Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Atualizei no meu repositório o squid para a versão 3.3.5.
Já submeti a alteração para o ports do freebsd, assim que for comitado por lá, solicito nova compilação no repositório oficial.
O filtro de ssl se mostrou bem estável até agora.
-
Até que o ports do freebsd seja atualizado, subi para o meu repositório o pbi do squid 3.3.5
Desta forma quem quiser testar o pacote na 2.1-rc0 já consegue usar o filtro de ssl sem maiores problemas
pfsnse 2.1 amd64
pbi_delete squid-3.3.4-amd64
fetch http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5-amd64.pbi
fetch http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5-amd64.pbi.sha256
pbi_add –no-checksig squid-3.3.5-amd64.pbi
rehashpfsnse 2.1 i386
pbi_delete squid-3.3.4-i386
fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi
fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi.sha256
pbi_add –no-checksig squid-3.3.5-i386.pbi
rehash -
tem algo de errado nos link.. erro no i386.
-
-
Olá Marcelloc
estou fazendo a atualização aqui para o squid-3.3.5 que está no seu repositório e estou recebendo essa mensagem
2013/05/27 20:28:42| Warning: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl"
pode me ajudar? utilizo o pfsense amd64 2.03
abraços,
Diego
-
É só um warning mostrando que na sua configuração de limitação de banda está marcada mas sem nenhuma informação no campo.
Isso não impede o funcionamento do squid.
-
Olá Marcelloc,
Desculpe por realizar 2 posts simultâneos, mas queria postar um feedback da instalação que fiz do squid-3.3.5 com squidguard.
Primeiramente gostaria de agradecer o seu trabalho pq está muito bem feito. O Squid-3.3.5 está rodando perfeitamente com squidguard iniciando sobdemanda. Acabei de realizar diversos testes e ele está bloqueando, rodando etc etc etc..
Para ajudar quem precisa vou relatar o que fiz para instalar…
1 - removi o squid o squid 3 e o squidguard, que tinha instalado pela aba system/packages do pfsense.
2 - instalei o squid3-dev, que está em packages disponíveis do pfsense.
3 - copiei as bibliotecas não inclusas para a pasta usr/local/lib conforme solicitado no seu 1º post (Utilizei o WinSCP).
4 - instalei o squidguard.
5 - pelo putty acessei o console e fui na opção 8.
6 - instalei o squid-3.3.5 a partir do seu repositório pelo console com o comando pkg_add -rf http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5.tbz .
7 - configurei o squid3 e habilitei a opção do SSL.
8 - como já tinha o squid3 instalado as configurações foram mantidas.. e o squid funcionou perfeitamente.para criar um certificado..
1 - acessei system/cert manager.
2 - em Cas cliquei no + para adicionar um novo certificado.
3 -preenchi os dados conforme solicitado.
4 - nas opções key lenght e lifetime mantive o default.
5 - country code coloquei br.
6 - depois que cliquei em salvar fui na segunda opção e exportei o certificado.para instalar nas maquinas cliquei no certificado, escolhi o repositório manualmente e adicionei o certificado em Autoridade de certificação raiz confiáveis.
O Único problema que identifiquei foi em relação a sgerror.php do squidguard, junto com o certificado SSL. (não sei se isso se dá ao fato do local onde instalei o certificado, mas se eu instalar ele em outro local não funciona).
Instalei o certificado em 2 maquinas para testes. Se eu executar algum site que está na lista de bloqueio em uma usuário com total acesso o site é acessado normalmente sem erro de certificado, mas seu eu acessar o site a partir de um usuário bloqueado, ele exibe as 2 imagens em anexo ( se eu não instalar o certificado na maquina, as paginas em https apresentam erro, em qualquer usuário..)
será que fiz algo de errado? pq ele deu erro de certificado e quando cliquei em continuar nesse site não exibiu a sgerror.php
abraços
diego
![erro 1.jpg](/public/imported_attachments/1/erro 1.jpg)
![erro 1.jpg_thumb](/public/imported_attachments/1/erro 1.jpg_thumb)
-
Veja as informações do certificado se aparecem o site e a ca que você instalou.
Só para confirmar, você instalou o crt do certificado, não a chave primária certo?
Das opções do filtro de ssl qual você marcou?
-
Veja as informações do certificado se aparecem o site e a ca que você instalou.
Só para confirmar, você instalou o crt do certificado, não a chave primária certo?
Das opções do filtro de ssl qual você marcou?
sim instalei o crt do certificado coloquei na pasta Autoridade de certificação raiz confiáveis.
em relação ao certificado e as opções do SSL.. estão nos prints em anexo.
Realizei 2 testes de certificado. Em um usuário que tem tudo liberado ( funcionou perfeitamente) e em um usuário que tem o facebook bloqueado.. (gerou o erro) parece q não consegue carregar a sgerror.php, pq aparentemente o certificado está ok.. olha como aparece o endereço no certificado
obrigado
abraços,
diego
![ssl squid.jpg_thumb](/public/imported_attachments/1/ssl squid.jpg_thumb)
![ssl squid.jpg](/public/imported_attachments/1/ssl squid.jpg) -
O ssl foi interceptado nas duas situações, parece ser um problema especificamente com o squidguard.
Passe sua interface gráfica para http e veja se o erro do squidguard aparece corretamente. existem vários posts aqui no fórum com esse mesmo problema com a página de erro do squidguard.
-
Olá Marcelloc,
Meu Webgui já está configurado para http, justamente por esta incompatibilidade com o squidguard.
mais alguma dica?
Abraços,
Diego
-
Opa, fiz a instalação tudo certinho, o squid está interceptando o ssl, mas continuo recebendo erro de certificado no log recebo este erro:
2013/05/28 22:17:03 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 93: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (1/-1)
-
primeiro parabens a todos no empenho,
Estou testando o squid 3.3.5i386 e o filtro https\ssl funciona no IE 8 com o bug de não mostrar a pagina de ERRO quando o acesso e configurado no squidguard no deny, como citou o amigo ai em cima, porem não e sobre isso que venho falar e sim sobre o firefox 20.0 que qualquer configuração com o certificado apresenta mensagem de erro.Seque a mensagem de erro no firefox.
-
sobre o firefox 20.0 que qualquer configuração com o certificado apresenta mensagem de erro.Seque a mensagem de erro no firefox.
Você já instalou o certificado (CA) no browser?
Você precisa fazer com o que o teu browser "confie" no teu pfSense. Esta questão, se não me engano, foi tratada aqui mesmo neste tópico!
Abraços!
Jack -
Opa, fiz a instalação tudo certinho, o squid está interceptando o ssl, mas continuo recebendo erro de certificado no log recebo este erro:
2013/05/28 22:17:03 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 93: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (1/-1)
Já testou outros sites?
Como está a configuração do filtro de ssl no seu squid?
Criou e configurou a CA?
Instalou o certificado no cliente?
Já leu este tópico? -
Opa, fiz a instalação tudo certinho, o squid está interceptando o ssl, mas continuo recebendo erro de certificado no log recebo este erro:
2013/05/28 22:17:03 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 93: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (1/-1)
Já testou outros sites?
Como está a configuração do filtro de ssl no seu squid?
Criou e configurou a CA?
Instalou o certificado no cliente?
Já leu este tópico?Opa Marcelo, acredito que tenha gerado o certificado errado…gerei novamente e tudo funcionou perfeitamente, parabens pela iniciativa!
So mais uma duvida, estou seguindo to tutorial para configuracao de multiwan no squid, na versao anterior funcionava bem, sera tem alguma mudanca no squid 3 que inviabiliza esse funcionamento?
Estou seguindo estes passos:
http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf
a unica diferenca eh que nao consigo setar a interface para o proxy para a LAN e loopback, se seleciono as duas o squid nao funciona (da erro de URL Invalida), selecionei tanto no proxy transparent tanto na listen interface.
Sera que teria a ver com o squid?
-
a unica diferenca eh que nao consigo setar a interface para o proxy para a LAN e loopback, se seleciono as duas o squid nao funciona (da erro de URL Invalida), selecionei tanto no proxy transparent tanto na listen interface.
Não escolha loopback se estiver usando proxy transparente. A configuração de loopback é feita automaticamente pelo pacote.
-
Ja importei os certificados como confiaveis nos navegadores, mas todos os sites de bancos recusam o certificado.
Uma questão, é possível comprar um certificado de uma autoridade já confiável, e utilizar no squid?
Abraços
-
Uma questão, é possível comprar um certificado de uma autoridade já confiável, e utilizar no squid?
CA acho que não.
Qual a versão do pfsense que você esta usando? 2.1 ou 2.0.3?
-
Olá Marcelloc,
Desculpe por realizar 2 posts simultâneos, mas queria postar um feedback da instalação que fiz do squid-3.3.5 com squidguard.
Primeiramente gostaria de agradecer o seu trabalho pq está muito bem feito. O Squid-3.3.5 está rodando perfeitamente com squidguard iniciando sobdemanda. Acabei de realizar diversos testes e ele está bloqueando, rodando etc etc etc..
Para ajudar quem precisa vou relatar o que fiz para instalar…
1 - removi o squid o squid 3 e o squidguard, que tinha instalado pela aba system/packages do pfsense.
2 - instalei o squid3-dev, que está em packages disponíveis do pfsense.
3 - copiei as bibliotecas não inclusas para a pasta usr/local/lib conforme solicitado no seu 1º post (Utilizei o WinSCP).
4 - instalei o squidguard.
5 - pelo putty acessei o console e fui na opção 8.
6 - instalei o squid-3.3.5 a partir do seu repositório pelo console com o comando pkg_add -rf http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5.tbz .
7 - configurei o squid3 e habilitei a opção do SSL.
8 - como já tinha o squid3 instalado as configurações foram mantidas.. e o squid funcionou perfeitamente.para criar um certificado..
1 - acessei system/cert manager.
2 - em Cas cliquei no + para adicionar um novo certificado.
3 -preenchi os dados conforme solicitado.
4 - nas opções key lenght e lifetime mantive o default.
5 - country code coloquei br.
6 - depois que cliquei em salvar fui na segunda opção e exportei o certificado.para instalar nas maquinas cliquei no certificado, escolhi o repositório manualmente e adicionei o certificado em Autoridade de certificação raiz confiáveis.
O Único problema que identifiquei foi em relação a sgerror.php do squidguard, junto com o certificado SSL. (não sei se isso se dá ao fato do local onde instalei o certificado, mas se eu instalar ele em outro local não funciona).
Instalei o certificado em 2 maquinas para testes. Se eu executar algum site que está na lista de bloqueio em uma usuário com total acesso o site é acessado normalmente sem erro de certificado, mas seu eu acessar o site a partir de um usuário bloqueado, ele exibe as 2 imagens em anexo ( se eu não instalar o certificado na maquina, as paginas em https apresentam erro, em qualquer usuário..)
será que fiz algo de errado? pq ele deu erro de certificado e quando cliquei em continuar nesse site não exibiu a sgerror.php
abraços
diego
Marcello, sem quere mudar o assunto do ultimo post, vc tem mais alguma dica para o problema da sgerror em https?
abs
diego