• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

Portuguese
129
593
358.5k
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    marcelloc
    last edited by May 15, 2013, 2:33 PM

    @dbannack:

    Consegue nos passar uma breve explicação para fazer a configuração dos certificados da ssl?

    Cria uma ca e um certificado no pfsense(system -> cert manager) no lugar de usar o certificado webconfigurator padrão.

    Treinamentos de Elite: http://sys-squad.com

    Help a community developer! ;D

    1 Reply Last reply Reply Quote 0
    • D
      didonsom
      last edited by May 15, 2013, 6:11 PM

      Olá Marcelloc Boa tarde!

      Sabe dizer se agora com esse novo pacote do squid o sguidguard exibe a sgerror.php em paginas https?

      abraços

      Diego

      1 Reply Last reply Reply Quote 0
      • M
        marcelloc
        last edited by May 15, 2013, 8:48 PM

        @didonsom:

        Sabe dizer se agora com esse novo pacote do squid o sguidguard exibe a sgerror.php em paginas https?

        Com o filtro ssl habilitado e funcionando sim.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • D
          didonsom
          last edited by May 16, 2013, 1:46 AM

          Olá Marcelloc

          Fiz os testes e o squid3 funcionou perfeitamente, mas o squidguard deu erro, não subiu de jeito nenhum…

          abraços,

          diego

          1 Reply Last reply Reply Quote 0
          • M
            marcelloc
            last edited by May 16, 2013, 3:06 AM

            No squid 3.3, o squidguard é executado sob demanda.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • G
              gilmarcabral
              last edited by May 16, 2013, 11:59 AM

              Bom dia.
              Comecei a testar o squid-dev.
              Fiz a instalação utilizando a GUI, baixei as bibliotecas que o squid-dev necessita e fiz a configuração do squid via GUI.
              Porem o serviço não inicializa.
              Quando tento iniciar o serviço via console para ver o erro recebo a seguinte mensagem.

              squid -k reconfigure
              2013/05/16 09:06:50| ERROR: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
              FATAL: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
              Squid Cache (Version 3.3.4): Terminated abnormally.
              CPU Usage: 0.010 seconds = 0.010 user + 0.000 sys
              Maximum Resident Size: 40208 KB
              Page faults with physical i/o: 0

              Configurei o squid para autenticar em base openldap.
              Obs.
              Só instalei o squid-dev não instalei squidguard e nem outra versão do squid.
              Desde já agradeço

              1 Reply Last reply Reply Quote 0
              • L
                LFCavalcanti
                last edited by May 16, 2013, 12:21 PM

                Olá!

                Marcelloc,
                Primeiro, parabéns pelo trabalho e obrigado por esta função que pode ser muito interessante.

                Duas perguntas:
                1 - O Filtro SSL é de certa forma um exploit?
                2 - O Snort ou o próprio antivírus não irão detectar alguma mudança nos pacotes?

                –

                Luiz Fernando Cavalcanti
                IT Manager
                Arriviera Technology Group

                1 Reply Last reply Reply Quote 0
                • M
                  marcelloc
                  last edited by May 16, 2013, 4:30 PM

                  @LFCavalcanti:

                  1 - O Filtro SSL é de certa forma um exploit?

                  Não é um exploit, a técnica aplicada é a do men-in-the-middle. O squid fecha um ssl com o site e outro com o cliente.

                  @LFCavalcanti:

                  2 - O Snort ou o próprio antivírus não irão detectar alguma mudança nos pacotes?

                  Não, quem vai altertar e reclamar é o browser cliente se o certificado do servidor não estiver instalado.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • M
                    marcelloc
                    last edited by May 16, 2013, 4:33 PM

                    @gilmarcabral:

                    2013/05/16 09:06:50| ERROR: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
                    FATAL: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory

                    Os nomes mudaram. squid_ldap_auth mudou para basic_ldap_auth

                    Vou atualizar o código e republicar.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • M
                      marcelloc
                      last edited by May 16, 2013, 5:47 PM

                      pacote versão 2.1.1 publicada

                      Principais mudanças

                      • Corrigido os nomes dos plugins de autenticação

                      • Incluido mais opções de verificação de certificado(ssl_crt)

                      • Incluído campo para refresh_pattern customizado na aba cache para melhor controle de conteúdo dinamico.

                      • (re)Incluído acl de cache no squid.inc(provavelmente resolve o problema de cache quando habilitado cache de conteúdo dinâmico.)

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • G
                        gilmarcabral
                        last edited by May 16, 2013, 6:58 PM

                        Boa tarde Marcello.
                        Ficou um erro na gui do squid.inc ele ta passando a ACL password errado o nome.

                        2013/05/16 16:03:42| Warning: empty ACL: acl SSL proto SSL
                        2013/05/16 16:03:42| aclParseAclList: ACL name 'passowrd' not found.
                        FATAL: Bungled squid.conf line 118: http_access deny passowrd sglog
                        Squid Cache (Version 3.3.4): Terminated abnormally.
                        CPU Usage: 0.008 seconds = 0.008 user + 0.000 sys
                        Maximum Resident Size: 40672 KB
                        Page faults with physical i/o: 0
                        o denny password sglog ficou errado o password

                        1 Reply Last reply Reply Quote 0
                        • M
                          marcelloc
                          last edited by May 16, 2013, 7:33 PM

                          @gilmarcabral:

                          Ficou um erro na gui do squid.inc ele ta passando a ACL password errado o nome.

                          Corrigido. Obrigado pelo feedback.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • G
                            gilmarcabral
                            last edited by May 16, 2013, 8:02 PM

                            Marcello eu novamente lhe atormentando.
                            Encontrei mais 2 probleminhas.
                            O primeiro que quando inicializo o serviço do squid e tento rodar o squid -k reconfigure via terminal ele não roda apresenta a seguinte mensagem:
                            squid -k reconfigure
                            squid: ERROR: Could not send signal 1 to process 40565: (3) No such process

                            Mas o serviço esta inicializado mas num consigo ver se tem algum erro de configuração.

                            Tentei usar o squid-dev usando o openldap ou autenticação local porem o proxy so recusa conexão.
                            Vi esta mensagem abaixo no log o cache do squid.
                            ail -f /var/squid/logs/cache.log
                            2013/05/16 17:07:44 kid1| Max Mem  size: 131072 KB
                            2013/05/16 17:07:44 kid1| Max Swap size: 2097152 KB
                            2013/05/16 17:07:44 kid1| Rebuilding storage in /var/squid/cache (no log)
                            2013/05/16 17:07:44 kid1| Using Least Load store dir selection
                            2013/05/16 17:07:44 kid1| Current Directory is /usr/local/www
                            2013/05/16 17:07:44 kid1| Loaded Icons.
                            2013/05/16 17:07:44 kid1| HTCP Disabled.
                            2013/05/16 17:07:44 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
                            2013/05/16 17:07:44 kid1| sendto FD 25: (1) Operation not permitted
                            2013/05/16 17:07:44 kid1| ipcCreate: CHILD: hello write test failed

                            1 Reply Last reply Reply Quote 0
                            • T
                              thiagomespb
                              last edited by May 16, 2013, 8:04 PM

                              essa mesma msg aparece no meu..

                              1 Reply Last reply Reply Quote 0
                              • L
                                LFCavalcanti
                                last edited by May 16, 2013, 8:50 PM

                                @marcelloc:

                                Não, quem vai altertar e reclamar é o browser cliente se o certificado do servidor não estiver instalado.

                                Hum, então por exemplo, se é man-in-the-middle, ao acessar um site que o usuário nunca tinha acessado, o Banco do Brasil, se o certificado não estiver armazenado pode gerar erro?

                                Vou tentar fazer um teste amanhã aqui.

                                –

                                Luiz Fernando Cavalcanti
                                IT Manager
                                Arriviera Technology Group

                                1 Reply Last reply Reply Quote 0
                                • M
                                  marcelloc
                                  last edited by May 16, 2013, 9:23 PM

                                  @LFCavalcanti:

                                  Hum, então por exemplo, se é man-in-the-middle, ao acessar um site que o usuário nunca tinha acessado, o Banco do Brasil, se o certificado não estiver armazenado pode gerar erro?

                                  Não, os certificados são gerados dinamicamente, e se você instalar o crt da ca na estação, não vai receber erro algum.

                                  Nota importante: Qualquer site cadastrado na whitelist do squid, não passa pelo filtro de ssl. Não é interessante filtrar sites de banco por exemplo  ;)

                                  @LFCavalcanti:

                                  Vou tentar fazer um teste amanhã aqui.

                                  teste no pfsense 2.1, o filtro está perfeito nele.

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    marcelloc
                                    last edited by May 16, 2013, 9:59 PM May 16, 2013, 9:34 PM

                                    pacote versão 2.1.2 publicado.

                                    Principais alterações

                                    • mudar o certificade de server para CA

                                    • Incluído um <enter>adicional para evitar errors de configuração</enter>

                                    Esta versão esta com o filtro ssl funcionando muito estável no pfsense 2.1.  :)

                                    No pfsense 2.0.x é preciso ativar o ipv6 para o squid subir as postas de escuta.

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • G
                                      gst.freitas
                                      last edited by May 16, 2013, 10:18 PM

                                      marcelo,

                                      o que não esta funcionando.. o pfsense 2.1..

                                      1 Reply Last reply Reply Quote 0
                                      • M
                                        marcelloc
                                        last edited by May 16, 2013, 11:01 PM

                                        @gst.freitas:

                                        o que não esta funcionando.. o pfsense 2.1..

                                        Não entendi…  :(

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • G
                                          gst.freitas
                                          last edited by May 16, 2013, 11:03 PM

                                          Vou explicar,

                                          quais os problemas da versão 2.1.. e o squid3-dev para versão 2.0.3 só funciona ativando o IPv6 ?

                                          1 Reply Last reply Reply Quote 0
                                          39 out of 593
                                          • First post
                                            39/593
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.