E2guardian5 kurulumu,squid entegrasyonu,SSL Man in the middle filtering ayarları



  • Düzeltmeler :

    • Squid general settings altında, HTTPS/SSL Interception 'ı aktif etmenize gerek yok.
    • Squid general settings altında, Transparent HTTP Proxy aktif etmenize gerek yok.

    Ben E2guardian’ı squid ile beraber kullanıyorum.

    Kullandığım sürümler :

    pfsense 2.4.3-RELEASE (amd64)
    E2guardian5 0.5.0.3_1
    Squid 0.4.43_1

    Benim mevcut sistemimde squid ve squidguard kuruluydu. Çoğunuzda da durum büyük ihtimalle böyle.

    Öncelikle squidguardı devreden çıkarın. Sizde squidguard yok ise bu adımı atlayabilirsiniz.

    Squid kurulu değilse, paket yöneticisinden kurun.
    (Squid kurmadan da sistemin çalışması mümkün. Squid kullanmak istemeyen arkadaşlar ilgili adımları atlayabilirler, ayrıca 7. Maddeye dikkat etsinler)

    1- E2guardian5 Paketini yüklemek için konsoldan şu komutu verin

    pfsense 2.4 ise :

    fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf
    

    pfsense 2.3 i386 ise :

    fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficiali386.conf
    

    pfsense 2.3 amd64 ise :

    fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf
    

    2- Bir sertifika oluşturun.
    System – Cert Manager- CA’s menüsünden yeni bir sertifika oluşturun. Method olarak Create an internal Certificate Authority seçin. Benim sertifikamın adı “internal-ca”. Bunu Squid’de kullanacağız.

    3- Squid için ayarların ekran görüntüleri ekte. Püf noktaları şunlar.

    • interface seçerken Lan ile beraber loopback’i seçmeyi unutmayın.
    • SSL Man in the Middle Filtering ekranına CA kısmında oluşturduğunuz sertifikayı seçin. Diğer ayarlar ekran görüntülerinde olduğu gibi.
    • Advanced features kısmında Custom Options (Before Auth) ‘a aşağıdaki kodu yapıştırın (Alternatif olarak bu işlemi squid remote cache ekranından da ayarlayabilirsiniz)
    cache_peer 127.0.0.1 parent 8080 0 login=*:password
    always_direct deny all
    never_direct allow all
    

    4- Squid Local Cache ekranında External Cache Managers’da 127.0.0.1 yazılı olsun.

    Gelelim E2guardian ayarlarına.

    5- Burada da ekran görüntülerinde olduğu gibi “loopback” interfacei seçmeyi atlamayın.

    6- CA kısmında sertifikamızı seçiyoruz.

    7- Advanced Features kısmında, Squid ile beraber kullanacağımız için “Use automatic embeded parent config” seçili olmalı. Eğer sistemi hiç squid olmadan kullanmak istiyorsanız, burada “Direct connect” seçmelisiniz.

    8- General ekranı görüntüleri aşağıda.
    Burada en önemli konu, kullanıcılarınızı ne ile tanımlayıp ayıracağınız. Ben IP’lerine göre gruplara ayırıp filtrelemeye tabi tutacağım için Auth Plugins kısmında Ip Address seçtim.

    9- Blacklist ayarlarını yapın. Blacklist listesindeki başlıkları hem bloklama hem de izin verme amaçlı kullanacağım için, Banned and Exception seçtim. Sadece bloklama yapacaksanız “Banned only” seçebilirsiniz.
    Blacklist adresi olarak şunu kullanabilirsiniz.

    http://www.shallalist.de/Downloads/shallalist.tar.gz
    

    Download düğmesine basıp 5-10 saniye bekleyin. Sonra Reapply düğmesine basıp 10-15 saniye bekleyin.

    Sistemin çalışması için tüm ayarlar bunlar.
    Ekran görüntülerindeki bazı değerleri kendi yapınıza göre değiştirebilirsiniz.

    Bu noktadan sonra
    ACLs den Sitelist ekleyin. (Ben defaulta hiç dokunmadım)
    Groups’dan Grup ekleyin. (Ben defaulta hiç dokunmadım)
    IPs kısmından da grupların ip numaralarını girin.

    Filtreleme seçeneklerindeki kombinasyonlar ve seçenekler squidguarddan çok daha detaylı ve karışık. Ama bir o kadar da güçlü ve esnek.

    Bana sorarsanız E2guardian, Türkiye’deki kullanıcılar arasında bir devri kapatıp yeni bir devri açacak kadar güzel bir paket. Dostumuz marcelloc’a teşekkür etmek ve destek olmak gerekir.
    Paketteki bugları mutlaka kendisine iletin.
    Lütfen özel mesajla bir şey sormayın, bu başlık altından devam edelim.
    Bir ara bu konfigürasyonun videosunu da çekip ekleyeceğim.

    Eğer eksik veya hatalı bir şey varsa lütfen bildirin.

    Benden bu kadar, hepinize kolay gelsin.!

    0_1529994130067_1- Proxy Server_ General Settings_.png 0_1529994138355_2- Proxy Server_ General Settings_ General - Transparent Proxy.png 0_1529994143618_3- Proxy Server_ General Settings_ General - SSL Man in the Middle.png 0_1529994151078_4- Proxy Server_ General Settings_ General - Logging vs.png 0_1529994172413_5- Proxy Server_ General Settings_ General - Advanced Features.png 0_1529994178267_6- Proxy Server_ Cache Management_ Local Cache - External Cache Managers.png 0_1529994183978_7- E2guardian_ Daemon Listening.png 0_1529994189706_8- E2guardian_ Daemon Transparent proxy ve SSL Sertifika.png 0_1529994195755_9- E2guardian_ Daemon - Advanced Features.png 0_1529994200987_10- E2guardian_ General - Config settings.png 0_1529994206985_11- E2guardian_ General - Misc Settings.png 0_1529994212134_12- E2guardian_ Blacklist.png



  • Hocam teşekkürler, elinize sağlık. siz captive portal kullanıyor musunuz? e2guardian loglarında 127.0.0.1 olarak mı geliyor loglarınız?



  • @Mehmet:

    Hocam teşekkürler, elinize sağlık. siz captive portal kullanıyor musunuz? e2guardian loglarında 127.0.0.1 olarak mı geliyor loglarınız?

    CP Kullanmıyorum.



  • Squid olmadan yapılandırıp, lightsquid ile rapor alacaksanız aşağıdaki patch'i uygulamanız gerekiyor

    fetch -o /usr/local/pkg/lightsquid.inc http://e-sac.siteseguro.ws/lightsquid/inc.txt
    


  • squid ve e2guardian da transparenti 2 taraftada seçmeye gerek yok
    trafiği gereksiz karıştırıyor ve cache stabil çalışmıyor

    • squidde transparent ssl proxy yi seçmeye yine gerek yok.


  • Susamlicubuk arkadaşımın dediğine katılıyorum, Squid üzerinde Transparent + SSL filtering özelliklerini açmanıza hiç gerek yok. Bu ayarları zaten E2guardian üzerinde yapıyorsunuz. Eğer ikisindede transparent + ssl ayarları yaparsanız stabil çalışmıyor, ben tecrübe ettim.)

    Squid üzerinde sadece squid servisini aktif edin " LAN ve Loopback" arabirimlerini seçin daha sonra ise aşağıdaki parametreleri Advanced altında Before Auth bölümüne ekleyin. Peki bunu neden ekliyorsunuz onuda söyliyeyim size, aşağıdaki parametreleri akıllı bir eleman elle proxy yazıp e2guardian servisini atlatmasın diye yapıyoruz. Yoksa direkt squid üzerinden internete çıkar ve filtrelemeye takılmaz.

    Parametreler:

    cache_peer 127.0.0.1 parent 8080 0 login=*:password
    always_direct deny all
    never_direct allow all

    Daha sonra ise zaten E2guardian servisini arkadaşımızın anlattığı gibi ayarlarsanız güzel bir şekilde çalışıyor.



  • E2guardian'ı tek başına kurdum ve test ediyorum. Her şey güzel çalışıyor. Gruplar oluşturup her bir gruba farklı siteleri yasaklayabildim.

    Fakat "ACLs > Extension List" alanını kullanarak bir dosya indirmeyi yasaklamayı yapmıyor. Örneğin ".exe" dosyaları vb.

    Acaba bu sorunla karşılaşıp çözebilen oldu mu?



  • Eski versiyonlarda uzantı engelleme çalışıyordu fakat yeni versiyonda malesef çalışmıyor
    Marcello nun bilgisi var müdahale edilmesini bekleyeceğiz.



  • Teşekkürler

    Bekleyeceğiz artık



  • marcellonun güncellemesinden sonra uzantı engelleme şuan çalışıyor



  • Malesef ben bir türlü beceremedim.
    Yasaklanan dosya uzantıları yinede indiriliyor.

    Acaba özel bir ayar mı var?



  • resimleri göremiyorum. güncellemeniz mümkün mü?



  • resimler görünmüyordu, yeniden yükledim.



  • pfsense 2.4.4 güncellemesi sonrası e2guardian sebebi ile bir süre sonra sistem donabiliyor.

    Verdiği hata aşağıda,
    e2guardian paketine de bu hatayı çözen bir güncelleme gelmedikçe, şimdilik bir çözüm yok. (ben logrotate'i disable ettim, neticesini bekliyorum.)
    e2guardian kullananların, bu sebeple 2.4.4'e güncellememelerini tavsiye ederim.

    PHP Errors:
    [02-Oct-2018 00:00:00 Europe/Istanbul] PHP Fatal error: Uncaught ArgumentCountError: Too few arguments to function service_control_stop(), 1 passed in /usr/local/www/e2guardian_logrotate.php on line 42 and exactly 2 expected in /etc/inc/service-utils.inc:668



  • 2.4.4 sürümünün direkt kurulumunda, fetch komutu ile e2guardian5 paketlere gelmiyor, Patch işlemi gerekiyor.

    https://forum.netgate.com/topic/128007/pacote-não-oficial-e2guardian-v5-para-software-pfsense/464



  • @tuzsuzdeli said in E2guardian5 kurulumu,squid entegrasyonu,SSL Man in the middle filtering ayarları:

    pfsense 2.4 ise :
    fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf

    Merhaba Anlatım için teşekkürler eline sağlık.
    pfSense 2.4.4 release yeni fiziki pc ye kurulum yaptım.
    Tam squid ve squidgoard kuracakken konuya takıldım e2guardian5 kurmaya karar verdim.
    SSH ile bağlandım 8 ile shell e giriş yaptım komutu verince herhangi bir işlem gerçekleşmedi service bölümde de bir şey yok.

    edit:
    konuyu araştırdım,
    http://knes1.github.io/blog/2015/2015-07-18-manually-installing-e2guardian-to-pfsense.html
    buradaki gibi
    pkg update
    pkg install e2guardian
    komutlarla kurdum o sitedeki sonraki ayarları yapmadım.
    sonra aşağıdaki videoda
    https://www.youtube.com/watch?v=7N7eIku3v98

    conf dosyası zaten oluşmuş
    bende System - Package Manager - Available Packages ler içinde e2guardian gözükmüyor.





  • Sonunda oldu, @plusbil verdiği link ile hallettim o linkteki yazıyı anlayana kadarda bayagı zaman harcadım.
    Önce eklentilerden System patch install yaptım.
    System / Patches / +Add new patch
    bölümden gerekli ayarı yapınca yüklenecek paketlerde listelendi. kurulumunu gerçekleştirdim umarım sonraki yapılandırma ayarlarda sorun olmaz. Resim ekledim.
    0_1541075668481_e2guardian.png



  • @tuzsuzdeli teşekkürler o linki şimdi fark ettim o sayfa bende de açıktı başka bir kaynaktan yönlenmiştim 900 küsür mesajdan yukarı doğru çıkıyordum ipin ucunu bir türlü yakalayamadım.



  • Özellikle link verdim, açıklamadım. Çünkü sadece balık yemeyi öğrenirsek, oltacıların nesli tükenir. Balık tutmayı öğrenmek olsun gayemiz...

    Bir de siz uğraşır yaparsanız, nasıl olduğunu bir daha unutmazsınız. Kopyala-Yapıştır yaparsanız, forumlara bağlı yaşarsınız. 😉



  • @plusbil çok haklısınız, anlatsanız da aklımda kalacağını sanmıyorum sağlık sorunlarımdan dolayı.
    pfSense uzun süredir kullanmıyorum bildiğimi de unutmuşum.
    O linkte takıldığım nokta google translate çeviriyi yapamadı şimdi yeni kurdum hatasız ilerlemek için bende kafama göre denemek istemedim. ID yerine link yazın diyormuş o kısmını anlamamıştım.

    @tuzsuzdeli hocam siz blacklist için download butona basın biraz bekleyin demişsiniz.
    Benim kurduğumda shallalist bölümü ekli geldi.
    Download diyorum sayfada hareketlilik yok, farklı tarayıcıdan da baktım aynı, umarım ters bir durum yoktur.

    Mantığı anlamak açından youtube daki anlatıma baktım diğerinden(squidguard) farklı daha stabil ve hızlı. İlk ayardan sonrası çok uğraştırmaz sanırım.
    youtube.com/watch?v=w7w8oZX8uJo

    Şimdilik engelleme yapmayacağım log lari takip edip ona göre işlemler yapacağım. Bana gerekli olan dışarıdan bu cihaza erişim, modem bridge mode olacak.
    WAN bölümden erişim riskli fakat depo ile aramızda 4-5km var. Bu konu için tavsiyeniz nedir.



  • @tuzsuzdeli Merhaba, bu konuyu yukarı sabitleseniz daha güzel olmaz mı?