Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 363.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • marcellocM
      marcelloc
      last edited by

      @LCantano:

      Para acompanhar os logs do squid só através do console ou pelo lightsquid da pra faze-lo?

      O squid3-dev tem uma aba realtime para isso.

      Na console é o melhor debug, mas via interface gráfica também da para fazer.

      Treinamentos de Elite: http://sys-squad.com

      Help a community developer! ;D

      1 Reply Last reply Reply Quote 0
      • I
        Ivart
        last edited by

        Marcello, qual o procedimento para instalação do SquidGuard com o squid3-dev 3.3.5, o squid3-dev está funcionando inclusive com SSL, tive que reinstalar o MailScanner porque gerou conflito e não iniciou o clamd mas e o SquidGuard 1.4_4 pkg v.1.9.5 do repositório parece não funcionar com o campo Integration Options.

        [RESOLVIDO] Segui o procedimento de instalar o squidGuard primerio depois o squid3-dev e fiz a coreção sugerida no outro post no arquivo squidguard_configurator.inc e mais importante não habilidar o suporte LDAP no squidGuard, no meu caso o redirecionamento não fucionou com esta opçao habilitada

        –----------------------------------------------------------------------------

        squid config options

        ------------------------------------------------------------------------------

        define('REDIRECTOR_OPTIONS_REM',  '# squidGuard options');
        define('REDIRECTOR_PROGRAM_OPT',  'url_rewrite_program');
        define('REDIRECT_BYPASS_OPT',      'url_rewrite_bypass');
        define('REDIRECT_CHILDREN_OPT',    'url_rewrite_children');
        define('REDIRECTOR_PROCESS_COUNT', '12 startup=8 idle=6 concurrency=0'); # redirector processes count will start with 8 do a max of 12 and idles at 6 (with v3.3+)

        1 Reply Last reply Reply Quote 0
        • I
          Ivart
          last edited by

          Marcelloc, tenho as seguintes configurações customizadas no Squid para conexão de apps que não suporta autenticação como Skydrive, GTalk e MSN,

          
          acl TRILLIAN_ports port 443 3158
          acl TRILLIAN_nets dst 74.201.34.0/24
          http_access allow CONNECT TRILLIAN_ports TRILLIAN_nets 
          
          acl GTALK_ports port 443 5222 5050 
          acl GTALK_nets dst 74.125.0.0/16
          http_access allow CONNECT GTALK_ports GTALK_nets
          
          acl MSN_ports port 443 1863 1503
          acl MSN_nets dst "/usr/local/etc/squid/ms_sites.acl"
          http_access allow CONNECT MSN_ports MSN_nets
          
          

          Acontece que quando habilito SSL não consigo mais conexão destes aplicativos, existe alguma regra acl que eu possa desabilitar a interceptação do SSL para estes endereços? como por exemplo SSL_bump none "nets".

          1 Reply Last reply Reply Quote 0
          • L
            lorigas
            last edited by

            Boa tarde a todos

            Só para @marcelloc:

            @LCantano:

            Vou continuar efetuando testes com ele em produção e posto como foi.

            Não esqueça de olhar os logs do squid.

            Após 2 dias de testes em produção o PFSense 2.1-RC0 utilizando loadbalanced+failover e os pacotes suid3-dev + squidguard estão funcionando perfeitamente. Os links estão funcionando em loadbalanced e após teste de link down o failover funcionou perfeitamente. A navegação continuou normalmente com a troca de link sem apresentar lentidão ou qualquer outra normalidade.

            O filtro https também está funcionando perfeitamente utilizando a blacklist do squidguard.

            Até o momento só tenho a agradecer ao marcelloc por estar desenvolvendo este belo pacote e já solicitei ao meu gerente um $$ para contribuir com este desenvolvimento. Não sei quanto vai ser disponibilizado para contribuição mais acredito se todos que utilizem este recurso fizer um esforço para contribuir acaba somando uma doação bacana.

            Lourivaldo Cantano
            Administrador de Redes

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              @Ivart:

              por exemplo SSL_bump none "nets".

              Isso mesmo, você pode colocar o ssl_bump none para suas acls custom.

              Acredito que o efeito colateral de barrar aplicações via https que não são https é acabar com o tor e ultrasurf.

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • G
                gilmarcabral
                last edited by

                Boa noite.
                Aproveitando sobre a deixa do marcelloc sobre o bloqueio de tor e ultrasurf que podem utilizar https posso estar enganado mas nos meus testes
                os mesmos não conectaram.
                Fiz a seguinte maneira não sei se é a correta mas funcionou.
                Nos rules da lan retirei a regra padrão de libera a saida de qualquer pacote.
                Fiz as rules informando primeiro o que desejo pode sair pela lan por exemplo saida na porta 53, 21, 25 e endereços do governo.
                Sem seguida direcionei todo trafego vindo da lan para a porta 3128 que e do squid.
                Desta forma pelo meus testes o que esta cima da regra de direcionamento para o squid sai blz, o restante é gerenciado pelo squid.
                Então desta forma eu testei o tor e os ultrasurf e proxy externos que utiliza diversas portas inclusve a 80 e 443 e 3128 não conseguiram conexão.

                1 Reply Last reply Reply Quote 0
                • I
                  Ivart
                  last edited by

                  Ainda estou com dificuldades em integrar o squidguard no squid3-dev, já li no forum que o Custom Settings / Integrations não funciona para a versão 3.x, o que devo colocar no Custom Options? Tenho que desinstalar a versão 2.7  que instala junto com o squidguard 1.4? Tenho que alterar o squidguard_configuration.inc conforme indicado em outro post? Não encontrei no forum nenhum tutorial de squid3-dev + squidguard.

                  –----------------------------------------------------------------------------

                  squid config options

                  ------------------------------------------------------------------------------

                  define('REDIRECTOR_OPTIONS_REM',   '# squidGuard options');
                  define('REDIRECTOR_PROGRAM_OPT',   'url_rewrite_program');
                  define('REDIRECT_BYPASS_OPT',      'url_rewrite_bypass');
                  define('REDIRECT_CHILDREN_OPT',    'url_rewrite_children');
                  define('REDIRECTOR_PROCESS_COUNT', '5'); # redirector processes count will started

                  [RESOLVIDO] Fiz as alterações no arquivo squidguard_configuration.inc e desabilitei a integração LDAP do squidGuard, o filtro agora funciona em HTTPS
                  [NÃO RESOLVIDO] Redirecionamento do squidguard para sgerror.php, memso subindo outra instância do lighttpd na porta 80, se a página bloqueada for HTTP o redirecionamento funciona normalmente.

                  1 Reply Last reply Reply Quote 0
                  • A
                    amaica
                    last edited by

                    Pelo que eu entendi ele bloqueia https? dae não precisaria da porta 443 bloqueada?

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @amaica:

                      Pelo que eu entendi ele bloqueia https? dae não precisaria da porta 443 bloqueada?

                      O squid3-dev, configurado corretamente Filtra https tanto com proxy transparente quanto não transparente.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • I
                        Ivart
                        last edited by

                        Marcelloc, alguma chance do redirecionamento do squidGuard funcionar com a filtragem ssl, já tentei de tudo e continua dando erro do squid que  o host http não pode ser encontrado, quando a pagina bloqueada é http funciona corretamente. Outra coisa marquei para teste "Accept remote server certificate Errors" e agora não consigo desmarcar de jeito nenhum, o que fazer?

                        squid-ssl.jpg
                        squid-ssl.jpg_thumb
                        squiderror.jpg
                        squiderror.jpg_thumb

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          @Ivart:

                          e agora não consigo desmarcar de jeito nenhum, o que fazer?

                          CTRL + click.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • I
                            Ivart
                            last edited by

                            Obrigado Marcelloc pela dica  :), e sobre o redirecionamento https no squidGuard? Alguma chance de funcionar?

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              Já tentou outros redirects?

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • I
                                Ivart
                                last edited by

                                Como assim Marcelloc, outros redirects? Outro pkg para substituir o squidGuard como filtro? Antes usava o IPCop com o URLfilter e nunca tive problemas com redirecionamento de URL, agora estou migrando paro pfSense estou tendo um pouco de dificuldade, but, so far so good.

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  @Ivart:

                                  Como assim Marcelloc, outros redirects?

                                  Quis dizer o tipo de redirect configurado no squidguard.

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gilmarcabral
                                    last edited by

                                    Ivart se não me engano o marcelloc esta perguntando o tipo de redirecionamento que você esta utilizando no squidguard para apresentar a pagina de erro quando alguem tenta acessar um conteudo proibido.
                                    Na aba Group ACLs tem as ACLs do grupo que você criou então o atributo.
                                    Redirect mode:

                                    Qual valor você esta utilizando

                                    1 Reply Last reply Reply Quote 0
                                    • I
                                      Ivart
                                      last edited by

                                      Bom, estou usando o "ext url error page" e está funcionando normalmente com as páginas bloqueadas sem SSL (http), com as páginas bloqueadas em https fiz testes com e sem interceptação SSL, sem interceptação o browser retorna o erro ERR_TUNNEL_CONNECTION_FAILED e com a interceptação o Squid retorna erro e não faz o redirecionamento programado no squidguard (ver imagem). Já tentei todas as outras opções de redirecionamento e somente funciona com páginas http bloqueadas.

                                      squiderror.jpg
                                      squiderror.jpg_thumb

                                      1 Reply Last reply Reply Quote 0
                                      • L
                                        lucasbira
                                        last edited by

                                        Alguem ai esta com problemas para adicionar os sites na lista branca? Mesmo eu colocando os sites la na lista branca eles continuam aparecendo no log do squid, isso siginifica que está passando pelo filtro correto? Imagens  da configuração em anexo.

                                        Alguns sites também estão dando este erro:

                                        O seguinte erro foi encontrado ao tentar recuperar a URL: ://www.manicomio-share.com:443
                                        
                                            Falha ao estabelecer uma conexão segura com 141.105.65.169
                                        
                                        The system returned:
                                        
                                            (92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
                                        
                                            SSL Certficate error: certificate issuer (CA) not known: /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2
                                        
                                        Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.
                                        
                                        Seu administrador do cache é admin@localhost.
                                        
                                        

                                        Att. Lucas

                                        print2.jpg
                                        print2.jpg_thumb
                                        prin1.jpg
                                        prin1.jpg_thumb

                                        1 Reply Last reply Reply Quote 0
                                        • L
                                          lorigas
                                          last edited by

                                          @lucasbira:

                                          Alguem ai esta com problemas para adicionar os sites na lista branca? Mesmo eu colocando os sites la na lista branca eles continuam aparecendo no log do squid, isso siginifica que está passando pelo filtro correto? Imagens  da configuração em anexo.

                                          Hoje eu fiz uma nova instalação do pfsense 2.1-rc0 com squidguard e squid3-dev. E apresentou este mesmo problema. Como se o filtro ssl estivesse ignorando a white list. Muito estranho…

                                          Lourivaldo Cantano
                                          Administrador de Redes

                                          1 Reply Last reply Reply Quote 0
                                          • I
                                            Ivart
                                            last edited by

                                            Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:

                                            acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
                                            ssl_bump none nossl_sites

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.