Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 402.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • marcellocM
      marcelloc
      last edited by

      @fabianoheringer:

      a unica diferenca eh que nao consigo setar a interface para o proxy para a LAN e loopback, se seleciono as duas o squid nao funciona (da erro de URL Invalida), selecionei tanto no proxy transparent tanto na listen interface.

      Não escolha loopback se estiver usando proxy transparente. A configuração de loopback é feita automaticamente pelo pacote.

      Treinamentos de Elite: http://sys-squad.com

      Help a community developer! ;D

      1 Reply Last reply Reply Quote 0
      • F
        fabianoheringer
        last edited by

        Ja importei os certificados como confiaveis nos navegadores, mas todos os sites de bancos recusam o certificado.

        Uma questão, é possível comprar um certificado de uma autoridade já confiável, e utilizar no squid?

        Abraços

        1 Reply Last reply Reply Quote 0
        • marcellocM
          marcelloc
          last edited by

          @fabianoheringer:

          Uma questão, é possível comprar um certificado de uma autoridade já confiável, e utilizar no squid?

          CA acho que não.

          Qual a versão do pfsense que você esta usando? 2.1 ou 2.0.3?

          Treinamentos de Elite: http://sys-squad.com

          Help a community developer! ;D

          1 Reply Last reply Reply Quote 0
          • D
            didonsom
            last edited by

            @didonsom:

            Olá Marcelloc,

            Desculpe por realizar 2 posts simultâneos, mas queria postar um feedback da instalação que fiz do squid-3.3.5 com squidguard.

            Primeiramente gostaria de agradecer o seu trabalho pq está muito bem feito. O Squid-3.3.5 está rodando perfeitamente com squidguard iniciando sobdemanda. Acabei de realizar diversos testes e ele está bloqueando, rodando etc etc etc..

            Para ajudar quem precisa vou relatar o que fiz para instalar…

            1 - removi o squid o squid 3 e o squidguard, que tinha instalado pela aba system/packages do pfsense.
            2 - instalei o squid3-dev, que está em packages disponíveis do pfsense.
            3 - copiei as bibliotecas não inclusas para a pasta usr/local/lib conforme solicitado no seu 1º post (Utilizei o WinSCP).
            4 - instalei o squidguard.
            5 - pelo putty acessei o console e fui na opção 8.
            6 - instalei o squid-3.3.5 a partir do seu repositório pelo console com o comando pkg_add -rf http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5.tbz .
            7 - configurei o squid3 e habilitei a opção do SSL.
            8 - como já tinha o squid3 instalado as configurações foram mantidas.. e o squid funcionou perfeitamente.

            para criar um certificado..
            1 - acessei system/cert manager.
            2 - em Cas cliquei no + para adicionar um novo certificado.
            3  -preenchi os dados conforme solicitado.
            4 - nas opções key lenght e lifetime mantive o default.
            5 - country code coloquei br.
            6 - depois que cliquei em salvar fui na segunda opção e exportei o certificado.

            para instalar nas maquinas cliquei no certificado, escolhi o repositório manualmente e adicionei o certificado em Autoridade de certificação raiz confiáveis.

            O Único problema que identifiquei foi em relação a sgerror.php do squidguard, junto com o certificado SSL. (não sei se isso se dá ao fato do local onde instalei o certificado, mas se eu instalar ele em outro local não funciona).

            Instalei o certificado em 2 maquinas para testes. Se eu executar algum site que está na lista de bloqueio em uma usuário com total acesso  o site é acessado normalmente sem erro de certificado, mas seu eu acessar o site a partir de um usuário bloqueado, ele exibe as 2 imagens em anexo ( se eu não instalar o certificado na maquina, as paginas em https apresentam erro, em qualquer usuário..)

            será que fiz algo de errado? pq ele deu erro de certificado e quando cliquei em continuar nesse site não exibiu a sgerror.php

            abraços

            diego

            Marcello, sem quere mudar o assunto do ultimo post, vc tem mais alguma dica para o problema da sgerror em https?

            abs

            diego

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              @didonsom:

              Marcello, sem querer mudar o assunto do ultimo post, vc tem mais alguma dica para o problema da sgerror em https?

              Subir outro daemon do lightsquid em http somente com a página de erro do squidguard.(já postei isso por aqui também.)

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • F
                fabianoheringer
                last edited by

                @marcelloc:

                @fabianoheringer:

                Uma questão, é possível comprar um certificado de uma autoridade já confiável, e utilizar no squid?

                CA acho que não.

                Qual a versão do pfsense que você esta usando? 2.1 ou 2.0.3?

                Estou usando a 2.1-RC0

                1 Reply Last reply Reply Quote 0
                • L
                  lorigas
                  last edited by

                  Boa tarde galera

                  Estou efetuando a instalação do squid-dev conforme receita mais ao usar este comando no shell do pfsense fetch  http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi aparece a mensagem "not found"

                  O que estou fazendo errado?

                  A versão do PFSense é a 2.1 RC0 instalação nova
                  Efetuei somente a instalação do squidguard e logo após o squid3-dev através do system/packages

                  Comecei o procedimento de alteração do squid através do shell:

                  pbi_delete squid-3.3.4-i386 comando ok
                  fetch  http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi not found

                  Agradeço a todos a ajuda

                  Lourivaldo Cantano
                  Administrador de Redes

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    @fabianoheringer:

                    Estou usando a 2.1-RC0

                    Atualizou o pbi do meu repositório?

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • L
                      lorigas
                      last edited by

                      @LCantano:

                      Boa tarde galera

                      Estou efetuando a instalação do squid-dev conforme receita mais ao usar este comando no shell do pfsense fetch  http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi aparece a mensagem "not found"

                      O que estou fazendo errado?

                      A versão do PFSense é a 2.1 RC0 instalação nova
                      Efetuei somente a instalação do squidguard e logo após o squid3-dev através do system/packages

                      Comecei o procedimento de alteração do squid através do shell:

                      pbi_delete squid-3.3.4-i386 comando ok
                      fetch  http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi not found

                      Agradeço a todos a ajuda

                      Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
                      Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

                      Lourivaldo Cantano
                      Administrador de Redes

                      1 Reply Last reply Reply Quote 0
                      • F
                        fabianoheringer
                        last edited by

                        @marcelloc:

                        @fabianoheringer:

                        Estou usando a 2.1-RC0

                        Atualizou o pbi do meu repositório?

                        Sim atualizei ,conforme as instruções.

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          @LCantano:

                          Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
                          Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

                          veja se o seu pfsense esta resolvendo nomes dns corretamente.

                          nslookup e-sac.siteseguro.ws

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • L
                            lorigas
                            last edited by

                            @marcelloc:

                            @LCantano:

                            Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
                            Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

                            veja se o seu pfsense esta resolvendo nomes dns corretamente.

                            nslookup e-sac.siteseguro.ws

                            Sim

                            Name: e-sac.siteseguro.ws
                            address: 187.xx.xxx.xxxx

                            Lourivaldo Cantano
                            Administrador de Redes

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              @fabianoheringer:

                              Sim atualizei ,conforme as instruções.

                              Acabei de testar aqui na 2.1-RC0 e funcinou perfeitamente.

                              Pode verificar o que voce tem nestes diretorios?

                              • ls /usr/local/share/certs/

                              • ls /usr/pbi/squid-amd64/share/certs/

                              Segue print de um site com erro no certificado e outro site com certificado ok.
                              Testei no firefox depois de instalar o CRT da CA do pfsense.
                              O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
                              O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

                              site_sem_erro_de_certificado.png
                              site_sem_erro_de_certificado.png_thumb
                              site_com_erro_de_certificado.png
                              site_com_erro_de_certificado.png_thumb

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • F
                                fabianoheringer
                                last edited by

                                @marcelloc:

                                @fabianoheringer:

                                Sim atualizei ,conforme as instruções.

                                Acabei de testar aqui na 2.1-RC0 e funcinou perfeitamente.

                                Pode verificar o que voce tem nestes diretorios?

                                • ls /usr/local/share/certs/

                                • ls /usr/pbi/squid-amd64/share/certs/

                                Segue print de um site com erro no certificado e outro site com certificado ok.
                                Testei no firefox depois de instalar o CRT da CA do pfsense.
                                O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
                                O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

                                O meu caso está dando exatamente este erro "Not Trusted", o mais estranho que é só em alguns sites, por exemplo: hotmail, facebook e gmail, acessam normalmente, mas sites de bancos, receita e outros dá esse erro…

                                No meu nao existe nenhum destes diretorios, isso é normal?

                                Abracos.

                                1 Reply Last reply Reply Quote 0
                                • L
                                  lorigas
                                  last edited by

                                  @LCantano:

                                  @marcelloc:

                                  @LCantano:

                                  Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
                                  Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

                                  veja se o seu pfsense esta resolvendo nomes dns corretamente.

                                  nslookup e-sac.siteseguro.ws

                                  Sim

                                  Name: e-sac.siteseguro.ws
                                  address: 187.xx.xxx.xxxx

                                  Boa noite Marcelo

                                  Não consegui rodar o fetch mais efetuei o download pelo navegador e copiei os arquivos para o pf através do winscp.

                                  Continuei com o procedimento. E consegui instalar o pacote.

                                  As libs tive que copiar conforme inicio do post através do seu repositório.
                                  Reinicie o PFSense e o squid subiu. Efetuei as configurações do squid e squidguard. Instalei o certificado gerado no pfsense na maquina de teste e aparentemente está tudo ok.
                                  Vou efetuar mais testes amanhã.

                                  Obrigado

                                  Lourivaldo Cantano
                                  Administrador de Redes

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gst.freitas
                                    last edited by

                                    Não consigo acessar o gmail usando a SSL habilitada

                                    "O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      @fabianoheringer:

                                      No meu nao existe nenhum destes diretorios, isso é normal?

                                      Não, eles deveriam existir.

                                      É neste diretório que ficam os certificados das CAS confiáveis do mundo inteiro.

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        @gst.freitas:

                                        Não consigo acessar o gmail usando a SSL habilitada

                                        Confere os diretorios que postei logo acima.

                                        @gst.freitas:

                                        "O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..

                                        A whitelist do squid não tem *, só o .gmail.com

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          O mantenedor finalmente atualizou o squid 3.3.5 no ports do freebsd e hoje o jimp disponibilizou-o no repositório oficial.

                                          Atualizei o procedimento de instalação no primerio post deste tópico.

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • T
                                            thiagomespb
                                            last edited by

                                            Marcelo,

                                            não tenho esse diretório na versão 2.1

                                            ls /usr/local/share/certs/
                                            

                                            apesar de usar certificados para o openvpn.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.