Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

LFCavalcanti

@marcelloc:

Não, quem vai altertar e reclamar é o browser cliente se o certificado do servidor não estiver instalado.

Hum, então por exemplo, se é man-in-the-middle, ao acessar um site que o usuário nunca tinha acessado, o Banco do Brasil, se o certificado não estiver armazenado pode gerar erro?

Vou tentar fazer um teste amanhã aqui.

marcelloc

@LFCavalcanti:

Hum, então por exemplo, se é man-in-the-middle, ao acessar um site que o usuário nunca tinha acessado, o Banco do Brasil, se o certificado não estiver armazenado pode gerar erro?

Não, os certificados são gerados dinamicamente, e se você instalar o crt da ca na estação, não vai receber erro algum.

Nota importante: Qualquer site cadastrado na whitelist do squid, não passa pelo filtro de ssl. Não é interessante filtrar sites de banco por exemplo  ;)

@LFCavalcanti:

Vou tentar fazer um teste amanhã aqui.

teste no pfsense 2.1, o filtro está perfeito nele.

marcelloc

pacote versão 2.1.2 publicado.

Principais alterações

• mudar o certificade de server para CA

• Incluído um <enter>adicional para evitar errors de configuração</enter>

Esta versão esta com o filtro ssl funcionando muito estável no pfsense 2.1.  :)

No pfsense 2.0.x é preciso ativar o ipv6 para o squid subir as postas de escuta.

gst.freitas

marcelo,

o que não esta funcionando.. o pfsense 2.1..

marcelloc

@gst.freitas:

o que não esta funcionando.. o pfsense 2.1..

Não entendi…  :(

gst.freitas

Vou explicar,

quais os problemas da versão 2.1.. e o squid3-dev para versão 2.0.3 só funciona ativando o IPv6 ?

marcelloc

@gst.freitas:

quais os problemas da versão 2.1..

Melhor olhar no redmine, não sei o que falta funcionar para deixar de ser beta.

@gst.freitas:

o squid3-dev para versão 2.0.3 só funciona ativando o IPv6 ?

A versão do repositório oficial sim, no meu repositório tem uma versão do squid sem ipv6.

marcelloc

A versão 3.3.4_1 do meu repositório está funcionando corretamente no 2.0.x

Achei um patch agora a noite e funcionou 100%  ;D

vou fazer mais uns testes e partir para resolver a integração com antivírus.

1368761856.278    210 192.168.0.3 TCP_MISS/200 978 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761856.699    442 192.168.0.3 TCP_MISS/200 19903 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
1368761856.714    521 192.168.0.3 TCP_MISS/200 905 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761857.121    203 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
1368761857.136    219 192.168.0.3 TCP_MISS/200 680 GET https://www.google.com.br/xjs/_/js/k=-im9hrMhEvY.en_US./m=wta/am=wA/r                                                                                 t=j/d=0/sv=1/rs=AItRSTMxcUTKX7_k7F3jagv1ABf8swPrOg - PINNED/189.86.41.119 text/javascript
1368761858.327    632 192.168.0.3 TCP_MISS/200 915 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761859.649   1548 192.168.0.3 TCP_MISS/200 14473 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
1368761859.661    228 192.168.0.3 TCP_MISS/200 850 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761860.026    220 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
1368761860.970    397 192.168.0.3 TCP_MISS/200 851 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761861.121    388 192.168.0.3 TCP_MISS/200 856 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761861.223    311 192.168.0.3 TCP_MISS/200 855 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761861.410    397 192.168.0.3 TCP_MISS/200 860 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761862.720   1537 192.168.0.3 TCP_MISS/200 18542 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
1368761863.104    222 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
1368761865.464    232 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
1368761866.209    507 192.168.0.3 TCP_MISS/200 982 POST http://ui.ff.avast.com/urlinfo - HIER_DIRECT/77.234.43.81 applicatio                                                                                 n/octet-stream
1368761866.684    479 192.168.0.3 TCP_MISS/200 982 POST http://ui.ff.avast.com/urlinfo - HIER_DIRECT/77.234.43.81 applicatio   

marcelloc

Já estou trabalhando no código da integração com o antivírus via i-cap.

marcelloc

Atualizei no meu repositório o squid para a versão 3.3.5.

Já submeti a alteração para o ports do freebsd, assim que for comitado por lá, solicito nova compilação no repositório oficial.

O filtro de ssl se mostrou bem estável até agora.

marcelloc

Até que o ports do freebsd seja atualizado, subi para o meu repositório o pbi do squid 3.3.5

Desta forma quem quiser testar o pacote na 2.1-rc0 já consegue usar o filtro de ssl sem maiores problemas

pfsnse 2.1 amd64
pbi_delete squid-3.3.4-amd64
fetch  http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5-amd64.pbi
fetch  http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5-amd64.pbi.sha256
pbi_add –no-checksig squid-3.3.5-amd64.pbi
rehash

pfsnse 2.1 i386
pbi_delete squid-3.3.4-i386
fetch  http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi
fetch  http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi.sha256
pbi_add –no-checksig squid-3.3.5-i386.pbi
rehash

thiagomespb

tem algo de errado nos link.. erro no i386.

marcelloc

@thiagomespb:

tem algo de errado nos link.. erro no i386.

Corrigido. valeu.

didonsom

Olá Marcelloc

estou fazendo a atualização aqui para o squid-3.3.5 que está no seu repositório e estou recebendo essa mensagem

2013/05/27 20:28:42| Warning: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl"

pode me ajudar? utilizo o pfsense amd64 2.03

abraços,

Diego

marcelloc

É só um warning mostrando que na sua configuração de limitação de banda está marcada mas sem nenhuma informação no campo.

Isso não impede o funcionamento do squid.

didonsom

Olá Marcelloc,

Desculpe por realizar 2 posts simultâneos, mas queria postar um feedback da instalação que fiz do squid-3.3.5 com squidguard.

Primeiramente gostaria de agradecer o seu trabalho pq está muito bem feito. O Squid-3.3.5 está rodando perfeitamente com squidguard iniciando sobdemanda. Acabei de realizar diversos testes e ele está bloqueando, rodando etc etc etc..

Para ajudar quem precisa vou relatar o que fiz para instalar…

1 - removi o squid o squid 3 e o squidguard, que tinha instalado pela aba system/packages do pfsense.
2 - instalei o squid3-dev, que está em packages disponíveis do pfsense.
3 - copiei as bibliotecas não inclusas para a pasta usr/local/lib conforme solicitado no seu 1º post (Utilizei o WinSCP).
4 - instalei o squidguard.
5 - pelo putty acessei o console e fui na opção 8.
6 - instalei o squid-3.3.5 a partir do seu repositório pelo console com o comando pkg_add -rf http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5.tbz .
7 - configurei o squid3 e habilitei a opção do SSL.
8 - como já tinha o squid3 instalado as configurações foram mantidas.. e o squid funcionou perfeitamente.

para criar um certificado..
1 - acessei system/cert manager.
2 - em Cas cliquei no + para adicionar um novo certificado.
3  -preenchi os dados conforme solicitado.
4 - nas opções key lenght e lifetime mantive o default.
5 - country code coloquei br.
6 - depois que cliquei em salvar fui na segunda opção e exportei o certificado.

para instalar nas maquinas cliquei no certificado, escolhi o repositório manualmente e adicionei o certificado em Autoridade de certificação raiz confiáveis.

O Único problema que identifiquei foi em relação a sgerror.php do squidguard, junto com o certificado SSL. (não sei se isso se dá ao fato do local onde instalei o certificado, mas se eu instalar ele em outro local não funciona).

Instalei o certificado em 2 maquinas para testes. Se eu executar algum site que está na lista de bloqueio em uma usuário com total acesso  o site é acessado normalmente sem erro de certificado, mas seu eu acessar o site a partir de um usuário bloqueado, ele exibe as 2 imagens em anexo ( se eu não instalar o certificado na maquina, as paginas em https apresentam erro, em qualquer usuário..)

será que fiz algo de errado? pq ele deu erro de certificado e quando cliquei em continuar nesse site não exibiu a sgerror.php

abraços

diego


marcelloc

Veja as informações do certificado se aparecem o site e a ca que você instalou.

Só para confirmar, você instalou o crt do certificado, não a chave primária certo?

Das opções do filtro de ssl qual você marcou?

didonsom

@marcelloc:

Veja as informações do certificado se aparecem o site e a ca que você instalou.

Só para confirmar, você instalou o crt do certificado, não a chave primária certo?

Das opções do filtro de ssl qual você marcou?

sim instalei o crt do certificado coloquei na pasta Autoridade de certificação raiz confiáveis.

em relação ao certificado e as opções do SSL.. estão nos prints em anexo.

Realizei 2 testes de certificado. Em um usuário que tem tudo liberado ( funcionou perfeitamente) e em um usuário que tem o facebook bloqueado.. (gerou o erro) parece q não consegue carregar a sgerror.php, pq aparentemente o certificado está ok.. olha como aparece o endereço no certificado

obrigado

abraços,

diego






marcelloc

O ssl foi interceptado nas duas situações, parece ser um problema especificamente com o squidguard.

Passe sua interface gráfica para http e veja se o erro do squidguard aparece corretamente. existem vários posts aqui no fórum com esse mesmo problema com a página de erro do squidguard.

didonsom

Olá Marcelloc,

Meu Webgui já está configurado para http, justamente por esta incompatibilidade com o squidguard.

mais alguma dica?

Abraços,

Diego