Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 402.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gilmarcabral
      last edited by

      Boa tarde Marcello.
      Ficou um erro na gui do squid.inc ele ta passando a ACL password errado o nome.

      2013/05/16 16:03:42| Warning: empty ACL: acl SSL proto SSL
      2013/05/16 16:03:42| aclParseAclList: ACL name 'passowrd' not found.
      FATAL: Bungled squid.conf line 118: http_access deny passowrd sglog
      Squid Cache (Version 3.3.4): Terminated abnormally.
      CPU Usage: 0.008 seconds = 0.008 user + 0.000 sys
      Maximum Resident Size: 40672 KB
      Page faults with physical i/o: 0
      o denny password sglog ficou errado o password

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        @gilmarcabral:

        Ficou um erro na gui do squid.inc ele ta passando a ACL password errado o nome.

        Corrigido. Obrigado pelo feedback.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • G
          gilmarcabral
          last edited by

          Marcello eu novamente lhe atormentando.
          Encontrei mais 2 probleminhas.
          O primeiro que quando inicializo o serviço do squid e tento rodar o squid -k reconfigure via terminal ele não roda apresenta a seguinte mensagem:
          squid -k reconfigure
          squid: ERROR: Could not send signal 1 to process 40565: (3) No such process

          Mas o serviço esta inicializado mas num consigo ver se tem algum erro de configuração.

          Tentei usar o squid-dev usando o openldap ou autenticação local porem o proxy so recusa conexão.
          Vi esta mensagem abaixo no log o cache do squid.
          ail -f /var/squid/logs/cache.log
          2013/05/16 17:07:44 kid1| Max Mem  size: 131072 KB
          2013/05/16 17:07:44 kid1| Max Swap size: 2097152 KB
          2013/05/16 17:07:44 kid1| Rebuilding storage in /var/squid/cache (no log)
          2013/05/16 17:07:44 kid1| Using Least Load store dir selection
          2013/05/16 17:07:44 kid1| Current Directory is /usr/local/www
          2013/05/16 17:07:44 kid1| Loaded Icons.
          2013/05/16 17:07:44 kid1| HTCP Disabled.
          2013/05/16 17:07:44 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
          2013/05/16 17:07:44 kid1| sendto FD 25: (1) Operation not permitted
          2013/05/16 17:07:44 kid1| ipcCreate: CHILD: hello write test failed

          1 Reply Last reply Reply Quote 0
          • T
            thiagomespb
            last edited by

            essa mesma msg aparece no meu..

            1 Reply Last reply Reply Quote 0
            • L
              LFCavalcanti
              last edited by

              @marcelloc:

              Não, quem vai altertar e reclamar é o browser cliente se o certificado do servidor não estiver instalado.

              Hum, então por exemplo, se é man-in-the-middle, ao acessar um site que o usuário nunca tinha acessado, o Banco do Brasil, se o certificado não estiver armazenado pode gerar erro?

              Vou tentar fazer um teste amanhã aqui.

              –

              Luiz Fernando Cavalcanti
              IT Manager
              Arriviera Technology Group

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                @LFCavalcanti:

                Hum, então por exemplo, se é man-in-the-middle, ao acessar um site que o usuário nunca tinha acessado, o Banco do Brasil, se o certificado não estiver armazenado pode gerar erro?

                Não, os certificados são gerados dinamicamente, e se você instalar o crt da ca na estação, não vai receber erro algum.

                Nota importante: Qualquer site cadastrado na whitelist do squid, não passa pelo filtro de ssl. Não é interessante filtrar sites de banco por exemplo  ;)

                @LFCavalcanti:

                Vou tentar fazer um teste amanhã aqui.

                teste no pfsense 2.1, o filtro está perfeito nele.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  pacote versão 2.1.2 publicado.

                  Principais alterações

                  • mudar o certificade de server para CA

                  • Incluído um <enter>adicional para evitar errors de configuração</enter>

                  Esta versão esta com o filtro ssl funcionando muito estável no pfsense 2.1.  :)

                  No pfsense 2.0.x é preciso ativar o ipv6 para o squid subir as postas de escuta.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • G
                    gst.freitas
                    last edited by

                    marcelo,

                    o que não esta funcionando.. o pfsense 2.1..

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @gst.freitas:

                      o que não esta funcionando.. o pfsense 2.1..

                      Não entendi…  :(

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • G
                        gst.freitas
                        last edited by

                        Vou explicar,

                        quais os problemas da versão 2.1.. e o squid3-dev para versão 2.0.3 só funciona ativando o IPv6 ?

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          @gst.freitas:

                          quais os problemas da versão 2.1..

                          Melhor olhar no redmine, não sei o que falta funcionar para deixar de ser beta.

                          @gst.freitas:

                          o squid3-dev para versão 2.0.3 só funciona ativando o IPv6 ?

                          A versão do repositório oficial sim, no meu repositório tem uma versão do squid sem ipv6.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • marcellocM
                            marcelloc
                            last edited by

                            A versão 3.3.4_1 do meu repositório está funcionando corretamente no 2.0.x

                            Achei um patch agora a noite e funcionou 100%  ;D

                            vou fazer mais uns testes e partir para resolver a integração com antivírus.

                            1368761856.278    210 192.168.0.3 TCP_MISS/200 978 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
                            1368761856.699    442 192.168.0.3 TCP_MISS/200 19903 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
                            1368761856.714    521 192.168.0.3 TCP_MISS/200 905 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
                            1368761857.121    203 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
                            1368761857.136    219 192.168.0.3 TCP_MISS/200 680 GET https://www.google.com.br/xjs/_/js/k=-im9hrMhEvY.en_US./m=wta/am=wA/r                                                                                 t=j/d=0/sv=1/rs=AItRSTMxcUTKX7_k7F3jagv1ABf8swPrOg - PINNED/189.86.41.119 text/javascript
                            1368761858.327    632 192.168.0.3 TCP_MISS/200 915 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
                            1368761859.649   1548 192.168.0.3 TCP_MISS/200 14473 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
                            1368761859.661    228 192.168.0.3 TCP_MISS/200 850 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
                            1368761860.026    220 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
                            1368761860.970    397 192.168.0.3 TCP_MISS/200 851 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
                            1368761861.121    388 192.168.0.3 TCP_MISS/200 856 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
                            1368761861.223    311 192.168.0.3 TCP_MISS/200 855 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
                            1368761861.410    397 192.168.0.3 TCP_MISS/200 860 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
                            1368761862.720   1537 192.168.0.3 TCP_MISS/200 18542 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
                            1368761863.104    222 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
                            1368761865.464    232 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
                            1368761866.209    507 192.168.0.3 TCP_MISS/200 982 POST http://ui.ff.avast.com/urlinfo - HIER_DIRECT/77.234.43.81 applicatio                                                                                 n/octet-stream
                            1368761866.684    479 192.168.0.3 TCP_MISS/200 982 POST http://ui.ff.avast.com/urlinfo - HIER_DIRECT/77.234.43.81 applicatio   
                            

                            ssl_squid_33.png
                            ssl_squid_33.png_thumb

                            Treinamentos de Elite: http://sys-squad.com

                            Help a community developer! ;D

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              Já estou trabalhando no código da integração com o antivírus via i-cap.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • marcellocM
                                marcelloc
                                last edited by

                                Atualizei no meu repositório o squid para a versão 3.3.5.

                                Já submeti a alteração para o ports do freebsd, assim que for comitado por lá, solicito nova compilação no repositório oficial.

                                O filtro de ssl se mostrou bem estável até agora.

                                Treinamentos de Elite: http://sys-squad.com

                                Help a community developer! ;D

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  Até que o ports do freebsd seja atualizado, subi para o meu repositório o pbi do squid 3.3.5

                                  Desta forma quem quiser testar o pacote na 2.1-rc0 já consegue usar o filtro de ssl sem maiores problemas

                                  pfsnse 2.1 amd64
                                  pbi_delete squid-3.3.4-amd64
                                  fetch  http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5-amd64.pbi
                                  fetch  http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5-amd64.pbi.sha256
                                  pbi_add –no-checksig squid-3.3.5-amd64.pbi
                                  rehash

                                  pfsnse 2.1 i386
                                  pbi_delete squid-3.3.4-i386
                                  fetch  http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi
                                  fetch  http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi.sha256
                                  pbi_add –no-checksig squid-3.3.5-i386.pbi
                                  rehash

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    thiagomespb
                                    last edited by

                                    tem algo de errado nos link.. erro no i386.

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      @thiagomespb:

                                      tem algo de errado nos link.. erro no i386.

                                      Corrigido. valeu.

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        didonsom
                                        last edited by

                                        Olá Marcelloc

                                        estou fazendo a atualização aqui para o squid-3.3.5 que está no seu repositório e estou recebendo essa mensagem

                                        2013/05/27 20:28:42| Warning: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl"

                                        pode me ajudar? utilizo o pfsense amd64 2.03

                                        abraços,

                                        Diego

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          É só um warning mostrando que na sua configuração de limitação de banda está marcada mas sem nenhuma informação no campo.

                                          Isso não impede o funcionamento do squid.

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            didonsom
                                            last edited by

                                            Olá Marcelloc,

                                            Desculpe por realizar 2 posts simultâneos, mas queria postar um feedback da instalação que fiz do squid-3.3.5 com squidguard.

                                            Primeiramente gostaria de agradecer o seu trabalho pq está muito bem feito. O Squid-3.3.5 está rodando perfeitamente com squidguard iniciando sobdemanda. Acabei de realizar diversos testes e ele está bloqueando, rodando etc etc etc..

                                            Para ajudar quem precisa vou relatar o que fiz para instalar…

                                            1 - removi o squid o squid 3 e o squidguard, que tinha instalado pela aba system/packages do pfsense.
                                            2 - instalei o squid3-dev, que está em packages disponíveis do pfsense.
                                            3 - copiei as bibliotecas não inclusas para a pasta usr/local/lib conforme solicitado no seu 1º post (Utilizei o WinSCP).
                                            4 - instalei o squidguard.
                                            5 - pelo putty acessei o console e fui na opção 8.
                                            6 - instalei o squid-3.3.5 a partir do seu repositório pelo console com o comando pkg_add -rf http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5.tbz .
                                            7 - configurei o squid3 e habilitei a opção do SSL.
                                            8 - como já tinha o squid3 instalado as configurações foram mantidas.. e o squid funcionou perfeitamente.

                                            para criar um certificado..
                                            1 - acessei system/cert manager.
                                            2 - em Cas cliquei no + para adicionar um novo certificado.
                                            3  -preenchi os dados conforme solicitado.
                                            4 - nas opções key lenght e lifetime mantive o default.
                                            5 - country code coloquei br.
                                            6 - depois que cliquei em salvar fui na segunda opção e exportei o certificado.

                                            para instalar nas maquinas cliquei no certificado, escolhi o repositório manualmente e adicionei o certificado em Autoridade de certificação raiz confiáveis.

                                            O Único problema que identifiquei foi em relação a sgerror.php do squidguard, junto com o certificado SSL. (não sei se isso se dá ao fato do local onde instalei o certificado, mas se eu instalar ele em outro local não funciona).

                                            Instalei o certificado em 2 maquinas para testes. Se eu executar algum site que está na lista de bloqueio em uma usuário com total acesso  o site é acessado normalmente sem erro de certificado, mas seu eu acessar o site a partir de um usuário bloqueado, ele exibe as 2 imagens em anexo ( se eu não instalar o certificado na maquina, as paginas em https apresentam erro, em qualquer usuário..)

                                            será que fiz algo de errado? pq ele deu erro de certificado e quando cliquei em continuar nesse site não exibiu a sgerror.php

                                            abraços

                                            diego

                                            ![erro 1.jpg](/public/imported_attachments/1/erro 1.jpg)
                                            ![erro 1.jpg_thumb](/public/imported_attachments/1/erro 1.jpg_thumb)
                                            erro2.jpg
                                            erro2.jpg_thumb

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.