pfSense + E2guardian SSL Transparente + Controle de Banda



  • Boa tarde a todos,

    Estou com uma debanda, que seria a configuração do pf com interceptação SSL sem a necessidade de instalação de certificado nas estações, pois muitas delas são dispositivos móveis. Andei pesquisando e percebi que o E2guardian está mais apto a trabalhar com SSL, e que, na versão mais recente independe do squid para fazer a filtragem.
    Minha dúvida é a seguinte, consigo trabalhar com o E2guardian SSL em modo transparente e fazer o controle de banda para determinados usuário ?
    Obrigado a todos.



  • Só um detalhe que esqueci de mencionar, com o E2guardian consegui fazer funcionar somente em modo ativo, e em relação ao Controle de banda, tanto no squid quando no E2guardian quando habilitados a regra de controle de banda é ignorada



  • No modo ativo você tem a opção de definir um limiter para ele, e consequentemente, controlar a banda por ip.



  • @marcelloc muito obrigado pelo retorno.
    Entendi, então significa que no modo transparente eu não consigo o cenário que preciso ?



  • Da vez que testei, a regra de controle de banda se atrapalha com a interceptação.



  • Eu estou usando em um cliente o E2guardian5 em modo transparente com interceptação SSL e controle de banda para uma determinada faixa de IP, fiz a regra na LAN mesmo e até o momento esta funcionando muito bem.



  • @lotus Bom dia amigo!
    Você poderia dar um exemplo da configuração ? pois quando eu habilito o modo transparente do e2guardian5 ele não intercepta as conexões, e pelo console do fw executei o comando pftcl -s nat e percebi que não existe um NAT redirecionando o tráfego para o proxy. Teria como me dar um exemplo ? Desde já agradeço.



  • @alexandroinfor o que fiz foi o seguinte:

    • Um roteador wifi hostspot 300 da intelbraz com opção de like no face para acesso.

    • Peguei um ip ex: 192.168.1.20 coloquei esse ip na wan desse hotspot e usando a faixa de ips dele com a opção de somente internet habilitado, mão so de ida, ou seja não volta pra minha LAN.

    • Em traffic shaper criei um limite de 2mb para In e 2mb para out.

    • Criei uma ACL e um grupo para esse rede com nome Wifi (isso tudo com proxy transparente), em grupo removi a opção "filter ssl sites forcing SSL Certificates" porque não da para colocar certificados nos smarts, vai interceptar da mesma forma só que ao acessar algum site vai dar erro de conexão.

    • Regra da LAN
      IPv4 TCP/UDP 192.168.1.20 * * * * none Rede Clientes (In / Out pipe setei as configurações do lime te banda)

    Basicamente foi isso. Nâo sei se esse foi o que você pensou, espero ter ajudado.



  • Alexandro, faço algo parecido, a unica diferença é que não tenho a rede wifi separada, mas a sua idéia é muito boa, parabéns cara, acho que vai ajudar muita gente.



  • Blz pessoal,
    Muito obrigado a todos pela ajuda, a configuração aparentemente funcionou, o problema estava na versão do pfSense. Na ocasião, estava utilizando a versão 2.3.5 x86 junto com o e2guardian 5, quando passei a utilizar a versão 2.4.3 x64 do pf, o proxy transparente junto as outras configurações passaram a funcionar.
    Estou terminando as configurações e quando estiver tudo redondo posto a conf, pois pode haver alguém com os mesmos problemas.