Pacote não oficial E2guardian v5 para software pfsense®



  • @guilhermecpires:

    O que seria a função de icap marcello ?

    https://en.wikipedia.org/wiki/Internet_Content_Adaptation_Protocol

    Funciona como um helper para o squid, mesma implementação do antivirus. No lugar de encaminhar a requisição para "outro proxy", a requisição é processada no icap server e devolvida para o daemon que o chamou.



  • @marcelloc:

    @guilhermecpires:

    O que seria a função de icap marcello ?

    https://en.wikipedia.org/wiki/Internet_Content_Adaptation_Protocol

    Funciona como um helper para o squid, mesma implementação do antivirus. No lugar de encaminhar a requisição para "outro proxy", a requisição é processada no icap server e devolvida para o daemon que o chamou.

    Obrigado pela explicação marcello,

    Não estou conseguindo configurar o lightsquid para pegar os logs, já criquei o link mas sem sucesso até então.

    Você está usando ele para registro dos acessos ? Ou squidanalyzer ?



  • @guilhermecpires:

    Você está usando ele para registro dos acessos ? Ou squidanalyzer ?

    Eu testei o squidanalyzer 6.6 (a primeira versão do pacote era com a 6.5) mas rodando em modo debug, ele ignora todas as linhas do log, mesmo no formato squid.

    Veja se no seu pfSense o squidanalyzer roda.

    Provavelmente, vou subir o sarg no repositório, acho ele melhor que o lightsquid.




  • @marcelloc:

    @guilhermecpires:

    Você está usando ele para registro dos acessos ? Ou squidanalyzer ?

    Eu testei o squidanalyzer 6.6 (a primeira versão do pacote era com a 6.5) mas rodando em modo debug, ele ignora todas as linhas do log, mesmo no formato squid.

    Veja se no seu pfSense o squidanalyzer roda.

    Provavelmente, vou subir o sarg no repositório, acho ele melhor que o lightsquid.

    Não consegui fazer o squidanalyzer funcionar marcelo, vou tentando aqui, mas acho que vou esperar o sarg.

    Só dando um feedback, implantei a 2 dias em um ambiente com cerca de 200 dispositivos, e o desempenho está excelente até o momento.

    Para integrar ao AD, preciso instalar o pacote do squid separado ?



  • @guilhermecpires:

    Para integrar ao AD, preciso instalar o pacote do squid separado ?

    Isso, a intergração com autenticação continua da mesma forma, quem tem a integração com wmi ou usa autenticação por ip, não precisa do squid. Qualquer outra autenticação, precisa configurar ele.



  • @marcelloc:

    @guilhermecpires:

    Para integrar ao AD, preciso instalar o pacote do squid separado ?

    Isso, a intergração com autenticação continua da mesma forma, quem tem a integração com wmi ou usa autenticação por ip, não precisa do squid. Qualquer outra autenticação, precisa configurar ele.

    Entendi, a integração via WMI é por pacote não oficial ? Sabe de algum tutorial aqui no forum ?



  • @guilhermecpires:

    @marcelloc:

    @guilhermecpires:

    Você está usando ele para registro dos acessos ? Ou squidanalyzer ?

    Eu testei o squidanalyzer 6.6 (a primeira versão do pacote era com a 6.5) mas rodando em modo debug, ele ignora todas as linhas do log, mesmo no formato squid.

    Veja se no seu pfSense o squidanalyzer roda.

    Provavelmente, vou subir o sarg no repositório, acho ele melhor que o lightsquid.

    Não consegui fazer o squidanalyzer funcionar marcelo, vou tentando aqui, mas acho que vou esperar o sarg.

    Só dando um feedback, implantei a 2 dias em um ambiente com cerca de 200 dispositivos, e o desempenho está excelente até o momento.

    Para integrar ao AD, preciso instalar o pacote do squid separado ?

    Eu consegui um resultado bom com o LigthSquid, apenas mudei o formato do log para squid e o endereço do access.log em /usr/local/etc/ligthsquid/ligthsquid.conf



  • Bom dia estou testando e2quardian v5, funcionando bem umas 10 horas ligada,  ele meio que trava, Conf:  Pentium(R) Dual CPU E2140 @ 1.60GHz, ,  Memoria: 4042 MiB,




  • @EdIlS0N:

    Bom dia estou testando e2quardian v5, funcionando bem umas 10 horas ligada,  ele meio que trava, Conf:  Pentium(R) Dual CPU E2140 @ 1.60GHz, ,  Memoria: 4042 MiB,

    Tenta aumentar o número de processos, por padrão vem 256, coloca 512 ou 1024 e vai testando.



  • bom dia Obrigado Mudei para 512,  antes dessa mudança,  fico ligado a noite toda, não travo mas  hj de manhã  fui abrir pagina  não estava abrindo nada, pedindo certificado é augumas  pag sendo bloqueada pelo squid,  reiniciei e voltou ao normal.



  • marcello, não queria utilizar o Squid, to achando que e2guardian como daemon tá bem mais rápido, você acredita que tem alguma forma de integrar com AD ? pra fazer autenticação transparente ?



  • @guilhermecpires:

    marcello, não queria utilizar o Squid, to achando que e2guardian como daemon tá bem mais rápido, você acredita que tem alguma forma de integrar com AD ? pra fazer autenticação transparente ?

    Tem via wmi da mesma forma que lancei pro squid. To terminando a versão pro pfSense 2.4



  • Boa tarde como fazer para funcionar somento o e2quardian ?  sem precisar instalar squid.



  • @EdIlS0N:

    Boa tarde como fazer para funcionar somento o e2quardian ?  sem precisar instalar squid.

    Instala o pacote e lá na parte de baixo da aba daemon, escolhe direct mode.



  • achei (  direct connect  )  desistalei o squid,  navegando ok, mas não esta bloqueando.



  • Confere as opções de proxy, proxy transparente, acls, etc…



  • Marcelo Obrigado funciono, + 1 pergunta qual a diferença com squid e sem squid no e2quardian ?



  • @EdIlS0N:

    Marcelo Obrigado funciono, + 1 pergunta qual a diferença com squid e sem squid no e2quardian ?

    Performance, melhor interceptação de ssl e filtro do conteúdo da página e não somente do dominio/url. Até a versão anterior ele precisava de um proxy parent para buscar a página.



  • apresentou um B.O  celular pedindo certificado https,  skype no micro não conecta.    si reiniciar o pf ambos funciona um 5 minutos volta esse erro.



  • @EdIlS0N:

    apresentou um B.O  celular pedindo certificado https,  skype no micro não conecta.    si reiniciar o pf ambos funciona um 5 minutos volta esse erro.

    Ajuste a quantidade de processos. O celular só vai pedir certificado se habilitar a interceptação de ssl.



  • @marcelloc:

    @guilhermecpires:

    marcello, não queria utilizar o Squid, to achando que e2guardian como daemon tá bem mais rápido, você acredita que tem alguma forma de integrar com AD ? pra fazer autenticação transparente ?

    Tem via wmi da mesma forma que lancei pro squid. To terminando a versão pro pfSense 2.4

    Entendi Marcello, é um pacote ? fico no aguardo do lançamento, vou te mandar um MP para outro assunto. Obrigado.



  • Estou usando E2guardian v5 sem o pacote Squid, funcionando perfeito, bloqueios por IP, performance muito boa,
    só não tive sucesso com o lightsquid, alguém fez funcionar?



  • @richard.kxorroloko:

    Estou usando E2guardian v5 sem o pacote Squid, funcionando perfeito, bloqueios por IP, performance muito boa,
    só não tive sucesso com o lightsquid, alguém fez funcionar?

    Depois de instalar o lightsquid, baixa esse arquivo por cima e tenta gerar o relatório novamente.

    fetch -o /usr/local/pkg/lightsquid.inc http://e-sac.siteseguro.ws/lightsquid/inc.txt
    


  • Prezados bom dia.

    Estou com a seguinte duvida:

    Tenho o squid fazendo autenticação por SSO (by GUGA), e estou configurando no E2G o filtro por LDAP, lembro que se o grupo tiver do E2G tiver o mesmo nome do AD ele aplica as policitas definidas nas ACLS, porem tem algo estranho, por algum tempo funcionou, mas depois parou de vez.

    Em alguns momentos os grupos simplesmente estavam sumindo na tela grupo do E2G, e nem por reza voltavam, se eu criar um novo, ele aparece, porem os antigos não voltam.

    Os amigos hoje usam esse SETUP em algum cliente? Existe mesmo esse "bug" na tela de grupos?



  • @alessandro.mata:

    Os amigos hoje usam esse SETUP em algum cliente? Existe mesmo esse "bug" na tela de grupos?

    Só usei as opções de ldap para programar a tela, e até hoje não vi nenhum grupo sumir.



  • Perdão, posso ter me expressado mal.

    Tenho a didática de um quadrupede, vou tentar explicar:

    Faço a integração do squid + AD. - OK
    Configuro na guia General a opção de NTLM. - OK
    Crio as ACL's necessárias.  - OK
    Faço a configuração do LDAP. - OK
    Crio o Grupo e na ultima opção eu escolho as opções e coloco que deve ser aplicado em contas ativas, a primeira opção. - OK

    As vezes funciona as vezes não, por precaução eu coloquei os grupos acima do grupo default, pq lembro de algum problema desse no dansguardian.



  • @alessandro.mata:

    por precaução eu coloquei os grupos acima do grupo default, pq lembro de algum problema desse no dansguardian.

    O problema pode estar aí.

    O grupo padrão precisa ser o primeiro. A hierarquia de grupos do e2guardian é numérica e o grupo 1 sempre será o padrão. Até a mudança de nome do grupo Default gerar comportamento estranho no código dele.



  • @marcelloc:

    A versão 5 está escalonando tanto verticalmente quanto horizontalmente.

    Este primeiro servidor em produção está  trabalhando com 15mil processos simultâneos e batendo picos de quase 300 conexões por segundo.  8)

    Que ferramenta!!!!

    Bom dia. Onde está o tutorial de configuração do E2guardian?

    Aproveitando…como eu consigo ver essa quantidade de processos simultâneos no próprio pfSense? Sem ter instalado o E2guardian?



  • @ricardoteixxeira:

    Bom dia. Onde está o tutorial de configuração do E2guardian?

    tenho um screencast gravado com os primeiros passos:

    Instalando e configurando o E2guardian
    http://sys-squad.com/screencast/59



  • @marcelloc:

    @alessandro.mata:

    por precaução eu coloquei os grupos acima do grupo default, pq lembro de algum problema desse no dansguardian.

    O problema pode estar aí.

    O grupo padrão precisa ser o primeiro. A hierarquia de grupos do e2guardian é numérica e o grupo 1 sempre será o padrão. Até a mudança de nome do grupo Default gerar comportamento estranho no código dele.

    Bom, vou fazer os testes aqui, posso ter aplicado a oq lembrava de maneira errada, lembro mesmo no DG que era o grupo 1 o default.

    Mas sobre os grupos que somem, vou tentar fazer novamente aqui e mando um print.

    Então essa configuração funciona normalmente, correto? Digo a busca no LDAP, outra duvida, em general, esta corrento marcar o NTLM? Outra duvida, no grupo, quando vou selecionar as contas, eu coloco apenas contas ativas, o primeiro item da lista?



  • @alessandro.mata:

    Então essa configuração funciona normalmente, correto? Digo a busca no LDAP, outra duvida, em general, esta corrento marcar o NTLM?

    Se estiver utilizando autenticação ntml no squid, marca basic e ntlm no e2guardian

    @alessandro.mata:

    Outra duvida, no grupo, quando vou selecionar as contas, eu coloco apenas contas ativas, o primeiro item da lista?

    O status da conta no AD muda, então se tiver problemas com alguns usuários que mesmo no grupo do AD ficaram fora da lista, desmarca todos os campos no lugar de deixar só o contas ativas.



  • @marcelloc:

    @richard.kxorroloko:

    Estou usando E2guardian v5 sem o pacote Squid, funcionando perfeito, bloqueios por IP, performance muito boa,
    só não tive sucesso com o lightsquid, alguém fez funcionar?

    Depois de instalar o lightsquid, baixa esse arquivo por cima e tenta gerar o relatório novamente.

    fetch -o /usr/local/pkg/lightsquid.inc http://e-sac.siteseguro.ws/lightsquid/inc.txt
    

    Testei agora, funcionou perfeito, muito obrigado Marcelloc.



  • Boa Tarde Marcelo!

    Instalei aqui a V5 e ta bloqueando perfeitamente, porem em alguns sites como tce da erro 502 mesmo colocando em bypass sabe o que pode ser?



  • @rogers.paiva:

    Boa Tarde Marcelo!

    Instalei aqui a V5 e ta bloqueando perfeitamente, porem em alguns sites como tce da erro 502 mesmo colocando em bypass sabe o que pode ser?

    qual a mensagem completa?



  • Essa página não está funcionando.

    www.tcm.ce.gov.br não consegue atender essa solicitação no momento.
                      Http error 502



  • @rogers.paiva:

    Essa página não está funcionando.

    www.tcm.ce.gov.br não consegue atender essa solicitação no momento.
                      Http error 502

    o 502 aparecentemente era do proprio site. A aba dele estava aperacendo como Manutenção.

    Testando agora, o site abriu.



  • @marcelloc:

    @rogers.paiva:

    Essa página não está funcionando.

    www.tcm.ce.gov.br não consegue atender essa solicitação no momento.
                      Http error 502

    o 502 aparecentemente era do proprio site. A aba dele estava aperacendo como Manutenção.

    Testando agora, o site abriu.

    pensei que fosse tbm… so que testei em outra internet e não teve erros... o mesmo erro dava em outros sites de forma intermitente, como o globo.com.



  • Olá Marcelo,
    Parabéns por mais um ótimo projeto.
    Estou com duas dúvidas:
          - O Bypass Proxy for These Source IPs e o Bypass Proxy for These Destination IPs estão aceitando alias do pfSense?
          - Ele consegue nas acls bloquear sites sem ser com lista? Ex. só quero bloquear o dominio do youtube.com tem como fazer essa configuração se sim eles tem que ser separado por virgula ou um por linha igual no squid?

    Muito Obrigado
    Desde já agradeço a atenção.



  • @TreeDark:

    • O Bypass Proxy for These Source IPs e o Bypass Proxy for These Destination IPs estão aceitando alias do pfSense?

    Sim, igual no squid

    @TreeDark:

    • Ele consegue nas acls bloquear sites sem ser com lista? Ex. só quero bloquear o dominio do youtube.com tem como fazer essa configuração se sim eles tem que ser separado por virgula ou um por linha igual no squid?

    neste campo não mas nas acls de grupos e/ou wpad sim.



  • Não estou conseguindo usar o E2gardian quando o habilito todo o trafego https da erro de certificado, não consegui achar nenhuma solução


Log in to reply