Poniżej instrukcja instalacji i konfiguracji routera PfSense z serwerem proxy i filtrem e2guardian. Wcześniej korzystałem z wersji 2.2, ale wsparcie zostało przerwane – konieczna okazała się przesiadka. Niestety w nowej wersji usunięto z listy sporo ciekawych dodatków m.in. filtr treści dansguardian, który często wykorzystuje w sieciach szkolnych. Postanowiłem zainstalować ręcznie filtr e2guardian pochodzący bezpośrednio z repozytoriów freebsd. Instalacja przeprowadzona na komputerze HP XW6600 z dwiema kartami sieciowymi.
Kolejność czynności:
1. Instalacja pfsense 2.3 i upgrade
2. Ustawienie interfejsów
3. Odblokowanie SSH (System -> Advanced: Enable Secure Shell) – przyda się do kopiowania treści plików konfiguracyjnych
4. Instalacja Squida (System -> Package Manager -> Package Installer)
5. Zatwierdzenie ustawień cache squida (PackageProxy Server: Cache ManagementLocal Cache)
6. Uruchomienie squida (PackageProxy Server: General Settings General -> Enable Squid proxy)
7. Sprawdzenie czy squid działa prawidłowo poprzez ustawienie w przeglądarce IP serwera proxy oraz portu 3128
Jeśli internet przez proxy działa można przejść dalej.
8. Połączenie się przez SSL (np. putty)
9. Zainstalowanie e2guardian z repozytorium freebsd (niestety bezpośrednio w pfsense nie ma -trzeba szukać odpowiedniego dla naszego systemu linka!)
pkg add http://pkg.freebsd.org/FreeBSD:10:i386/latest/All/e2guardian-3.4.0.3.txz
10. Ściągnięcie pakietu dodatkowych plików umożliwiających konfigurację e2guardian przez interfejs PfSense
cd /root
fetch https://github.com/marcelloc/pfsense-packages/archive/be599ee41b2567459b1eaf55fff4ecb2ad3fa4ff.zip
11. Wykonanie komend (rozpakowanie plików)
unzip be599ee41b2567459b1eaf55fff4ecb2ad3fa4ff.zip
rm be599ee41b2567459b1eaf55fff4ecb2ad3fa4ff.zip
cd pfsense-packages-be599ee41b2567459b1eaf55fff4ecb2ad3fa4ff/config/e2guardian/
12. Skopiowanie plików i nadanie oczekiwanych uprawnień (kopiuj/wklej do putty)
cp e2guardian.inc /usr/local/pkg/e2guardian.inc
chmod 0755 /usr/local/pkg/e2guardian.inc
cp e2guardian.php /usr/local/www/e2guardian.php
chmod 0755 /usr/local/www/e2guardian.php
cp e2guardian_ldap.php /usr/local/www/e2guardian_ldap.php
chmod 0755 /usr/local/www/e2guardian_ldap.php
cp e2guardian_ldap.xml /usr/local/pkg/e2guardian_ldap.xml
chmod 0755 /usr/local/pkg/e2guardian_ldap.xml
cp e2guardian_limits.xml /usr/local/pkg/e2guardian_limits.xml
chmod 0755 /usr/local/pkg/e2guardian_limits.xml
cp e2guardian_ips_header.template /usr/local/pkg/e2guardian_ips_header.template
chmod 0755 /usr/local/pkg/e2guardian_ips_header.template
cp e2guardian_users_header.template /usr/local/pkg/e2guardian_users_header.template
chmod 0755 /usr/local/pkg/e2guardian_users_header.template
cp e2guardian_users_footer.template /usr/local/pkg/e2guardian_users_footer.template
chmod 0755 /usr/local/pkg/e2guardian_users_footer.template
cp e2guardian_about.php /usr/local/www/e2guardian_about.php
chmod 0755 /usr/local/www/e2guardian_about.php
cp e2guardian_config.xml /usr/local/pkg/e2guardian_config.xml
chmod 0755 /usr/local/pkg/e2guardian_config.xml
cp e2guardian_sync.xml /usr/local/pkg/e2guardian_sync.xml
chmod 0755 /usr/local/pkg/e2guardian_sync.xml
cp e2guardianfx.conf.template /usr/local/pkg/e2guardianfx.conf.template
chmod 0755 /usr/local/pkg/e2guardianfx.conf.template
cp e2guardian_url_acl.xml /usr/local/pkg/e2guardian_url_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_url_acl.xml
cp e2guardian_site_acl.xml /usr/local/pkg/e2guardian_site_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_site_acl.xml
cp e2guardian_search_acl.xml /usr/local/pkg/e2guardian_search_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_search_acl.xml
cp e2guardian_pics_acl.xml /usr/local/pkg/e2guardian_pics_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_pics_acl.xml
cp e2guardian_phrase_acl.xml /usr/local/pkg/e2guardian_phrase_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_phrase_acl.xml
cp e2guardian_log.xml /usr/local/pkg/e2guardian_log.xml
chmod 0755 /usr/local/pkg/e2guardian_log.xml
cp e2guardian_header_acl.xml /usr/local/pkg/e2guardian_header_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_header_acl.xml
cp e2guardian_groups.xml /usr/local/pkg/e2guardian_groups.xml
chmod 0755 /usr/local/pkg/e2guardian_groups.xml
cp e2guardian_file_acl.xml /usr/local/pkg/e2guardian_file_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_file_acl.xml
cp e2guardian_content_acl.xml /usr/local/pkg/e2guardian_content_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_content_acl.xml
cp e2guardian_blacklist.xml /usr/local/pkg/e2guardian_blacklist.xml
chmod 0755 /usr/local/pkg/e2guardian_blacklist.xml
cp e2guardian_antivirus_acl.xml /usr/local/pkg/e2guardian_antivirus_acl.xml
chmod 0755 /usr/local/pkg/e2guardian_antivirus_acl.xml
cp e2guardian.conf.template /usr/local/pkg/e2guardian.conf.template
chmod 0755 /usr/local/pkg/e2guardian.conf.template
cp e2guardian_rc.template /usr/local/pkg/e2guardian_rc.template
chmod 0755 /usr/local/pkg/e2guardian_rc.template
cp pkg_e2guardian.inc /usr/local/www/shortcuts/pkg_e2guardian.inc
chmod 0755 /usr/local/www/shortcuts/pkg_e2guardian.inc
cp e2guardian.xml /usr/local/pkg/e2guardian.xml
13. Zainstalowanie edytora nano:
pkg install nano
14. Dokonanie edycji pliku /cf/conf/config.xml
nano /cf/conf/config.xml
15. Dodanie w sekcji <menu> po squid zapisów:
<menu>
<name>E2guradian</name>
<tooltiptext>E2guradian</tooltiptext>
<section>Services</section>
<configfile>e2guardian.xml</configfile>
</menu>
16. Dodanie w sekcji <service> po squid zapisów:
<service>
<name>e2guardian</name>
<rcfile>e2guardian.sh</rcfile>
<executable>e2guardian</executable>
<description><![CDATA[content filtering]]></description>
</service>
17 – Dodanie usługi do automatycznego uruchamiania przy starcie (jeśli powyższy wpis nie uruchamia e2guardiana)
Edytuj:
nano /cf/conf/config.xml
i dodaj zapis przed końcem sekcji </system>:
<shellcmd>e2guardian</shellcmd>
</system>
18 – Konfiguracji e2guardian dokonuje się bezpośrednio w menu PfSense -> Services: -> E2guardian -> EditGroups
Uwaga! Należy zmienić koniecznie opcję „Weighted phrase mode” na „NORMAL” – inaczej nie działa filtrowanie!
19. Od tej pory przeglądarki z ustawionym proxy na IP serwera i port 8080 będą zabezpieczone przed niechcianymi treściami. Normalnie w wersji 2.2 dodawałem przekierowania w NAT portu 80 na 8080 i ruch przechodził bez konieczności ręcznej konfiguracji przeglądarki. W wersji 2.3 przekierowanie to nie działa! Nie szukałem powodu.
Routery Mikrotik stanowią ciekawą alternatywę dla rozwiązań Cisco, za ułamek ich ceny. Możliwości konfiguracyjne są ogromne, routery te pracują na specjalnie przygotowanym do tego celu systemie operacyjnym RouterOS, pochodnym Linuksa. Konfigurację można przeprowadzić na kilka sposobów: poprzez interfejs web, za pomocą specjalnie przygotowanego programu Winbox oraz za pomocą konsoli np. poprzez ssh lub telnet. Najbardziej…
