Poniżej instrukcja instalacji i konfiguracji routera PfSense z serwerem proxy i filtrem e2guardian. Wcześniej korzystałem z wersji 2.2, ale wsparcie zostało przerwane – konieczna okazała się przesiadka. Niestety w nowej wersji usunięto z listy sporo ciekawych dodatków m.in. filtr treści dansguardian, który często wykorzystuje w sieciach szkolnych. Postanowiłem zainstalować ręcznie filtr e2guardian pochodzący bezpośrednio z repozytoriów freebsd. Instalacja przeprowadzona na komputerze HP XW6600 z dwiema kartami sieciowymi.
Kolejność czynności:
1. Instalacja pfsense 2.3 i upgrade
2. Ustawienie interfejsów
3. Odblokowanie SSH (System -> Advanced: Enable Secure Shell) – przyda się do kopiowania treści plików konfiguracyjnych
4. Instalacja Squida (System -> Package Manager -> Package Installer)
5. Zatwierdzenie ustawień cache squida (PackageProxy Server: Cache ManagementLocal Cache)
6. Uruchomienie squida (PackageProxy Server: General Settings General -> Enable Squid proxy)
7. Sprawdzenie czy squid działa prawidłowo poprzez ustawienie w przeglądarce IP serwera proxy oraz portu 3128
Jeśli internet przez proxy działa można przejść dalej.
8. Połączenie się przez SSL (np. putty)
9. Zainstalowanie e2guardian z repozytorium freebsd (niestety bezpośrednio w pfsense nie ma -trzeba szukać odpowiedniego dla naszego systemu linka!)
pkg add http://pkg.freebsd.org/FreeBSD:10:i386/latest/All/e2guardian-3.4.0.3.txz
10. Ściągnięcie pakietu dodatkowych plików umożliwiających konfigurację e2guardian przez interfejs PfSense
cd /root
fetch https://github.com/marcelloc/pfsense-packages/archive/be599ee41b2567459b1eaf55fff4ecb2ad3fa4ff.zip
11. Wykonanie komend (rozpakowanie plików)
unzip be599ee41b2567459b1eaf55fff4ecb2ad3fa4ff.zip
rm be599ee41b2567459b1eaf55fff4ecb2ad3fa4ff.zip
cd pfsense-packages-be599ee41b2567459b1eaf55fff4ecb2ad3fa4ff/config/e2guardian/
12. Skopiowanie plików i nadanie oczekiwanych uprawnień (kopiuj/wklej do putty)
cp e2guardian.inc /usr/local/pkg/e2guardian.inc
chmod 0755 /usr/local/pkg/e2guardian.inc
cp e2guardian.php /usr/local/www/e2guardian.php
chmod 0755 /usr/local/www/e2guardian.php
cp e2guardian_ldap.php /usr/local/www/e2guardian_ldap.php
chmod 0755 /usr/local/www/e2guardian_ldap.php
cp e2guardian_ldap.xml /usr/local/pkg/e2guardian_ldap.xml
chmod 0755 /usr/local/pkg/e2guardian_ldap.xml
cp e2guardian_limits.xml /usr/local/pkg/e2guardian_limits.xml
chmod 0755 /usr/local/pkg/e2guardian_limits.xml
cp e2guardian_ips_header.template /usr/local/pkg/e2guardian_ips_header.template
chmod 0755 /usr/local/pkg/e2guardian_ips_header.template
cp e2guardian_users_header.template /usr/local/pkg/e2guardian_users_header.template
chmod 0755 /usr/local/pkg/e2guardian_users_header.template
cp e2guardian_users_footer.template /usr/local/pkg/e2guardian_users_footer.template
chmod 0755 /usr/local/pkg/e2guardian_users_footer.template
cp e2guardian_about.php /usr/local/www/e2guardian_about.php
chmod 0755 /usr/local/www/e2guardian_about.php
cp e2guardian_config.xml /usr/local/pkg/e2guardian_config.xml
chmod 0755 /usr/local/pkg/e2guardian_config.xml
cp e2guardian_sync.xml /usr/local/pkg/e2guardian_sync.xml
chmod 0755 /usr/local/pkg/e2guardian_sync.xml
cp e2guardianfx.conf.template /usr/local/pkg/e2guardianfx.conf.template
chmod 0755 /usr/local/pkg/e2guardianfx.conf.template
cp e2guardian_url_acl.xml /usr/local/pkg/e2guardian_url_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_url_acl.xml
cp e2guardian_site_acl.xml /usr/local/pkg/e2guardian_site_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_site_acl.xml
cp e2guardian_search_acl.xml /usr/local/pkg/e2guardian_search_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_search_acl.xml
cp e2guardian_pics_acl.xml /usr/local/pkg/e2guardian_pics_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_pics_acl.xml
cp e2guardian_phrase_acl.xml /usr/local/pkg/e2guardian_phrase_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_phrase_acl.xml
cp e2guardian_log.xml /usr/local/pkg/e2guardian_log.xml
chmod 0755 /usr/local/pkg/e2guardian_log.xml
cp e2guardian_header_acl.xml /usr/local/pkg/e2guardian_header_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_header_acl.xml
cp e2guardian_groups.xml /usr/local/pkg/e2guardian_groups.xml
chmod 0755 /usr/local/pkg/e2guardian_groups.xml
cp e2guardian_file_acl.xml /usr/local/pkg/e2guardian_file_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_file_acl.xml
cp e2guardian_content_acl.xml /usr/local/pkg/e2guardian_content_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_content_acl.xml
cp e2guardian_blacklist.xml /usr/local/pkg/e2guardian_blacklist.xml
chmod 0755 /usr/local/pkg/e2guardian_blacklist.xml
cp e2guardian_antivirus_acl.xml /usr/local/pkg/e2guardian_antivirus_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_antivirus_acl.xml
cp e2guardian.conf.template /usr/local/pkg/e2guardian.conf.template
chmod 0755 /usr/local/pkg/e2guardian.conf.template
cp e2guardian_rc.template /usr/local/pkg/e2guardian_rc.template
chmod 0755 /usr/local/pkg/e2guardian_rc.template
cp pkg_e2guardian.inc /usr/local/www/shortcuts/pkg_e2guardian.inc
chmod 0755 /usr/local/www/shortcuts/pkg_e2guardian.inc
cp e2guardian.xml /usr/local/pkg/e2guardian.xml
13. Zainstalowanie edytora nano:
pkg install nano
14. Dokonanie edycji pliku /cf/conf/config.xml
nano /cf/conf/config.xml
15. Dodanie w sekcji <menu> po squid zapisów:
<menu>
<name>E2guradian</name>
<tooltiptext>E2guradian</tooltiptext>
<section>Services</section>
<configfile>e2guardian.xml</configfile>
</menu>
16. Dodanie w sekcji <service> po squid zapisów:
<service>
<name>e2guardian</name>
<rcfile>e2guardian.sh</rcfile>
<executable>e2guardian</executable>
<description><![CDATA[content filtering]]></description>
</service>
17 – Dodanie usługi do automatycznego uruchamiania przy starcie (jeśli powyższy wpis nie uruchamia e2guardiana)
Edytuj:
nano /cf/conf/config.xml
i dodaj zapis przed końcem sekcji </system>:
<shellcmd>e2guardian</shellcmd>
</system>
18 – Konfiguracji e2guardian dokonuje się bezpośrednio w menu PfSense -> Services: -> E2guardian -> EditGroups
Uwaga! Należy zmienić koniecznie opcję „Weighted phrase mode” na „NORMAL” – inaczej nie działa filtrowanie!
19. Od tej pory przeglądarki z ustawionym proxy na IP serwera i port 8080 będą zabezpieczone przed niechcianymi treściami. Normalnie w wersji 2.2 dodawałem przekierowania w NAT portu 80 na 8080 i ruch przechodził bez konieczności ręcznej konfiguracji przeglądarki. W wersji 2.3 przekierowanie to nie działa! Nie szukałem powodu.
Post Views: 519