Pacote não oficial E2guardian v5 para software pfsense®



  • @fabricioguzzy Por favor, me manda o tutorial, estou precisando desse cenário. Squid + e2guardian. No aguardo. Abraços.



  • Ola instalei e configurei o e2guardian e estou com o seguinte TCP_DENIED no meu log

    2019.02.20 11:20:46 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
    2019.02.20 11:20:10 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
    2019.02.20 11:19:45 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -

    Utilizo alguns emulador de android e não estou conseguindo utilizar aplicações ssl.



  • @jotajunniors said in Pacote não oficial E2guardian v5 para software pfsense®:

    @fabricioguzzy Por favor, me manda o tutorial, estou precisando desse cenário. Squid + e2guardian. No aguardo. Abraços.

    Olá... Vou explicar por cima o meu cenário e veja se te ajuda:
    Implementei em uma escola pfsense + vlans + Captive Portal + Squid + E2Guardian. Como funciona: temos unifi aps com redes para alunos, professores e visitantes (cada rede em uma VLAN separada). Alunos e professores foi pedido para passar pelo squid. Como eles queriam controle de acesso por usuario, fiz o squid autenticar no CaptivePortal (com base nos usuários do Google). O squid passa para o E2guardian a autenticação e os filtros são feitos pelo E2guardian, filtrando SSL sem necessidade de instalação do certificado.
    O que foi feito:
    Para o acesso as contas do Google foi instalado Stunnel e configurado uma base de dados Ldap na aba Authentication Servers (System > Users).
    Configurado o captive portal para autenticar nesse servidor LDAP, escutando as interfaces (VLANS) ALUNOS e PROFESSORES.
    Configurado SQUID para autenticar no CP. Na aba General Settings do squid foi marcado nas interfaces (ALUNOS PROFESSORES e tbm loopback). Mais abaixo na parte de SSL foi marcado SPLICE ALL e nas opções avançadas (abaixo no lado do botão salvar) foi introduzido o código abaixo na opção Custon Options (Before Auth):
    cache_peer 127.0.0.1 parent 8080 0 login=*:password
    always_direct deny all
    never_direct allow all

    No E2Guardian, mesmas configurações de interfaces do squid, foi marcado pra interceptar SSL e nas opções avançadas (abaixo no lado de Salvar), deixei marcada a opçao Use automatic embeded parent config. Nas aba General, marquei as opções Proxy-basic e Proxy-NTLM.
    A princípio foi isso que fiz...

    Créditos: o fórum aqui, ao nosso grande amigo @marcelloc e o blog do Elias Pereira (https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/)



  • Esse tutorial do Elias funciona no E2guardian versão 5? Pois li no tutorial e ele fala que não.

    Só quero usar o squid como proxy nativo e o e2 fazendo o filtro de conteúdo. Habilito interceptação SSL nos dois?



  • @jotajunniors Estou usando na última versão de tudo (pfsense, e2guardian etc)



  • Massa! Vou testar e te aviso. Grande abraço.



  • Boa sorte, qualquer coisa prende o grito.... Sobre a questão do Google, só ficou um pouco lenta a autenticação pq tem que ir autenticar na nuvem.. Ano passado implementei o Google for education nesta escola. Esse ano executamos esse projeto. Ficou bacana. Inicialmente eu ia autenticar no ad local, fazendo integração entre o ad e google (Google Cloud Directory Sync) porém o servidor 2012 deles possui uma licença Foundation, que permite no máximo 15 usuários no AD. Mas hoje está atendendo legal assim.. se for usar em uma rede cabeada, acredito que possa ser configurado com o pf2ad (nunca mais usei, vi que o projeto foi abandonado e por isso não sei o quão estável está).



  • Pessoal Adicionei uma interface no pfsense para a rede wifi, liberei as regras de firewall com permissão udp DNS 53, http80 e https443 e também configurei o dhcp, a te ai tudo bem navega normalmente. só que quando ativo no e2guardian o proxy transparente para essa interface wifi não navega mais e dar esse erro (ERR_CONNECTION_TIMED_OUT.
    O Estranho e seu eu criar uma regra no firewall liberando qualquer protocolo o acesso e liberado.

    Sera que alguém pode me dar uma luz !



  • @reinaldoex em modo transparente precisa de uma regra liberado as portas tcp/8080-8081 com destino ao pfSense;



  • @tomaswaldow Era isso mesmo amigo, funcionou direitinho, muito obrigado vc resolveu meu problema.



  • @manzke89 said in Pacote não oficial E2guardian v5 para software pfsense®:

    Ola instalei e configurei o e2guardian e estou com o seguinte TCP_DENIED no meu log

    2019.02.20 11:20:46 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
    2019.02.20 11:20:10 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -
    2019.02.20 11:19:45 192.168.51.201 https://127.0.0.1 403 192.168.51.201 NOX NETERROR -

    Utilizo alguns emulador de android e não estou conseguindo utilizar aplicações ssl.

    Alguma solução pra esse erro?



  • Pessoal, alguém pode ajudar!! O whatsapp demora a enviar a msg quando uso e2guardian. Ele fica tentando a porta 443 primeiro e depois de uns 5 minutos tentando enviar a msg ele acha a porta 5222-5223 e envia. Porem se o celular ficar para uns 10 minutos parado e tentar enviar msg de novo ele demorar novamente. Isso esta causando transtorno para os usuários da minha rede. olhando no realtime do e2guardian a tentativas são direcionadas para 127.0.0.1.0_1551337088234_pf.png



  • @maicosantana essa conexão 127.0.0.1 não tem nada a ver com o whatsapp, é uma questão do e2guardian com o freebsd. sobre o whatsapp, voce deve fazer ele não passar pelo proxy, 443.



  • @tomaswaldow Amigo vc pode dar uma dica de como fazer isso, whatsapp, voce deve fazer ele não passar pelo proxy, 443.



  • @reinaldoex depende do como está o e2guardian, se está em modo transparente, ode fazer um Alias com o hosts abaixo e informar eme em bypass for this destinations e liberar no firewall;

    c.whatsapp.net
    c1.whatsapp.net
    c2.whatsapp.net
    c3.whatsapp.net
    c4.whatsapp.net
    c5.whatsapp.net
    c1.whatsapp.net
    c2.whatsapp.net
    c3.whatsapp.net
    c4.whatsapp.net
    c5.whatsapp.net
    c6.whatsapp.net
    c7.whatsapp.net
    c8.whatsapp.net
    c9.whatsapp.net
    c10.whatsapp.net
    e.whatsapp.net
    e1.whatsapp.net
    e2.whatsapp.net
    e3.whatsapp.net
    e4.whatsapp.net
    e5.whatsapp.net
    e6.whatsapp.net
    e7.whatsapp.net
    e8.whatsapp.net
    e9.whatsapp.net
    e10.whatsapp.net
    e11.whatsapp.net
    e12.whatsapp.net
    e13.whatsapp.net
    e14.whatsapp.net
    e15.whatsapp.net
    e16.whatsapp.net
    e17.whatsapp.net
    e18.whatsapp.net
    e19.whatsapp.net
    e20.whatsapp.net
    s.whatsapp.net
    s1.whatsapp.net
    s2.whatsapp.net
    s3.whatsapp.net
    s4.whatsapp.net
    s5.whatsapp.net
    s6.whatsapp.net
    s7.whatsapp.net
    s8.whatsapp.net
    s9.whatsapp.net
    s10.whatsapp.net
    sro.whatsapp.net
    ns2.p13.dynect.net
    ns1.p13.dynect.net
    ns3.p13.dynect.net
    ns4.p13.dynect.net
    pps.whatsapp.net
    mmg.whatsapp.net
    mmg-fna.whatsapp.net
    mmx-ds.cdn.whatsapp.net
    web.whatsapp.com
    whatsapp.com
    dyn.web.whatsapp.com
    w1.web.whatsapp.com
    w2.web.whatsapp.com
    w3.web.whatsapp.com
    w4.web.whatsapp.com
    w5.web.whatsapp.com
    w6.web.whatsapp.com
    w7.web.whatsapp.com
    w8.web.whatsapp.com
    w9.web.whatsapp.com
    w10.web.whatsapp.com
    


  • @tomaswaldow Entendi...mas essa solução me impede de criar log de acesso... não tem jeito de passar pelo proxy essa conexão do whatsapp?



  • @maicosantana said in Pacote não oficial E2guardian v5 para software pfsense®:

    @tomaswaldow Entendi...mas essa solução me impede de criar log de acesso... não tem jeito de passar pelo proxy essa conexão do whatsapp?

    O protocolo do whatsapp apesar de passar na 443 não é web. Os proxies só conseguem tratar requisições http e https.

    Qual versão do e2guardian está usando? na 5.3.1, o changelog mostra alterações/melhora na tratativa de protocolos não padrão.



  • @marcelloc "o changelog mostra alterações/melhora na tratativa de protocolos não padrão" pode me explicar melhor ?0_1551373711632_e2guardian.png



  • Olá a todos. Alguém pode me dizer qual Blacklist é mais completa hoje para utilizar no E2?
    Estou utilizando essa > http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz
    Porém não sei se é a mais completa para sites brasileiros, porno etc.

    Obrigado.



  • @tomaswaldow obrigado pelo retorno. vou testar aqui.



  • @maicosantana e as outras portas que ele usa, como fazer o log, cai no mesmo problema.



  • @tomaswaldow olá sera que você pode me ajudar com mais uma duvida, aqui no meu pfsense tenho duas interface, uma para a rede interna LAN e outra interface para a wifi, no e2guardian apenas minha interface wifi esta abilitada para proxy transparente a lan tenho que configurar o proxy manualmente nas estações. Só que não mostra o filtro real time do e2guardin da wifi, apenas mostra o log da interface lan. E isso mesmo ou tenho que fazer alguma configuração para ativar o filtro real time da wifi?



  • @reinaldoex deveria estar em ambas redes, não tem nada diferente. mas porque não usa transparente nas duas redes? as duas estão habilitadas no e2g?



  • @tomaswaldow vou seguir sua orientação e deixar as duas interface em transparente e ver o que acontece. Agradeço pela informação.



  • Boa Tarde! Consigo realizar o Backup do E2Guardian de todas as regras e configurações criadas?

    Desde já agradeço!



  • @tiagopar creio que fique nesse diretório /usr/local/etc/e2guardian



  • @germinoskull pelo próprio pfsense eu não conseguiria?



  • @tiagopar said in Pacote não oficial E2guardian v5 para software pfsense®:

    Boa Tarde! Consigo realizar o Backup do E2Guardian de todas as regras e configurações criadas?

    Desde já agradeço!

    O proprio backup do xml do pfsense já tem as configurações do e2guardian



  • @marcelloc Oi Boa Tarde!

    Estou utilizando as ferramentas do UserAuth com os pacotes todos instalados, porém quando faço o full do PFsense e coloco em outra instalação os pacotes precisam ser reinstalados novamente perdendo as configurações, ou teria algum outro modo?



  • @tiagopar said in Pacote não oficial E2guardian v5 para software pfsense®:

    @marcelloc Oi Boa Tarde!

    Estou utilizando as ferramentas do UserAuth com os pacotes todos instalados, porém quando faço o full do PFsense e coloco em outra instalação os pacotes precisam ser reinstalados novamente perdendo as configurações, ou teria algum outro modo?

    Até o momento não. Eu inclusive recomendo desinstalar todos os pacotes extra/não oficiais antes de qualquer update. e reinstalar após a atualização .

    Principalmente quando o update envolve mudança de versão de sistema operacional ou do php como vimos da 2.4.3 para a 2.4.4 e daqui a pouco tempo da 2.4.4 para a 2.5

    Mas a configuração dos pacotes permanece, nunca fiz um upgrade perdendo configuração de qualquer pacote, seja ele oficial ou não.



  • @marcelloc Sendo assim sempre teria que refazer todas as regras, ACls e configurações criadas do E2Guardian, pois não tem como fazer o backup?



  • @tiagopar said in Pacote não oficial E2guardian v5 para software pfsense®:

    @marcelloc Sendo assim sempre teria que refazer todas as regras, ACls e configurações criadas do E2Guardian, pois não tem como fazer o backup?

    Como falei, a configuração fica no pfSense. quando reinstalar o pacote, vai estar tudo lá.

    Nunca perdi configuração de nenhum pacote em upgrades.



  • This post is deleted!


  • @marcelloc - Marcelo, boa tarde. Gostaria de lhe passar um feedback sobre um item que percebi no bloqueio do E2Guardian..
    Uso aqui uma Blacklist bastante grande e complexa, baseada na Shalla, mas com muito mais itens, principalmente na categoria "PORN". (2 Milhões 300 Mil entradas)
    O que ocorre é que, quando há um bloqueio na categoria, esta não é mostrada na página de bloqueio.
    Onde deveria aparecer " CATEGORIA: PORN" aparece "CATEGORIA: N/A"
    Se eu reduzo o tamanho da blacklist, ele volta a mostrar a categoria novamente.
    Não consegui achar nenhum LOG para saber se está estourando o tamanho do DB, enfim.
    Os bloqueios continuam funcionando normalmente, apenas a variável que deveria mostrar a categoria da URL/SITE é que não é mostrada.
    Abraço
    Fabricio.



  • @fabricioguzzy
    Amigo bom dia.
    Tem essa lista disponivel para download? Ou algum site?
    Estou atrás de uma lista mais completa.
    Obrigado



  • @diogenescorrea
    Diego, Infelizmente nâo posso divulgar o Link da blacklist, mas posso te dizer como ela foi montada:
    Baixe estas 2 blacklists abaixo:
    http://www.shallalist.de/Downloads/shallalist.tar.gz
    http://dsi.ut-capitole.fr/blacklists/download/blacklists_for_pfsense.tar.gz
    Extraia os arquivos das duas blacklists em pastas diferentes (eu faço isso para cada uma das categorias que eu quero criar/somar)

    Instale o NOTEPAD++ e abra a blacklist que vc deseja montar (ex: Porn)
    Dentro de cada pasta PORN vc verá um arquivo chamado DOMAINS
    Abra os 2 arquivos DOMAINS de cada Blacklist. Copie o Conteúdo da primeira blacklist logo abaixo da última linha da segunda blacklist (Não importa a ordem), de forma a unir os dois arquivos. Você terá a soma das 2 blacklists, porém com muitas linhas em duplicidade.
    Para eliminar a duplicidade, você precisa de um plugin do NOTEPAD++ chamado: TEXTFX que pode ser baixado aqui --> https://ufpr.dl.sourceforge.net/project/npp-plugins/TextFX/TextFX v0.26/TextFX.v0.26.unicode.bin.zip
    Extraia a DLL do arquivo zippado e coloque dentro da pasta plugin do seu Notepad++.
    Depois disso vai aparecer uma opção no menu do seu Notepad++ chamado: TEXTFX
    Clique no menu TEXTFX e vá em "TEXTFX TOOLS" , depois habilite as opções: "SORT ASCENDING" e "SORT OUTPUT ONLY UNIQUE (at columns) LINES"
    Em seguida, no mesmo menu TEXTFX TOOL, clique em: SORT LINES CASE INSENSITIVE (at column), e PRONTO.... você terá a fusão das duas blacklists em uma só, sem nenhuma duplicidade. Salve o novo arquivo em uma nova pasta "Porn". Você pode agora usar este arquivo no lugar do antigo arquivo DOMAINS.
    Mas Cuidado, a categoria PORN vai ficar com mais de 2 Milhões de linhas. No meu caso, quando instalo ela no E2Guardian, ele para de mostrar a categoria PORN na tela de bloqueio (em vez disso ele mostra categoria "N/A", talvez pela quantidade de Linhas...Ainda estou tentando descobrir o que ocorre, mas ele bloqueia TUDO.
    Você pode juntar quantas Blacklists quiser. 2, 3, 4, etc
    AO final, nâo esqueça de compactá-la novamente no mesmo formato inicial: blacklists.tar.gz (Eu uso o 7Zip pra isso)
    E não esqueça também de manter todas as subpastas de categorias dentro da pasta "BL", tal como estava originalmente.

    Espero ter ajudado...
    Abraço Cordial,

    Fabricio.



  • @fabricioguzzy
    Obrigado amigo. Vou testar isso e fazer hoje.
    Uma sugestão talvez tenhas testado.
    E se ao invés de juntar tudo na mesma "porn", pq nao criar uma categoria porn2, ou porn shalla e porn capitole?
    Dai divide esses registros em duas parte. Posso também estar falando besteira.
    Mais obrigado amigo pelo tempo dedicado em ajudar. VOu testar aqui e qualquer coisa dou uma resposta.

    Grato.
    Diógenes



  • @diogenescorrea - Não é besteira não.. dá pra ser feito assim, mas precisaria saber qual é o limite de linhas suportado pelo E2Guardian, assim quebraria o arquivo em vários. Eu vou escrever no Forum do E2Guardian para ver se consigo esta informação.
    Abraço
    Fabricio.



  • @marcelloc vê se consegue me ajudar, estou fazendo teste no userauth porem pintou um problema. No captive portal nativo do pfsense eu consigo fazer controle de login concorrente. No userauth não existe essa opção e eu preciso que os usuários usem um login por dispositivo.
    Obs.: eu quero usar o captive portal do userauth.

    Desde já agradeço.



  • @maicosantana said in Pacote não oficial E2guardian v5 para software pfsense®:

    @marcelloc vê se consegue me ajudar, estou fazendo teste no userauth porem pintou um problema. No captive portal nativo do pfsense eu consigo fazer controle de login concorrente. No userauth não existe essa opção e eu preciso que os usuários usem um login por dispositivo.
    Obs.: eu quero usar o captive portal do userauth.

    Desde já agradeço.

    Vou incluir o controle de login concorrente na proxima versao.


Log in to reply