Pacote não oficial E2guardian v5 para software pfsense®
-
[RESOLVIDO]
E2Guardian não aplica as configurações salvas.
@EduMendel e @EdIlS0N-LiMa, estou com o mesmo problema de vocês.
Não salva nada no log, todas as alterações que faço nas configurações estão sendo salvas, mas parece que não estão sendo aplicadas.
Ex.: Se eu libero um site na ACL, ou se troco um usuário de grupo, o E2G salva as alterações, porém elas não são aplicadas.Meu PFsense é 2.4.4-RELEASE-p3, e o E2guardian5 na versão 0.5.3.2_1.
Vocês acharam a solução para isso?
[CAUSA]
Estava recebendo a seguinte mensagem de erro no PFSense:PHP Errors:
[29-Sep-2020 10:07:09 America/Sao_Paulo] PHP Fatal error: Allowed memory size of 536870912 bytes exhausted (tried to allocate 7824016360 bytes) in /usr/local/www/diag_edit.php on line 51Pesquisando, inclusive aqui no tópico, descobre que o PHP tem uma configurações que limita o uso da memória, que por padrão está configurado pra usar 512M. Provavelmente o E2Guardian esta editando algum arquivo muito grande.
[SOLUÇÃO]
Editar o arquivo /etc/inc/config.inc via SHELL. No meu caso aumente o limite para 1024M reiniciei o servidor e tudo voltou ao normal.// Set memory limit to 512M on amd64.
if ($ARCH == "amd64") {
ini_set("memory_limit", "512M");
} else {
ini_set("memory_limit", "128M");
} -
Pessoal, meu e2g está filtrando SSL sem problemas, porém alguns sites retorna erro informando que o certificado não é seguro. Daí tenho que desativar o proxy na máquina do usuário, acessar o site (para a máquina reconhecer o certificado) e depois habilitar o proxy novamente. Só que isso tenho que fazer em todas as estações de trabalho e sempre que entram em algum site que da esse erro.
Tem alguma solução para que o e2g permita fazer isso?
-
Galera, preciso de ajuda para editar a página de erro de bloqueio, alguém tem um passo a passo ai? não estou conseguindo me achar nos arquivos.
-
Bom dia Galera.
Tenho PFsense + E2guardian funcionando a muito tempo... porem, tive 2 coincidências que, o E2guardian, começa a ficar lento quando voce altera alguma informaçao nas ACL´s, e tambem para de funcionar o Bloqueio/Liberaçao por IP, Url list,
exemplo.
tenho alguns grupos como:-
Default - acesso e tratativa com black list / white list
Diretoria - acesso full
TI - acesso full
Provisorio - acesso fullporem o grupo do default, teria que ser filtrado e tratado pela black / white list, ele bloqueia normalmente, mas nao esta liberando nas exceções, e a white list e liberação pelos IP dos grupos nao estao funcionando normalmente.
as liberaçoes quando voce coloca em excecao no site list ou url list ou liberação por ip nos grupos criados pararam de funcionar do nada.
alguem ja aconteceu isso? ja procurei por todos os lados e nao achei nada parecido com isso.
abraços
-
@digaovaa said in Pacote não oficial E2guardian v5 para software pfsense:
@jotajunniors said in Pacote não oficial E2guardian v5 para software pfsense:
@fabricioguzzy Por favor, me manda o tutorial, estou precisando desse cenário. Squid + e2guardian. No aguardo. Abraços.
Olá... Vou explicar por cima o meu cenário e veja se te ajuda:
Implementei em uma escola pfsense + vlans + Captive Portal + Squid + E2Guardian. Como funciona: temos unifi aps com redes para alunos, professores e visitantes (cada rede em uma VLAN separada). Alunos e professores foi pedido para passar pelo squid. Como eles queriam controle de acesso por usuario, fiz o squid autenticar no CaptivePortal (com base nos usuários do Google). O squid passa para o E2guardian a autenticação e os filtros são feitos pelo E2guardian, filtrando SSL sem necessidade de instalação do certificado.
O que foi feito:
Para o acesso as contas do Google foi instalado Stunnel e configurado uma base de dados Ldap na aba Authentication Servers (System > Users).
Configurado o captive portal para autenticar nesse servidor LDAP, escutando as interfaces (VLANS) ALUNOS e PROFESSORES.
Configurado SQUID para autenticar no CP. Na aba General Settings do squid foi marcado nas interfaces (ALUNOS PROFESSORES e tbm loopback). Mais abaixo na parte de SSL foi marcado SPLICE ALL e nas opções avançadas (abaixo no lado do botão salvar) foi introduzido o código abaixo na opção Custon Options (Before Auth):
cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow allNo E2Guardian, mesmas configurações de interfaces do squid, foi marcado pra interceptar SSL e nas opções avançadas (abaixo no lado de Salvar), deixei marcada a opçao Use automatic embeded parent config. Nas aba General, marquei as opções Proxy-basic e Proxy-NTLM.
A princípio foi isso que fiz...Créditos: o fórum aqui, ao nosso grande amigo @marcelloc e o blog do Elias Pereira (https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/)
@marcelloc , eu tinha essa configuração funcionando até uns dias atrás. Hoje não consigo mais fazer o squid autenticar no captive portal e passar a autenticação (usuário) para o e2guardian e com isso, no e2g em real time só mostra o ip da máquina/dispositivo e não mais o usuário que autenticou. Teria alguma dica para me dar? abraços
-
Pessoal,
Tenho um cenário com E2guardian em produção com um problema na autenticação do Google Workspace.
Ao entrar com as credenciais e clicar em "próximo" para efetuar o login nada acontece, parece que o botão não tem função... Se parar o serviço o google loga normalmente. Depois de logado pode ativar o serviço e tudo segue funcionando.
Pesquisei a respeito e não encontrei nada.
O pfSense está na versão 2.4.4-RELEASE-p3 e o E2Guardian na 0.5.3.4.Faz uns 2 meses que esse problema começou, antes funcionava perfeitamente.
Alguém arrisca uma dica para a solução? Está bem complicado manter esse ambiente dessa maneira, o proxy está passando mais tempo desativado do que ativado, na prática.
-
@willaim A título de curiosidade, algumas perguntas, pode ser util pra mim também e de repente consigo te ajudar:
1-como você faz a autenticação?
2-tem o squid na frente do e2guardian?Abraço
-
@digaovaa
Não tem squid nesse pfSense, apenas o E2Guardian5 e um pacote do Sarg.
Sobre a autenticação não entendi muito bem o questionamento. Essa autenticação seria em que, especificamente? -
@willaim Esquece, agora entendi o que você quis dizer com "Entrar com credenciais" rsrsrs. Tinha entendido no inicio que seria as credenciais de autenticação de uma rede wireless, mas vi que é no google workspace.
Neste caso, como você faz o controle de navegação, por IP? Chegou a ver no Real Time se está bloqueando? Já tentou colocar os domínios nas exceções?
-
This post is deleted! -
@digaovaa
O controle estava aplicado sobre um range da rede. Os domínios já estavam nas exceções.
Eu até poderia verificar o realtime, mas nesse final de semana resolvi atualizar esse pfSense e ele voltou sem o E2guardian5 e sem o Sarg, ou seja, sem os pacotes não-oficiais. Vou refazer o ambiente do zero agora, com HA e mais uma melhorias.
Espero que não tenha problemas dessa vez. -
Fala galera, beleza?!
Tenho E2guardian rodando no Pfsense 2.4.5-RELEASE-p1 e apenas o filtro ACLs / Extension Lists não está bloqueando as extensões default.
Alguma dica?
Fiz o teste realizando o download .exe e .msi e baixa o arquivo normalmente. -
@gersonalves
duas perguntas Gerson, verificou se está ativo a filtragem por extensão mesmo e por um acaso não está com # antes da extensão? -
@obmor tudo bem?! Então, está ativo e as extensões que preciso bloquear estão sem "#". veja a imagem em anexo. Obrigado pela ajuda.
Os bloqueios de site list está funcionando perfeitamente.
-
Marcelo, bom dia. Já algum tempo que acompanho seus esforços com a comunidade e parabenizo pelo empenho. Gostaria de tirar uma dúvida com sua expertise. Recentemente passei a usar e2guardian e percebi onde temos um volume maior de maquinas o consumo de memória chega a 98%. Hoje por exemplo estou com e2guardian 0.5.3.4, ativado o filtro SSL, todo o ambiente funciona sem erros. Existe algo que possa ser feito para diminuir este consumo de memória por parte do e2guardian. Obrigado!
-
@lotus said in Pacote não oficial E2guardian v5 para software pfsense:
Bypass Destination
Oi, também estou com o problema no bypass. Preciso que um site passe por fora do proxy. Mas quando uso a função Bypass Destination, nenhum outro computador na rede consegue navegar.
-
@info_engebag said in Pacote não oficial E2guardian v5 para software pfsense:
@lotus said in Pacote não oficial E2guardian v5 para software pfsense:
Bypass Destination
Oi, também estou com o problema no bypass. Preciso que um site passe por fora do proxy. Mas quando uso a função Bypass Destination, nenhum outro computador na rede consegue navegar.
@info_engebag muito facilmente isso é o problema do preenchimento do campo, não sei mais de dar a certeza como é a forma correta, mas é tipo, você tem que usar a vírgula para separar os domínios, e após o último você deixa em branco ou tem que preencher com uma vírgula também, é algo assim.
Para facilitar, criar uma alises e coloca os endereços dentro dele, ai você só precisa informar o aliases no Bypass Destination. E ainda pode utilizar esse mesmo aliases para criar uma regra na LAN informando que quando a LAN acessar o destino ALIASES, está liberado a porta 80 e 443. (falo isso porque eu trabalhava com essas portas bloqueadas).
-
@marcelloc alguma dica de como instalar o repositorio no 2.5?? parou de funcionar o repositório e não tem mais System_Patches. Alguma dica de como fazer via SSH?
Desde ja agradeço
-
@lotus Eu também não estou conseguindo instalar o e2guardianna versão 2.5. Consegui instalar o System_Patches e configurei na boa, mas não aparece o e2guardian para instalar após colocar o comando do repositório não oficial.
-
Pessoal, conforme instruções no GitHub do @marcelloc , o correto para o pfSense 2.5 é usar:
pfSense E2Guardian Versão 2.5
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial_25.confhttps://github.com/marcelloc/Unofficial-pfSense-packages