqueia mais.
-
Anexo notei uma coisa, quando faço da primeira vez e ativo o serviço, funciona, apos eu reiniciar … toda vez que eu reinciar o botao aplicar mudanças está para ativar > e nao bloqueia mais nada, mesmo eu clicando no botao, e reiniciando, sem reiniciar … nao bloqueia mais.
Vou verificar a questão do reboot assim que possível, mas foca na configuração afinal firewall não é ativo windows para viver dando boot ;)
-
Marcelo,
Claro, perfeitamente … que firewall não é pra ficar fazendo reboot.
E que mexi tanto, que não estava entendendo ... porque tinha hora que funcionada e hora não.
Ou seja ... tinha dia que eu começava configurar pela manhã ... tals ... bloqueando, eu ia avançando os testes ... um, dois, treis dias, estudando ... AI no primeiro reboot, eu caia por TERRA entende, UÉ, parava de funcionar do nada, sem eu alterar nada, apenas ao dar reboot para de funcionar.
Ai vai lá eu, ver seu video, e fazer tudo de novo, ... ai ia montando digamos por 2 dias ... ai no reboot, novamente ... parava ...
Só consegui pegar isso HJ - que ele para de funcionar ao reiniciar.
Legal meu querido, aguardo … você dar uma noticia boa :)
Valeu.
-
Esse tutorial do nosso amigo ainda serve?
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
Os problemas relatados no fim dos comentários será que estarão resolvidos, não implementei ainda pois vi que estavam com alguns problemas, tomara que sejam sanados, parabéns pelo trabalho.
Fala galera, tudo tranquilo?
Então, estava sem tempo de testar o e2guardian, pois troquei de trabalho e estava com outros projetos. Vou realizar um lab de testes novamente e irei atualizar o tutorial acima. No que eu conseguir, eu posto aqui avisando.
Continue com esse ótimo trabalho marcelloc!!! :D
-
Atualizei a versão para a 5.0.1_3.
Pontos principais:
-
Inclusão do tipo do grupo que antes eram opções espalhada pelos arquivos de acls.
-
Correção da função LDAP para popular os grupos
 -
-
Marcelo, parabéns pelo trabalho, esta ficando cada vez melhor o pacote.
Minha contribuição para a thread é a seguinte:
Após atualizar o E2Guadian para versão 5, acabei tendo problemas na opção de autenticação por IP. Ele não marcou a opção na atualização e ao subir o serviço na mão constatei o erro, que foir resolvido na guia General >> Auth Plugin, não tinha nenhuma opção selecionada, voltei a marcar a opção IP Address e ficou normal.
Atualizei o squid também e tive um erro que não lembro qual era, mas que foi resolvido limpando o cache do squid.
No mais a performance esta superior sim, conforme foi informado. Estou esperando um pouco para colocar em produção em outros clientes.
-
Obrigado pelo retorno Alessandro. Se estiver usando somente a autenticação por ip, não precisa subir o squid.
