Ótimo trabalho Marcelo, eu vinha usando o squid + squidguard mas na minha topologia de rede nunca funcionava 100%. já esse atendeu bem as necessidades da minha empresa. estou agora estudando como personalizar a página de bloqueio. obrigado por compartilhar =D
Olá Marcelo, parabéns e obrigado pelo vídeo. Coloquei o Pfsense 2.4.3 na empresa em que trabalho seguindo o seu vídeo onde essa configuração básica já o suficiente para o que preciso de bloqueio. Porém alguns sites estão sendo bloqueados mesmo não fazendo parte da categoria que escolhi (no caso porn, socialnet e spyware). Há estou usando apenas e2guardian v5 no Pfsense.
Boa noite Marcelo, Tenho um firewall de borda com 5 vlans criadas e suas respectivas redes. em uma dessas vlans está funcionando com um proxy autenticado com squid via LDAP, em um segundo pfsense. Minha intenção é deixar configurado como proxy transparente interceptando as outras vlans em modo transparente. teria como especificar essas outras redes e deixar a que está com o proxy autenticado fique de fora. É possível? Se é possível, em qual campo da para fazer essas configurações. Grato.
Bom dia marcelo, nao sei como abrir um topico no lugar certo mas ja dei uma pesquisada e nao vi nada do genero relacionado ao e2g, entao a duvida é a seguinte, tenho um pf sense somente com e2g rodando para fazer controle de acesso, esta funcionando porem quando alguem por exemplo acessa ao facebook nos horarios permitidos ele continua acessando fora dos horarios permitidos e isso ta me deixando chateado porque venho trabalhando duro para nao deixar nada passar no chrome e no firefox acontece isso ja faz tempo que nao uso IE entao nao fiz o teste nele, se der pra dar uma força agradeço.
Olá! Para autenticar usuários no E2Guardian, você pode fazê-lo usando junto do Squid (usando os mesmos métodos) ou então utilizando o UserAuth (sem necessidade de ter Squid instalado): ua-cam.com/video/2VRv3ahZy6M/v-deo.html
Parabéns, excelente material. Já implementei em um cliente. Esporadicamente da HTTP ERRO 502 em alguns sites e percebi uma instabilidade no funcionamento do Skype e na redundância de Link. O Skype cai as vezes, depois que coloquei o E2G pra funcionar e quando mudo para o link da Vivo fica extremamente instável. Tem alguma sugestão? Para o erro 502 eu já alterei o parâmetro "maxheaderlines" para 100, mas mesmo assim continua dando o erro.
Subi a uns 30 minutos a ultima versão do código do e2guardian com algumas alterações na questão de conexão ssl. veja se estas correções diminuem o problema. github.com/e2guardian/e2guardian/commit/c4d2659d80568b05dba09294e8a35dff1ae54cd4
ola, eh possivel emitir a pagina de bloqueio sem o filtro ssl ativo? pq quando eu ativo preciso instalar o certificado nas maquinas, queria nao ter q instalar o certificado mas receber a pagina de bloqueio do e2g
Olá Marcelo, precisei adicionar um ip no Bypass Proxy for These Source IPs depois de alguns dias em funcionamento já com alguns bloqueios, dessa forma acrescentei esse Ip porém o mesmo continua com os bloqueios, algum relato de problema no bypass?
Bom dia Marcello! Eu sou leigo no assunto e atualmente utilizo o pfsense para rede de nossa microempresa. Estava tentando implementar o e2guardian de forma simples atrelado ao IPs de forma transparente sem setar o proxy nas maquinas. Como eu faço para as conexoes passarem pelo e2guardian? Fiz a configuração igual a da demonstração e não deu certo... Fiz bloqueio da 80-443 e não deu certo, bem como deixa-las liberadas...
Boa noite, uso o E2G no meu ambiente, ele funciona bem porém estou com um problema em relação ao Whatsapp, os ips dos celulares estão em uma acl que permite o acesso full em redes sociais mas o Whatsapp sempre qndo envio uma msg ele aparece o relógio e demora uns 40 segundos para enviar a msg as demais sao enviadas instantaneamente porem se o celular ficar ocioso por um tempo ele volta a ter dificuldades no envio da msg, quando eu desativo o E2G o Whatsapp funciona normal. Já fiz de tudo que indicaram na net para resolver mas sem sucesso. Vc poderia me dar uma dica por favor
Boa noite. Muito bom!!. Só 3 dúvidas.... 1 - como é feito o controle sem o certificado...já que a conexão tá criptografada.2 - Qd habilitamos o certificado, não precisamos instalar esse certificado no desktop?....3 - Tem como gerar relatórios de acesso como o squidreports?.....Valewww!!!
Marcello bom dia fiz alguns testes, porem e ate usei somente o e2guardian porem apos alguns dias ele para de gerar relatorios na guia realtime, e o proxy para de funcionar! testei ele na versão do pfsense 2.4.4 junto com o squid + captiveportal e testei ele sem o squid e so com o captiveportal porem ele de um dia para outro ele apresenta o erro que eu lhe informei. sabe me informar se ele tem algum problema com essa versão do pfsense que eu estou utilizando ? Desde já parabéns pela iniciativa e muito obrigado pelo retorno.
Eu realizei a atualização para a versão 2.7.2 reinstalei os pacotes não oficiais e não funcionou mais o E2guardian, será que esta com alguma incompatibilidade com o sistema?
Olá Marcello, ao tentar gerar relatorios para squidanalyzer, usando o pacote cron usando o comando usr/local/bin/squid-analyzer estou tendo o erro abaixo: Segue o erro: perl: warning: Setting locale failed. perl: warning: Please check that your locale settings: LC_ALL = (unset), LANG = "pt_BR.UTF-8" are supported and installed on your system. perl: warning: Falling back to the standard locale ("C"). poderia me dar uma solução pra esse problema. obs: o comando executa manualmente e gere os relatorios normalmente pela shell so no cron que ele nao executa, obtive esse erro testando pela interface grafica o comando.
Sobre o E2Guardian, me surgiu o seguinte "problema": Meu Pfsense utiliza Proxy Transparente com verificação e filtragem de SSL ativados. Para que Eu consiga bloquear extensões .exe em sites HTTPS é necessário ativar a opção "Filter ssl sites forging SSL Certificates" (para tal, criei um certificado no próprio Pfsense) na aba Groups do E2Guardian. Porém ao ativar essa funcionalidade "Filter ssl sites forging SSL Certificates", todos os serviços que dependem de certificado digital param de funcionar (acessando qualquer site que solicita autenticação por certificado digital, simplesmente não funciona, nem chega de mostrar o certificado para selecionar qual quero utilizar), me forçando a desativar a regra. Tem alguma idéia do que eu possa fazer para contornar isso e voltar a usar o "Filter ssl sites forging SSL Certificates" Obrigado.
E o hamachi? Como liberar?Liberei a porta TCP/UDP 17771 e TCP: 12975 e 32976, funciona mas muito lento, se desativo o filtro ssl funciona normal. Se puder me ajudar desde já agradeço muito.
Olá, professor...preciso fazer bloqueio de sites indesejados tanto pela Lan como por Wifi. Na lan, preciso retornar mensagem de erro legível ao usuário (em português) , por isto, uso o SquidGuard, com Proxy transparente e interceptação SSL - tudo configurado em minha Lan - endereço 192.168.0.1. A wan tem endereço 192.168.128.1 Tenho no meu micro servidor, mais uma placa de rede fixada, OPT1 , a qual dei o nome de WiFI, com ip fixo atribuído 172.16.0.1. Coloquei a ponta do cabo na Wan de um roteador Wifi doméstico. DHCP e Resolver ativos e setados. O Dhcp server do roteadorzinho IntelBras está desabilitado. Chega um ip 172.16.0.10 na Wan dele. Entro no terminal do pfSense, , digito tcpdump -vv -i rl0 (placa OPT1), e vejo dados chegarem a placa FRENETICAMENTE, a luz da WAN intermitente. Tento enviar uma mensagem via whatsapp que até aparece o request na tela do monitor, mas... DADO NENHUM ENTRA OU SAI. O QUE AINDA PODE ESTAR FALTANDO? ISTO É SÓ REGRA DE FIREWALL , OU AINDA TEM MAIS UM DETALHE? Usaria um switch layer 2 nas portas lan do roteador para segmentar o tráfego. Não temos recursos para adquirir um switch layer 3. Por favor, me auxilie, só assim, após isto que posso pensar em E2Guardian.
Bom dia! Tudo bem? Eu implantei o E2guardian beleza. Tudo certo funcionou beleza. Mas tem certos momentos que o proxy para de filtrar as páginas e libera tudo. Eu estou remediando trocando o valor do número de conexões. Tem alguma solução pra esse problema?
Olá bom dia, fiz toda a instalação e realmente funcionou certinho em laboratório, porém quando implementei em uma rede com mais de 20 usuários, a lentidão para navegar foi tão grande que tive que desabilitar o serviço. Ao desabilitar, a internet funciona 100% como pfesense, mas não tive êxito com o e2guardian. Marcelo Coutinho, há algo que possa fazer para me ajudar? Estou em um grupo do pfsense oficial e me desaconselharam a usar o e2guardian, além da instabilidade, compromete a segurança. Você ou alguém tem algo a dizer?
Estou fazendo alguns testes com o E2guardian com proxy transparente e estou gostando muito dele, durante meus teste tive problema com a interpretação SSL em maquinas onde instalo o certificado do pfsense tudo esta ok porém maquinas onde não está instalado o certificado os sites https são bloqueados ou dão erro de certificado, há alguma maneira de fazer a interpretação ssl sem ter que instalar os certificado em cada dispositivo? uma que não possuo dominio na minha rede essa tarefa seria um tanto quanto demorada, outro problema seria os celulares pro exemplo. Obrigado!
Marcos, se você quer interceptar uma conexão SSL, ou seja, aplicar o "man-in-the-middle", necessariamente precisa instalar o certificado do firewall na estação cliente. Isso porque sua estação precisa CONFIAR no em quem está se 'metendo' na conexão com o destinatário (bancos, etc..). Isso é uma questão conceitual e VALE PRA TODAS AS SOLUÇÕES DE MERCADO QUE EXISTEM! Vale RESSALTAR que se você NÃO MARCAR a opção "forge ssl certificates", você consegue analisar o FQDNS do Certificado do Site/IP, sem ter que instalar o certificado do pfSense no cliente. O E2Guardian vai até o destino, baixa o certificado SSL, analisa quem é o emissor (Facebook, Linkedin, Microsoft, etc..) e consegue executar o bloqueio! ;-) Nós desaconselhamos nossos clientes a trabalharem com interceptação SSL. A grande parte dos sites HTTPS vão reclamar (com razão, por questões de segurança) e você está comentando um 'pecado o original' de infosec. Considere sempre trabalhar com proxy ativo (quando o navegador autentica o usuário no proxy). Nós criamos um módulo extra que é capaz de resolver esta questão, chamado UserAuth (conexti.com.br/userauth). Com ele, se a estação cliente (PC ou Smartphone) não disser 'quem é o usuário' para o proxy, o Captive Portal é aberto para que o usuário se IDENTIFIQUE. Você implementa proxy ativo sem ter que 'mexer' nos endpoints.
Não... O E2Guardian não possui 'integrações' com autenticações. Para isso, você deve utilizar o Squid junto do E2Guardian ou então o UserAuth: conexti.com.br/userauth
Thanks for the video but it didnt block website with transparan proxy but when I add proxy in browser the worked. I used wpad.dat and proxy.pac to config auto proxy using dhcp but it didnt work also. What do you think about ? Which config I must do to complete auto proxy config.
Perfeitamente Francisco... Você pode usar o E2Guardian em conjunto com o Sarg para gerar relatórios. Veja também: ua-cam.com/video/ERJJCeX-n0g/v-deo.html
Olá Marcelo bom dia, estou com o seguinte problema: preciso bloquear as redes sociais e liberar apenas o facebook, até funciona porém o facebook está abrindo em html puro, o que pode ser?
Marcelo, quando eu ativo o filter ssl sites forging ssl certificates ele dá erro de certificado, e não vi você fazer nada diferente para funcionar no seu, chegou a instalar no navegador o certificado?
Sim, com a opção filter ssl sites forging ssl certificates, é necessário ter o certificado instalado no navegador. Como é um video de configuração básica, foquei na configuração do pacote.
Marcello Coutinho excelente Marcelo, sou aluno seu no syssquad, eu mandei e-mail para o comercial pedindo valores sobre o produto de autenticação, ainda não tive retorno, aproveitando, eu instalei o s2guardian, e ele não gera o Access.log, tem alguma ideia? Vlw
Habilitou as mesmas opções do vídeo? consegue bloquear acesso a alguma página? a aba realtime lê o arquivo access.log. Se aparecer algum trafego lá, então tem log e acesso registrado.
Marcello Coutinho o site autêntica, bloqueia pagina qur add, mas não aparece nada em realtime, mesmo alterando para log do e2guardian ou squid... To apanhando dele, mas vou continuar na luta, vlw
quando vou acessar um serviço https fora nao esta indo, nem instalando o certificado, alguem pode me ajudar ? exemplo acessar um site 200.201.31.31 nao vai site por exemplo seria a console de um pfsense fora
Marcello, aqui funcionou maravilhosamente. Só que veja se pode me ajudar a entender uma coisa que aconteceu comigo. Tenho algumas regras no firewall para que determinados IPs saiam pelo meu segundo gateway. Quando acesso um site (pelo IP da regra do firewall) para ver qual o meu IP externo ele mostra o primeiro gateway, e quando eu desativo o E2Guardian ele mostra o IP do segundo gateway, que é o correto de acordo com a regra do firewall. O mais engraçado é que, quando estou com o E2Guardian ativado e com as regras ativas e faço um teste de velocidade do link, mostra a velocidade do meu segundo gateway. Você já se deparou com algo do tipo, ou sabe o que pode ser? Obrigado.
Boa tarde, Quando você está dentro do "Proxy" a navegação sempre vai sair pelo Gateway Padrão, quando você tira-o do "Proxy" a regra do Firewall assume para seu segundo Gateway. Lembre-se quando você seta "Proxy" nas CPU, é o "Proxy" que navega na internet e não a maquina diretamente, dessa forma a CPU requisita ao Proxy que faz todo o processo de navegação para o GW Padrão.
Boa tarde Marceloo Fiz as configurações na versão do PfSense 2.4.3-RELEASE-p1 mas os bloqueios não estão funcionando, essa versão já esta habilitada para a p1 ou somente a 2.4.3 por enquanto?
Estranho, não teve jeito de funcionar na 2.4.3-RELEASE-p1....porem na 2.4.3 RELEASE (Sem o patch) funcionou normal, de qualquer forma valeu pelo feedback.
Fiz todo o processo, abri o navegador internetexplorer, bloqueou tranquilo. Agora no googlechrome quando informo facebook.com.br ele bloqueia, agora quando digito facebook.com ele nao bloqueia.
Fala Marcelo, blz? Deixe-me tirar uma dúvida: existe opção de bloqueio de download de arquivos (via https) por tipo (sem a necessidade de forçar a instalação do certificado nas máquinas da rede)? Abraços.
Marcello Coutinho obrigado pela resposta. O duro dessa config com certificado são os updates de Windows 10, Skype para Windows 10 e por aí vai... Vc tem alguma sugestão em relação a isso? Abraços.
Marcello Coutinho valeu meu caro. Vou dar uma olhadinha nesse carinha. Toda vez q o assunto é Win preciso dar aquela respirada funda, rsssss. Se tiver alguma sugestão para casos como o Skype ficarei grato também. Gde abs
Hola Marcelo, he tratado de instalar e2Guardian con tu instructivo y me da el siguiente error desde el Packet Manager pkg-static: github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/FreeBSD:11:amd64/pfSense-pkg-E2guardian5-0.5.3.3.txz: Operation timed out Failed me ayudas?
O meu e2guardian não funciona nada... nenhum site carrega. O Estranho também é que lá nos processos do sistema, o e2guardian só fica parado, ele não inicializa
Bom dia , usei essa linha de comando fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf e não encontro o pacote para instalar. Meu pfsense e 2.4.4
A partir da versão 2.4.4 do pfSense, você precisa 'destravar' a ferramenta para que ela seja capaz de ler repositórios EXTRAOFICIAIS. Preparamos um documento com um passo-a-passo de como fazer isso aqui: www.conexti.com.br/fw/docs/patches/man_patch_add_repo_pf244.pdf
@@ConextiBrasil Já usei esse passo a passo, agora fui instalar um novo server e não vai. Aparece isso /usr/bin/patch --directory=/ -t -p2 -i /var/patches/5c37811789322.patch --check --forward --ignore-whitespace Hmm... Looks like a unified diff to me... The text leading up to this was: -------------------------- |--- /etc/inc/pkg-utils.orig 2018-09-24 17:51:32.458825000 -0300 |+++ /etc/inc/pkg-utils.inc 2018-09-24 17:51:54.387033000 -0300 -------------------------- No file to patch. Skipping... Hunk #1 ignored at 388. Hunk #2 ignored at 485. 2 out of 2 hunks ignored while patching inc/pkg-utils.inc done
apos instalar o system patches, ai coloco o novo pacote, e qdo clico em test ele retorna: /usr/bin/patch --directory=/ -t -p1 -i /var/patches/5c82ccc70d8b8.patch --check --forward --ignore-whitespace Hmm... I can't seem to find a patch in there anywhere.
@@eudodiasleite4572 Você precisa deixar a opção "Path Strip Count" com o número "1" no momento que você for aplicar o patch no sistema.
5 років тому
Tentei agora fazer o processo e infelizmente não vai! O e2guardian não aparece nos pacotes. Poderia me ajudar, tentei de tudo la que tem no forum e não sobre
Marcelo Boa Noite Quando tento adicionar o pacote me retorna o seguinte erro fetch: raw.githubusercontent.com/marceloc/Unofficial-pfSense-packages/master/Unofficial.conf: Not Found Consegue me informar o que seria ?
Instalei o PFSENSE 2.4.3 e não consigo instalar os pacotes no Gerenciador, e normal isso alguém pode me ajudar. esse e o erro na instalação do pacote . WARNING: Current pkg repository has a new PHP major version. pfSense should be upgraded before installing any new package. Falhou
Olá Reinaldo... Como você mesmo postou, o pfSense está lhe avisando que você PRECISA fazer upgrade para o pfSense 2.4.4 se quiser instalar ou atualizar pacotes no pfSense. Isso está sendo forçado em nível de código pelo core team do pfSense. Quanto aos nossos pacotes extra-oficiais, livre ou comerciais, nós desenvolvemos um patch para 'liberar' no pfSense o uso dos nossos repositórios. Para saber mais, acesse: www.conexti.com.br/fw/docs/patches/man_patch_add_repo_pf244.pdf
Marcos, você precisa antes de mais nada habilitar os repositórios extras no pfSense. Veja mais sobre isso aqui: ua-cam.com/video/i_FjN6o_6CQ/v-deo.html
@@ConextiBrasil tbem nao consegui, adicionei o caminho do pacote em diagnostics /command prompt. ok. Mas simplesmente nao aparece o pacote pra instalar em system/package manager/ available packages.
É preciso aplicar o patch que 'destrava' repositórios extra-oficiais no pfSense. Basta seguir os passos deste doc: www.conexti.com.br/fw/docs/patches/man_patch_add_repo_pf244.pdf
Olá Ramon... O bloqueio de UA-cam, com proxy ativo (proxy autenticado no cliente - com ou sem certificado), funciona tão bem quanto qualquer outro serviço. Afinal, a análise se dá pela URL solicitada pelo usuário!
Não consigo instalar. >>> Installing pfSense-pkg-E2guardian5... Updating Unofficial repository catalogue... Fetching meta.txz: . done Fetching packagesite.txz: . done Processing entries: .. done Unofficial repository update completed. 18 packages processed. Updating pfSense-core repository catalogue... pfSense-core repository is up to date. Updating pfSense repository catalogue... pfSense repository is up to date. All repositories are up to date. The following 3 package(s) will be affected (of 0 checked): New packages to be INSTALLED: pfSense-pkg-E2guardian5: 0.5.0.3_6 [Unofficial] e2guardian: 5.1_1 [Unofficial] openssl: 1.0.2l,1 [Unofficial] Number of packages to be installed: 3 The process will require 23 MiB more space. 3 MiB to be downloaded. [1/3] Fetching openssl-1.0.2l,1.txz: . done pkg-static: github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/FreeBSD:11:amd64/openssl-1.0.2l,1.txz: Operation timed out Failed
![Lp. Сердце Вселенной #60 РОЖДЕНИЕ ЛОЛОЛОШКИ [Финал] • Майнкрафт](http://i.ytimg.com/vi/YoR0pAV9FVQ/mqdefault.jpg)
Ótimo trabalho Marcelo, eu vinha usando o squid + squidguard mas na minha topologia de rede nunca funcionava 100%. já esse atendeu bem as necessidades da minha empresa. estou agora estudando como personalizar a página de bloqueio. obrigado por compartilhar =D
Olá Nelson Jhone, conseguiu personalizar a página de bloqueio?
Olá Marcelo, parabéns e obrigado pelo vídeo.
Coloquei o Pfsense 2.4.3 na empresa em que trabalho seguindo o seu vídeo onde essa configuração básica já o suficiente para o que preciso de bloqueio.
Porém alguns sites estão sendo bloqueados mesmo não fazendo parte da categoria que escolhi (no caso porn, socialnet e spyware).
Há estou usando apenas e2guardian v5 no Pfsense.
Show de bola, simples prático e fácil.
cara, vc é muito bom!!!!!
Parabéns excelente explicações. Obrigado por compartilhar.
Parabéns pelo vídeo amigo, muito explicativo!
Boa tarde Marcello Coutinho, parte do e2guardian está configurada para cache de páginas .. Obrigado
excelente amigo, muito obrigado
Boa tarde,
Legal o pacote. Estou fazendo alguns testes.
É necessário fazer algum tuning no PF pra uma rede maior?
Até!
Sérgio Abrantes
Bom dia eu consigo instalar no PFSense versão 2.6 ?
Boa noite Marcelo,
Tenho um firewall de borda com 5 vlans criadas e suas respectivas redes.
em uma dessas vlans está funcionando com um proxy autenticado com squid via LDAP, em um segundo pfsense.
Minha intenção é deixar configurado como proxy transparente interceptando as outras vlans em modo transparente. teria como especificar essas outras redes e deixar a que está com o proxy autenticado fique de fora. É possível?
Se é possível, em qual campo da para fazer essas configurações. Grato.
Video espetacular!
Excelente, parabéns.
Bom dia marcelo, nao sei como abrir um topico no lugar certo mas ja dei uma pesquisada e nao vi nada do genero relacionado ao e2g, entao a duvida é a seguinte, tenho um pf sense somente com e2g rodando para fazer controle de acesso, esta funcionando porem quando alguem por exemplo acessa ao facebook nos horarios permitidos ele continua acessando fora dos horarios permitidos e isso ta me deixando chateado porque venho trabalhando duro para nao deixar nada passar no chrome e no firefox acontece isso ja faz tempo que nao uso IE entao nao fiz o teste nele, se der pra dar uma força agradeço.
Olá professor,
Você teria como fazer um vídeo demonstrando como integrar o E2Guardian com o Active Directory como tem para Squid ?
Fico no aguardo
Olá!
Para autenticar usuários no E2Guardian, você pode fazê-lo usando junto do Squid (usando os mesmos métodos) ou então utilizando o UserAuth (sem necessidade de ter Squid instalado): ua-cam.com/video/2VRv3ahZy6M/v-deo.html
@@ConextiBrasil Me desculpe professor, mas dai eu instalo o E2G, o Squid e configuro a integração do E2G como se fosse o Squid ?
Grande abraço
Parabéns, excelente material. Já implementei em um cliente. Esporadicamente da HTTP ERRO 502 em alguns sites e percebi uma instabilidade no funcionamento do Skype e na redundância de Link. O Skype cai as vezes, depois que coloquei o E2G pra funcionar e quando mudo para o link da Vivo fica extremamente instável. Tem alguma sugestão? Para o erro 502 eu já alterei o parâmetro "maxheaderlines" para 100, mas mesmo assim continua dando o erro.
Subi a uns 30 minutos a ultima versão do código do e2guardian com algumas alterações na questão de conexão ssl. veja se estas correções diminuem o problema.
github.com/e2guardian/e2guardian/commit/c4d2659d80568b05dba09294e8a35dff1ae54cd4
ola, eh possivel emitir a pagina de bloqueio sem o filtro ssl ativo? pq quando eu ativo preciso instalar o certificado nas maquinas, queria nao ter q instalar o certificado mas receber a pagina de bloqueio do e2g
Bom dia, Já testou na versão 2.5.1-Release Marcelo?
Olá Marcelo, precisei adicionar um ip no Bypass Proxy for These Source IPs depois de alguns dias em funcionamento já com alguns bloqueios, dessa forma acrescentei esse Ip porém o mesmo continua com os bloqueios, algum relato de problema no bypass?
Bom dia Marcello!
Eu sou leigo no assunto e atualmente utilizo o pfsense para rede de nossa microempresa.
Estava tentando implementar o e2guardian de forma simples atrelado ao IPs de forma transparente sem setar o proxy nas maquinas.
Como eu faço para as conexoes passarem pelo e2guardian? Fiz a configuração igual a da demonstração e não deu certo...
Fiz bloqueio da 80-443 e não deu certo, bem como deixa-las liberadas...
Boa noite, uso o E2G no meu ambiente, ele funciona bem porém estou com um problema em relação ao Whatsapp, os ips dos celulares estão em uma acl que permite o acesso full em redes sociais mas o Whatsapp sempre qndo envio uma msg ele aparece o relógio e demora uns 40 segundos para enviar a msg as demais sao enviadas instantaneamente porem se o celular ficar ocioso por um tempo ele volta a ter dificuldades no envio da msg, quando eu desativo o E2G o Whatsapp funciona normal.
Já fiz de tudo que indicaram na net para resolver mas sem sucesso. Vc poderia me dar uma dica por favor
Boa noite. Muito bom!!. Só 3 dúvidas.... 1 - como é feito o controle sem o certificado...já que a conexão tá criptografada.2 - Qd habilitamos o certificado, não precisamos instalar esse certificado no desktop?....3 - Tem como gerar relatórios de acesso como o squidreports?.....Valewww!!!
Tenho a mesma dúvida! Não precisamos instalar certificados nas máquinas como é necessário no Squid?
Marcello bom dia
fiz alguns testes, porem e ate usei somente o e2guardian
porem apos alguns dias ele para de gerar relatorios na guia realtime, e o proxy para de funcionar!
testei ele na versão do pfsense 2.4.4 junto com o squid + captiveportal
e testei ele sem o squid e so com o captiveportal
porem ele de um dia para outro ele apresenta o erro que eu lhe informei.
sabe me informar se ele tem algum problema com essa versão do pfsense que eu estou utilizando ?
Desde já parabéns pela iniciativa e muito obrigado pelo retorno.
Eu realizei a atualização para a versão 2.7.2 reinstalei os pacotes não oficiais e não funcionou mais o E2guardian, será que esta com alguma incompatibilidade com o sistema?
Olá Marcello, ao tentar gerar relatorios para squidanalyzer, usando o pacote cron usando o comando usr/local/bin/squid-analyzer estou tendo o erro abaixo:
Segue o erro:
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LC_ALL = (unset),
LANG = "pt_BR.UTF-8"
are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C"). poderia me dar uma solução pra esse problema.
obs: o comando executa manualmente e gere os relatorios normalmente pela shell so no cron que ele nao executa, obtive esse erro testando pela interface grafica o comando.
Sobre o E2Guardian, me surgiu o seguinte "problema":
Meu Pfsense utiliza Proxy Transparente com verificação e filtragem de SSL ativados.
Para que Eu consiga bloquear extensões .exe em sites HTTPS é necessário ativar a opção "Filter ssl sites forging SSL Certificates" (para tal, criei um certificado no próprio Pfsense) na aba Groups do E2Guardian. Porém ao ativar essa funcionalidade "Filter ssl sites forging SSL Certificates", todos os serviços
que dependem de certificado digital param de funcionar (acessando qualquer site que solicita autenticação por certificado digital, simplesmente não funciona, nem chega de mostrar o certificado para selecionar qual quero utilizar), me forçando a desativar a regra.
Tem alguma idéia do que eu possa fazer para contornar isso e voltar a usar o "Filter ssl sites forging SSL Certificates"
Obrigado.
Olá, muito bom. Parabéns e Obrigado.
Tenho uma dúvida, como faço pra modificar a página de bloqueio padrão do e2guardian?
Qual o path para alterar?
A alteração é feita pela propria interface web, na aba "Report and log", campo "Report file".
Na verdade a pergunta seria, como personalizar a página de bloqueio, creio que o arquivo seja o .html.
Depois de alterar para ptbrazilian por exemplo, basta editar o campo report file e salvar.
Perfeito. Obrigado.
How can Firewall rules give a bi-screenshot
E o hamachi? Como liberar?Liberei a porta TCP/UDP 17771 e TCP: 12975 e 32976, funciona mas muito lento, se desativo o filtro ssl funciona normal. Se puder me ajudar desde já agradeço muito.
amigos, quando ativei filtro ssl as notas fiscais da sefaz começaram a dar erro de envio, tenho que exportar certificado e instalar nas maquinas ?
Depende de como o acesso é feito e a aplicação funciona.
O mais fácil, seria fazer o bypass desses ips de destino no e2guardian.
coloca o sefaz para passar por fora do proxy. Se o pacote for aberto, o sefaz considera que ele foi violado e por questão de segurança não aceita.
Olá, professor...preciso fazer bloqueio de sites indesejados tanto pela Lan como por Wifi.
Na lan, preciso retornar mensagem de erro legível ao usuário (em português) , por isto, uso o SquidGuard, com Proxy transparente e interceptação SSL - tudo configurado em minha Lan - endereço 192.168.0.1.
A wan tem endereço 192.168.128.1
Tenho no meu micro servidor, mais uma placa de rede fixada, OPT1 , a qual dei o nome de WiFI, com ip fixo atribuído 172.16.0.1. Coloquei a ponta do cabo na Wan de um roteador Wifi doméstico.
DHCP e Resolver ativos e setados. O Dhcp server do roteadorzinho IntelBras está desabilitado. Chega um ip 172.16.0.10 na Wan dele.
Entro no terminal do pfSense, , digito tcpdump -vv -i rl0 (placa OPT1), e vejo dados chegarem a placa FRENETICAMENTE, a luz da WAN intermitente.
Tento enviar uma mensagem via whatsapp que até aparece o request na tela do monitor, mas...
DADO NENHUM ENTRA OU SAI.
O QUE AINDA PODE ESTAR FALTANDO? ISTO É SÓ REGRA DE FIREWALL , OU AINDA TEM MAIS UM DETALHE? Usaria um switch layer 2 nas portas lan do roteador para segmentar o tráfego. Não temos recursos para adquirir um switch layer 3.
Por favor, me auxilie, só assim, após isto que posso pensar em E2Guardian.
Bom dia! Tudo bem? Eu implantei o E2guardian beleza. Tudo certo funcionou beleza. Mas tem certos momentos que o proxy para de filtrar as páginas e libera tudo. Eu estou remediando trocando o valor do número de conexões. Tem alguma solução pra esse problema?
Olá bom dia, fiz toda a instalação e realmente funcionou certinho em laboratório, porém quando implementei em uma rede com mais de 20 usuários, a lentidão para navegar foi tão grande que tive que desabilitar o serviço. Ao desabilitar, a internet funciona 100% como pfesense, mas não tive êxito com o e2guardian. Marcelo Coutinho, há algo que possa fazer para me ajudar? Estou em um grupo do pfsense oficial e me desaconselharam a usar o e2guardian, além da instabilidade, compromete a segurança. Você ou alguém tem algo a dizer?
se o usuário alterar o proxy manualmente, ele continua navegando e consegue burlar?
Tem que mais vídeos.
Shallalist não esta mais funcionando e uma lista francesa não aparecem todas as listas =[
Estou fazendo alguns testes com o E2guardian com proxy transparente e estou gostando muito dele, durante meus teste tive problema com a interpretação SSL em maquinas onde instalo o certificado do pfsense tudo esta ok porém maquinas onde não está instalado o certificado os sites https são bloqueados ou dão erro de certificado, há alguma maneira de fazer a interpretação ssl sem ter que instalar os certificado em cada dispositivo? uma que não possuo dominio na minha rede essa tarefa seria um tanto quanto demorada, outro problema seria os celulares pro exemplo. Obrigado!
Marcos, se você quer interceptar uma conexão SSL, ou seja, aplicar o "man-in-the-middle", necessariamente precisa instalar o certificado do firewall na estação cliente. Isso porque sua estação precisa CONFIAR no em quem está se 'metendo' na conexão com o destinatário (bancos, etc..). Isso é uma questão conceitual e VALE PRA TODAS AS SOLUÇÕES DE MERCADO QUE EXISTEM!
Vale RESSALTAR que se você NÃO MARCAR a opção "forge ssl certificates", você consegue analisar o FQDNS do Certificado do Site/IP, sem ter que instalar o certificado do pfSense no cliente. O E2Guardian vai até o destino, baixa o certificado SSL, analisa quem é o emissor (Facebook, Linkedin, Microsoft, etc..) e consegue executar o bloqueio! ;-)
Nós desaconselhamos nossos clientes a trabalharem com interceptação SSL. A grande parte dos sites HTTPS vão reclamar (com razão, por questões de segurança) e você está comentando um 'pecado o original' de infosec. Considere sempre trabalhar com proxy ativo (quando o navegador autentica o usuário no proxy). Nós criamos um módulo extra que é capaz de resolver esta questão, chamado UserAuth (conexti.com.br/userauth). Com ele, se a estação cliente (PC ou Smartphone) não disser 'quem é o usuário' para o proxy, o Captive Portal é aberto para que o usuário se IDENTIFIQUE. Você implementa proxy ativo sem ter que 'mexer' nos endpoints.
Boa Tarde.. Você tem o vídeo ensinando a criar o CA para o E2Guardian? Ou alguém aqui tem pra indicar?
Marcelo já tem integração com AD transparente?
Não...
O E2Guardian não possui 'integrações' com autenticações.
Para isso, você deve utilizar o Squid junto do E2Guardian ou então o UserAuth: conexti.com.br/userauth
Thanks for the video but it didnt block website with transparan proxy but when I add proxy in browser the worked. I used wpad.dat and proxy.pac to config auto proxy using dhcp but it didnt work also. What do you think about ? Which config I must do to complete auto proxy config.
ola o e2guadian tem cache para gerar relatórios com o sarg?
Perfeitamente Francisco...
Você pode usar o E2Guardian em conjunto com o Sarg para gerar relatórios.
Veja também: ua-cam.com/video/ERJJCeX-n0g/v-deo.html
Olá Marcelo bom dia, estou com o seguinte problema: preciso bloquear as redes sociais e liberar apenas o facebook, até funciona porém o facebook está abrindo em html puro, o que pode ser?
Marcelo, quando eu ativo o filter ssl sites forging ssl certificates ele dá erro de certificado, e não vi você fazer nada diferente para funcionar no seu, chegou a instalar no navegador o certificado?
Sim, com a opção filter ssl sites forging ssl certificates, é necessário ter o certificado instalado no navegador. Como é um video de configuração básica, foquei na configuração do pacote.
Marcello Coutinho excelente Marcelo, sou aluno seu no syssquad, eu mandei e-mail para o comercial pedindo valores sobre o produto de autenticação, ainda não tive retorno, aproveitando, eu instalei o s2guardian, e ele não gera o Access.log, tem alguma ideia? Vlw
Habilitou as mesmas opções do vídeo? consegue bloquear acesso a alguma página? a aba realtime lê o arquivo access.log. Se aparecer algum trafego lá, então tem log e acesso registrado.
Marcello Coutinho o site autêntica, bloqueia pagina qur add, mas não aparece nada em realtime, mesmo alterando para log do e2guardian ou squid... To apanhando dele, mas vou continuar na luta, vlw
quando vou acessar um serviço https fora nao esta indo, nem instalando o certificado, alguem pode me ajudar ? exemplo acessar um site 200.201.31.31 nao vai site por exemplo seria a console de um pfsense fora
Marcello, aqui funcionou maravilhosamente. Só que veja se pode me ajudar a entender uma coisa que aconteceu comigo. Tenho algumas regras no firewall para que determinados IPs saiam pelo meu segundo gateway. Quando acesso um site (pelo IP da regra do firewall) para ver qual o meu IP externo ele mostra o primeiro gateway, e quando eu desativo o E2Guardian ele mostra o IP do segundo gateway, que é o correto de acordo com a regra do firewall. O mais engraçado é que, quando estou com o E2Guardian ativado e com as regras ativas e faço um teste de velocidade do link, mostra a velocidade do meu segundo gateway. Você já se deparou com algo do tipo, ou sabe o que pode ser? Obrigado.
Boa tarde,
Quando você está dentro do "Proxy" a navegação sempre vai sair pelo Gateway Padrão, quando você tira-o do "Proxy" a regra do Firewall assume para seu segundo Gateway. Lembre-se quando você seta "Proxy" nas CPU, é o "Proxy" que navega na internet e não a maquina diretamente, dessa forma a CPU requisita ao Proxy que faz todo o processo de navegação para o GW Padrão.
Hi my real time is not working... what can i do?
Muito bom
Boa tarde Marceloo
Fiz as configurações na versão do PfSense 2.4.3-RELEASE-p1 mas os bloqueios não estão funcionando, essa versão já esta habilitada para a p1 ou somente a 2.4.3 por enquanto?
qualquer 2.4.x
Estranho, não teve jeito de funcionar na 2.4.3-RELEASE-p1....porem na 2.4.3 RELEASE (Sem o patch) funcionou normal, de qualquer forma valeu pelo feedback.
Fiz todo o processo, abri o navegador internetexplorer, bloqueou tranquilo. Agora no googlechrome quando informo facebook.com.br ele bloqueia, agora quando digito facebook.com ele nao bloqueia.
Fala Marcelo, blz? Deixe-me tirar uma dúvida: existe opção de bloqueio de download de arquivos (via https) por tipo (sem a necessidade de forçar a instalação do certificado nas máquinas da rede)? Abraços.
Infelizmente não. O proxy só é capaz de saber o que está rolando dentro da conexão https se estiver interceptando com o certificado.
Marcello Coutinho obrigado pela resposta. O duro dessa config com certificado são os updates de Windows 10, Skype para Windows 10 e por aí vai... Vc tem alguma sugestão em relação a isso? Abraços.
Marcos Garcia, o Wsus é o serviço mais indicado para gerenciar os updates da Microsoft em uma rede corporativa
Marcello Coutinho valeu meu caro. Vou dar uma olhadinha nesse carinha. Toda vez q o assunto é Win preciso dar aquela respirada funda, rsssss. Se tiver alguma sugestão para casos como o Skype ficarei grato também. Gde abs
Hola Marcelo, he tratado de instalar e2Guardian con tu instructivo y me da el siguiente error desde el Packet Manager
pkg-static: github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/FreeBSD:11:amd64/pfSense-pkg-E2guardian5-0.5.3.3.txz: Operation timed out
Failed
me ayudas?
O meu e2guardian não funciona nada... nenhum site carrega. O Estranho também é que lá nos processos do sistema, o e2guardian só fica parado, ele não inicializa
Marcelo, esta com problema na versão 2.4.3.1 o repo.
Baixa o arquivo do repositório novamente. precisei atualizar a estrutura de pastas no repositorio a uns 10 dias.
Bom dia , usei essa linha de comando fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf e não encontro o pacote para instalar. Meu pfsense e 2.4.4
A partir da versão 2.4.4 do pfSense, você precisa 'destravar' a ferramenta para que ela seja capaz de ler repositórios EXTRAOFICIAIS. Preparamos um documento com um passo-a-passo de como fazer isso aqui: www.conexti.com.br/fw/docs/patches/man_patch_add_repo_pf244.pdf
@@ConextiBrasil Já usei esse passo a passo, agora fui instalar um novo server e não vai.
Aparece isso
/usr/bin/patch --directory=/ -t -p2 -i /var/patches/5c37811789322.patch --check --forward --ignore-whitespace
Hmm... Looks like a unified diff to me...
The text leading up to this was:
--------------------------
|--- /etc/inc/pkg-utils.orig 2018-09-24 17:51:32.458825000 -0300
|+++ /etc/inc/pkg-utils.inc 2018-09-24 17:51:54.387033000 -0300
--------------------------
No file to patch. Skipping...
Hunk #1 ignored at 388.
Hunk #2 ignored at 485.
2 out of 2 hunks ignored while patching inc/pkg-utils.inc
done
apos instalar o system patches, ai coloco o novo pacote, e qdo clico em test ele retorna: /usr/bin/patch --directory=/ -t -p1 -i /var/patches/5c82ccc70d8b8.patch --check --forward --ignore-whitespace
Hmm... I can't seem to find a patch in there anywhere.
@@eudodiasleite4572 Você precisa deixar a opção "Path Strip Count" com o número "1" no momento que você for aplicar o patch no sistema.
Tentei agora fazer o processo e infelizmente não vai!
O e2guardian não aparece nos pacotes.
Poderia me ajudar, tentei de tudo la que tem no forum e não sobre
@GtiTech, primeiro link da descrição!
Habilitando Repositórios Extras no pfSense: ua-cam.com/video/i_FjN6o_6CQ/v-deo.html
Show, consegui. Obrigado
Como fica a configuração do FIrewall?
tb gostaria de saber.
Marcelo Boa Noite
Quando tento adicionar o pacote me retorna o seguinte erro
fetch: raw.githubusercontent.com/marceloc/Unofficial-pfSense-packages/master/Unofficial.conf: Not Found
Consegue me informar o que seria ?
ua-cam.com/video/i_FjN6o_6CQ/v-deo.html
Segue esse video que da boa.
Instalei o PFSENSE 2.4.3 e não consigo instalar os pacotes no Gerenciador, e normal isso alguém pode me ajudar. esse e o erro na instalação do pacote . WARNING: Current pkg repository has a new PHP major
version. pfSense should be upgraded before
installing any new package.
Falhou
Olá Reinaldo...
Como você mesmo postou, o pfSense está lhe avisando que você PRECISA fazer upgrade para o pfSense 2.4.4 se quiser instalar ou atualizar pacotes no pfSense. Isso está sendo forçado em nível de código pelo core team do pfSense.
Quanto aos nossos pacotes extra-oficiais, livre ou comerciais, nós desenvolvemos um patch para 'liberar' no pfSense o uso dos nossos repositórios. Para saber mais, acesse: www.conexti.com.br/fw/docs/patches/man_patch_add_repo_pf244.pdf
Bom dia, Pode me ajudar a liberar o WhatsAPP mantendo o Bloqueio do facebook
Uso o pfsense 2.4.4 e não consegui instalar o e2guardian usando o seu tutorial.
Marcos, você precisa antes de mais nada habilitar os repositórios extras no pfSense.
Veja mais sobre isso aqui: ua-cam.com/video/i_FjN6o_6CQ/v-deo.html
não consigo intalar o e2g no 2.4.4
Qual erro ou problema você tem como retorno?
@@ConextiBrasil tbem nao consegui, adicionei o caminho do pacote em diagnostics /command prompt. ok. Mas simplesmente nao aparece o pacote pra instalar em system/package manager/ available packages.
É preciso aplicar o patch que 'destrava' repositórios extra-oficiais no pfSense. Basta seguir os passos deste doc: www.conexti.com.br/fw/docs/patches/man_patch_add_repo_pf244.pdf
Facebook, instagram... até bloqueia, o youtube.com não !
Olá Ramon...
O bloqueio de UA-cam, com proxy ativo (proxy autenticado no cliente - com ou sem certificado), funciona tão bem quanto qualquer outro serviço. Afinal, a análise se dá pela URL solicitada pelo usuário!
Pode ser que esteja em cache no navegador. Tente bloquear e acessar o youtube por uma aba anônima pra ver se funciona
@@mateusscheper6586 eu tbm não consegui bloquear o youtube... o restante dos sites ok.
Ramom, blza? Conseguiu bloquear o youtube? eu não consegui aqui...
Não consigo instalar.
>>> Installing pfSense-pkg-E2guardian5...
Updating Unofficial repository catalogue...
Fetching meta.txz: . done
Fetching packagesite.txz: . done
Processing entries: .. done
Unofficial repository update completed. 18 packages processed.
Updating pfSense-core repository catalogue...
pfSense-core repository is up to date.
Updating pfSense repository catalogue...
pfSense repository is up to date.
All repositories are up to date.
The following 3 package(s) will be affected (of 0 checked):
New packages to be INSTALLED:
pfSense-pkg-E2guardian5: 0.5.0.3_6 [Unofficial]
e2guardian: 5.1_1 [Unofficial]
openssl: 1.0.2l,1 [Unofficial]
Number of packages to be installed: 3
The process will require 23 MiB more space.
3 MiB to be downloaded.
[1/3] Fetching openssl-1.0.2l,1.txz: . done
pkg-static: github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/FreeBSD:11:amd64/openssl-1.0.2l,1.txz: Operation timed out
Failed
Felipe Lins, veja se consegue acessar o Github. Até hoje, nunca vi o site ficar fora do ar.