Pfsense2.3.1+squid0.4.23 problemas con navegacion https (modo no transp) Urgente
-
Ante todo saludos y gracias de antemano por cualquier respuesta, el tema es que soy nuevo con pfsense2.3.1+squid, la razon concreta por la que le escribo es pq estoy tratando de echar andar el https de squid, pasa que no tengo navegacion por https, todo bien con http y veo que la configuracion de mi squid esta default y me parece que esta todo bien con la configuracion de aceptar https, aqui le dejo como esta el squid.conf. Muchas gracias nuevamente, fenomenal si me pudiera ayudar
This file is automatically generated by pfSense
Do not edit manually !
http_port 192.168.0.104:3128
http_port 127.0.0.1:3128
icp_port 3130
dns_v4_first on
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language es
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable off
pinger_program /usr/local/libexec/squid/pingerlogfile_rotate 365
debug_options rotate=365
shutdown_lifetime 3 secondsAllow local network(s) on interface(s)
acl localnet src 192.168.0.0/24 127.0.0.0/8
forwarded_for on
uri_whitespace stripacl dynamic urlpath_regex cgi-bin ?
cache deny dynamiccache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_dir ufs /var/squid/cache 100 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
cache allow allAdd any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320#Remote proxies
cache_peer 172.16.1.5 parent 3128 3130 login=*:passwordSetup some default acls
From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
acl localhost src 127.0.0.1/32
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3129 1025-65535 443
acl sslports port 443 563 443From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
#acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECTDefine protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
acl allowed_subnets src 192.168.0.0/24
acl unrestricted_hosts src "/var/squid/acl/unrestricted_hosts.acl"
http_access allow manager localhosthttp_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
From 3.2 further configuration cleanups have been done to make things easier and safer.
The manager, localhost, and to_localhost ACL definitions are now built-in.
http_access allow localhost
request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrcReverse Proxy settings
Custom options before auth
These hosts do not have any restrictions
http_access allow unrestricted_hosts
Setup allowed ACLs
Allow local network(s) on interface(s)
http_access allow allowed_subnets
http_access allow localnetDefault block all to be sure
http_access deny allsrc
squid.txt -
Buen día
Puedes explicar el escenario que tienes como qué tipo de proxy, y postear las reglas de firewall que tienes, porque con lo que describes es muy complicado ayudarte.
Saludos
-
bien, bueno el escenario es el sigueinte: no estoy de cara a internet directamente, recibo los servicios desde un proxy mas arriba, del cual actualmente tengo navegacion internet sin problemas(http y https) mediante una regla en mi firewall pfsense que permite a todo mi segmento de red (192.168.x.x). Lo que no funciona es el squid-3.5.19_1 que se instala como paquete del pfsense2.3.1
aqui van la reglas referentes a la navegacion temporal directa contra el proxy externo, sin pasar por mi squid
-
Buen día
Sigue faltando información, qué tipo de proxy (Transparente o explicito), y pantallazos de la configuración de Squid además si tienes un squid más arriba, para qué quieres otro proxy?.
-
el proxy mas arriba no es mio, no lo controlo, estoy trabajando en modo no transparente
-
este es el apartado General de squid
Transparent Proxy Settings (sin configurar)
-
Buen día
Tienes reglas de firewall que bloqueen el tráfico por los puertos 80 y 443 y permita el tráfico por el puerto del proxy?, además si el proxy es no transparente no hay necesidad de configurar https ya que de manera no transparente bloqueará también tráfico https. Tengo varios escenarios con proxy explicito sin configurar Man in the Middle. Si es proxy transparente debes seguir este tutorial https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349
Saludos