Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

thiagomespb

sim..

eles estão no diretorio

/usr/pbi/squid-i386/share/certs

mas o erro continua.. não consigo usar o gmail..

marcelloc

@thiagomespb:

sim..

eles estão no diretorio
/usr/pbi/squid-i386/share/certs

veja no squid.conf qual pasta certs está configurada.

no meu está apontando para a pasta correta:

http_port 172.xx:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/

00673b5b.0      1e8e7201.0      3e7271e8.0      5e4e69e7.0      7a481e66.0      95aff9e3.0      bc3f2570.0      d16a5865.0      ee7cd6fb.0
02b73561.0      1eb37bdf.0      40dc992e.0      5f47b495.0      7a819ef2.0      9685a493.0      bcdd5959.0      d537fba6.0      ee90b008.0
052e396b.0      219d9499.0      418595b9.0      60afe812.0      7d3cd826.0      9772ca32.0      bda4cc84.0      d59297b8.0      f4996e82.0
08aef7bb.0      23f4c490.0      46b2fd3b.0      635ccfd5.0      7d453d8f.0      9d6523ce.0      bdacca6f.0      d64f06f3.0      f559733c.0
0d188d89.0      27af790d.0      48a195d8.0      67495436.0      81b9768f.0      9dbefe7b.0      bf64f35b.0      d78a75c7.0      f58a60fe.0
10531352.0      2afc57aa.0      4d654d1d.0      69105f4f.0      82223c44.0      9ec3a561.0      c19d42c7.0      d8274e24.0      f61bff45.0
111e6273.0      2d9dafe4.0      4e18c148.0      6adf0799.0      8317b10c.0      9f533518.0      c215bc69.0      dbc54cab.0      f80cc7f6.0
1155c94b.0      2edf7016.0      4fbd6bfa.0      6e8bf996.0      8470719d.0      a0bc6fbb.0      c33a80d4.0      ddc328ff.0      fac084d7.0
119afc2e.0      2fa87019.0      5021a0a2.0      6fcc125d.0      84cba82f.0      a15b3b6b.0      c3a6a9ad.0      e268a4c5.0      facacbc6.0
11a09b38.0      2fb1850a.0      5046c355.0      72f369af.0      85cde254.0      a2df7ad7.0      c51c224c.0      e48193cf.0      fb126c6d.0
11f154d6.0      33815e15.0      524d9b43.0      72fa7371.0      86212b19.0      a3896b44.0      c527e4ab.0      e60bf0c0.0      fde84897.0
124bbd54.0      343eb6cb.0      56b8a0b6.0      74c26bd0.0      87753b0d.0      a7605362.0      c7e2a638.0      e775ed2d.0      ff588423.0
12d55845.0      399e7759.0      57692373.0      755f7420.0      882de061.0      a7d2cf64.0      c8763593.0      e7b8d656.0      ff783690.0
17b51fe6.0      3a3b02ce.0      58a44af1.0      75680d2e.0      895cad1a.0      ab5346f4.0      ca-root-nss.crt e8651083.0
1dac3003.0      3ad48a91.0      594f1775.0      7651b327.0      89c02a45.0      add67345.0      ccb919f9.0      ea169617.0
1dcd6f4c.0      3c58f906.0      5a3f0ff8.0      76579174.0      8f7b96c4.0      aeb67534.0      ccc52f49.0      eb375c3e.0
1df5ec47.0      3c860d51.0      5a5372fc.0      7672ac4b.0      91739615.0      b0f3e76e.0      cdaebb72.0      ed524cf5.0
1e1eab7c.0      3d441de8.0      5cf9d536.0      7999be0d.0      9339512a.0      b7db1890.0      cf701eeb.0      ed62f4e3.0

thiagomespb

veja aqui

# This file is automatically generated by pfSense
# Do not edit manually !

http_port 192.168.1.1:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/

http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/

https_port 127.0.0.1:3127 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/

veja o erro do google e o tweetdesk não conecta..

errocertificado.jpg_thumb

marcelloc

Tem certeza que você instalou o CRT da CA nesta máquina como unidade certificadora confiável?

certificado_instalado.png_thumb

thiagomespb

desculpe,

mas tenho que ter um CA de uma autoridade certificadora ?? eu usei o mesmo que faço para o openvpn
que criei no pfsense.

marcelloc

Você precisa de uma CA configurada no pfSense MaS enquanto você não instalar o certificado desta CA no seu browser/computador como CA confiável, seu browser não vai confiar nela.

Este procedimento esta descrito no primeiro post.

thiagomespb

instalei..o certificado

funcionou somente no IE.. no chrome não.. ainda apresenta a mensagem..
exclui até o cache do navegador e no squid

aproveitando a deixa.. pq não cria uma opção para que o usuario limpar o cache do squid
sem ser via console.. não seria uma boa ideia ?

lorigas

Bom dia

Efetuei a ativação do squid3-dev com filtro https. Porém mesmo com o certificado instalado na pasta de autoridades de certificação raiz confiáveis apresenta está mensagem de erro que está em anexo.

Algumas maquinas o certificado instala mais não aparece na pasta.

Já coloquei os sites na whitelist porém continua a mensagem de erro.

Tive que desabilitar o filtro https para conseguir usar o exchange pois a mensagem aparecia de 5 em 5 min.

Alguém teve este problema?

![erro Certificado.JPG_thumb](/public/imported_attachments/1/erro Certificado.JPG_thumb)
![erro Certificado.JPG](/public/imported_attachments/1/erro Certificado.JPG)

marcelloc

@LCantano:

Tive que desabilitar o filtro https para conseguir usar o exchange pois a mensagem aparecia de 5 em 5 min.

Alguém teve este problema?

O erro diz que o certificado do seu exchange não é confiável.

Você pode marcar a opção de ignorar erros de certificado na configuração do squid. Não é recomendado, mas resolve seu problema.

Veja se a url de acesso do exchange esta correta na whitelist.

lorigas

@marcelloc:

O erro diz que o certificado do seu exchange não é confiável.

Você pode marcar a opção de ignorar erros de certificado na configuração do squid. Não é recomendado, mas resolve seu problema.

Veja se a url de acesso do exchange esta correta na whitelist.

Bom dia

Referente ao erro no certificado do exchange não consigo tornar ele confiável importando o mesmo de alguma maneira para o pf?

Marcar a opção de ignorar erros só vai ocultar o problema não é isso? Fiz o procedimento porém o exchange não consegue ficar conectado. Fica perdendo conexão constantemente. Qual seria a maneira correta para resolver essa situação?

As URLs tanto do exchange como do site da prefeitura que neste casso precisa usar certificado digital também consta na whitelist tanto do squid como no squidguard e mesmo assim apresenta erro no acesso. Ao colocar o site na whitelist do squid a mesma não deveria mais apresentar erros de certificado correto?

marcelloc

@LCantano:

Ao colocar o site na whitelist do squid a mesma não deveria mais apresentar erros de certificado correto?

Correto!

lorigas

@marcelloc:

@LCantano:

Ao colocar o site na whitelist do squid a mesma não deveria mais apresentar erros de certificado correto?

Correto!

Bom dia Marcelo

Não sei por qual motivo os sites não estavam sendo liberados, porém efetuei a reinicialização do pfsense, removi os sites e salvei, inclui os sites novamente e salvei e agora aparentemente não está mais aparecendo a mensagem de erro. Creio eu que foi algum bug na hora de salvar as whitelist.

Vou continuar efetuando testes com ele em produção e posto como foi.

Obrigado mais uma vez…

marcelloc

@LCantano:

Vou continuar efetuando testes com ele em produção e posto como foi.

Não esqueça de olhar os logs do squid.

lorigas

@marcelloc:

@LCantano:

Vou continuar efetuando testes com ele em produção e posto como foi.

Não esqueça de olhar os logs do squid.

Para acompanhar os logs do squid só através do console ou pelo lightsquid da pra faze-lo?

marcelloc

@LCantano:

Para acompanhar os logs do squid só através do console ou pelo lightsquid da pra faze-lo?

O squid3-dev tem uma aba realtime para isso.

Na console é o melhor debug, mas via interface gráfica também da para fazer.

Ivart

Marcello, qual o procedimento para instalação do SquidGuard com o squid3-dev 3.3.5, o squid3-dev está funcionando inclusive com SSL, tive que reinstalar o MailScanner porque gerou conflito e não iniciou o clamd mas e o SquidGuard 1.4_4 pkg v.1.9.5 do repositório parece não funcionar com o campo Integration Options.

[RESOLVIDO] Segui o procedimento de instalar o squidGuard primerio depois o squid3-dev e fiz a coreção sugerida no outro post no arquivo squidguard_configurator.inc e mais importante não habilidar o suporte LDAP no squidGuard, no meu caso o redirecionamento não fucionou com esta opçao habilitada

–----------------------------------------------------------------------------

squid config options

------------------------------------------------------------------------------

define('REDIRECTOR_OPTIONS_REM', '# squidGuard options');
define('REDIRECTOR_PROGRAM_OPT', 'url_rewrite_program');
define('REDIRECT_BYPASS_OPT', 'url_rewrite_bypass');
define('REDIRECT_CHILDREN_OPT', 'url_rewrite_children');
define('REDIRECTOR_PROCESS_COUNT', '12 startup=8 idle=6 concurrency=0'); # redirector processes count will start with 8 do a max of 12 and idles at 6 (with v3.3+)

Ivart

Marcelloc, tenho as seguintes configurações customizadas no Squid para conexão de apps que não suporta autenticação como Skydrive, GTalk e MSN,


acl TRILLIAN_ports port 443 3158
acl TRILLIAN_nets dst 74.201.34.0/24
http_access allow CONNECT TRILLIAN_ports TRILLIAN_nets 

acl GTALK_ports port 443 5222 5050 
acl GTALK_nets dst 74.125.0.0/16
http_access allow CONNECT GTALK_ports GTALK_nets

acl MSN_ports port 443 1863 1503
acl MSN_nets dst "/usr/local/etc/squid/ms_sites.acl"
http_access allow CONNECT MSN_ports MSN_nets

Acontece que quando habilito SSL não consigo mais conexão destes aplicativos, existe alguma regra acl que eu possa desabilitar a interceptação do SSL para estes endereços? como por exemplo SSL_bump none "nets".

lorigas

Boa tarde a todos

Só para @marcelloc:

@LCantano:

Vou continuar efetuando testes com ele em produção e posto como foi.

Não esqueça de olhar os logs do squid.

Após 2 dias de testes em produção o PFSense 2.1-RC0 utilizando loadbalanced+failover e os pacotes suid3-dev + squidguard estão funcionando perfeitamente. Os links estão funcionando em loadbalanced e após teste de link down o failover funcionou perfeitamente. A navegação continuou normalmente com a troca de link sem apresentar lentidão ou qualquer outra normalidade.

O filtro https também está funcionando perfeitamente utilizando a blacklist do squidguard.

Até o momento só tenho a agradecer ao marcelloc por estar desenvolvendo este belo pacote e já solicitei ao meu gerente um $$ para contribuir com este desenvolvimento. Não sei quanto vai ser disponibilizado para contribuição mais acredito se todos que utilizem este recurso fizer um esforço para contribuir acaba somando uma doação bacana.

marcelloc

@Ivart:

por exemplo SSL_bump none "nets".

Isso mesmo, você pode colocar o ssl_bump none para suas acls custom.

Acredito que o efeito colateral de barrar aplicações via https que não são https é acabar com o tor e ultrasurf.

gilmarcabral

Boa noite.
Aproveitando sobre a deixa do marcelloc sobre o bloqueio de tor e ultrasurf que podem utilizar https posso estar enganado mas nos meus testes
os mesmos não conectaram.
Fiz a seguinte maneira não sei se é a correta mas funcionou.
Nos rules da lan retirei a regra padrão de libera a saida de qualquer pacote.
Fiz as rules informando primeiro o que desejo pode sair pela lan por exemplo saida na porta 53, 21, 25 e endereços do governo.
Sem seguida direcionei todo trafego vindo da lan para a porta 3128 que e do squid.
Desta forma pelo meus testes o que esta cima da regra de direcionamento para o squid sai blz, o restante é gerenciado pelo squid.
Então desta forma eu testei o tor e os ultrasurf e proxy externos que utiliza diversas portas inclusve a 80 e 443 e 3128 não conseguiram conexão.