Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

lucasbira · Jun 25, 2013, 6:11 PM

Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:

acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sites

Vou testar desta maneira obrigado.

@marcelloc:

Lucasbira, que opções de verificação de SSL você marcou na configuração do swuid?

A whitelist pode ser usada para não interceptar sites com o proxy marcado no cliente. Para proxy transparente, você precisa cadastrar os IPS que não serão filtrados pelo proxy transparente.

Nao marquei nenhuma das duas opcoes marcello.

Ententdi, é que eu queria filtrar todos os ips e deixar alguns dominios sem filtrar, se no TProxy não é possivel vou fazer da forma que o Ivart falou pra ver se da certo.

Obrigado.

lucasbira · Jun 25, 2013, 6:13 PM

Sem sucesso usando a dica do Ivart, ainda continua aparecendo o erro.. Só da certo se eu colocar o ip no Unrestricted IPs. Mas mesmo assim tem que ter o certificado instalado na maquina se não num fica dando msg de não confiavel.

Ivart · Jun 26, 2013, 2:20 PM

Não utilizo proxy transparente, com autenticação tem criar outra lista de sites que não requerem autenticação, no Custom Options do squid3-dev:


acl unauth_sites dstdomain "/var/squid/acl/unauth_sites.acl"
acl port_80 port 80
acl port_443 port 443 
http_access allow http port_80 unauth_sites
http_access allow CONNECT port_443 unauth_sites

Utilize o pkg filer para criar o arquivo /var/squid/acl/unauth_sites.acl e coloque dentro dele os sites que não precisam de autenticação

.windows.com
.windowsupdate.com
.windowsupdate.microsoft.com
.update.microsoft.com

Acompanhe pela aba Real Time (Status: Proxy Monitor) os endereços com Status TCP_DENIED/407 que foram negados por erro de autenticação.

lorigas · Jun 26, 2013, 5:59 PM

Boa tarde a todos

A whitelist do squid funciona porém somente em alguns casos conforme post do nosso amigo abaixo

@Ivart:

Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:

acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sites

Resolvi meu problema criando um alias com o range dos sites que não quero que passe pelo proxy e adicionei o alias na aba services\proxy server\Bypass proxy for these destination IPs:

Agora estou conseguindo fazer as atualizações do windows normalmente.

Minha opnião faça a inclusão do site no whitelist e teste. Caso não libere do bloqueio encontre o range do site e adicione no alias que está adicionado no campo Bypass proxy for these destination IPs.

Falow

marcelloc · Jun 27, 2013, 2:37 AM

Como eu postei anteriormente, a whitelist não tem ação no filtro SSL com o proxy em modo transparente. Voce precisa configurar o bypass nesta situação.

lucasbira · Jun 27, 2013, 11:35 PM

@LCantano:

Boa tarde a todos

A whitelist do squid funciona porém somente em alguns casos conforme post do nosso amigo abaixo

@Ivart:

Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:

acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sites

Resolvi meu problema criando um alias com o range dos sites que não quero que passe pelo proxy e adicionei o alias na aba services\proxy server\Bypass proxy for these destination IPs:

Agora estou conseguindo fazer as atualizações do windows normalmente.

Minha opnião faça a inclusão do site no whitelist e teste. Caso não libere do bloqueio encontre o range do site e adicione no alias que está adicionado no campo Bypass proxy for these destination IPs.

Falow

Agora deu certo. Valeu parceiro!

@marcelloc:

Como eu postei anteriormente, a whitelist não tem ação no filtro SSL com o proxy em modo transparente. Voce precisa configurar o bypass nesta situação.

Valeu pela ajuda e paciencia com os leigos.

Att. lucas

amaica · Jul 4, 2013, 11:51 PM

Ola removi o squid3 e squidguard e instalei o squid squid 3.3.5, mas ele não carrega o serviço.

marcelloc · Jul 5, 2013, 3:36 AM

@amaica:

Ola removi o squid3 e squidguard e instalei o squid squid 3.3.5, mas ele não carrega o serviço.

Qual serviço? squid ou squidguard? já leu o topico? fez o download das libs? entendeu que o squidguard na versão 3.3 é iniciado sob demanda?

lorigas · Jul 5, 2013, 3:51 AM

Boa noite Marcelo

Acho que o pacote de instalação do squid3-dev está com algum problema conforme comentei no post abaixo.

http://forum.pfsense.org/index.php/topic,63935.0.html

Guilherme Pires · Jul 18, 2013, 5:43 PM

Pessoal Boa Tarde,
Alguem já testou o squid3-dev com o Dansguardian ?
Estou começando um ambiente de teste e gostaria de saber se tem gente usando e como está se comportando o ambiente.

diegoriera · Jul 19, 2013, 5:14 PM

Sim, o pacote squid-3.3.8.tbz não está em http://files.pfsense.org/packages/amd64/8/All/

LFCavalcanti · Aug 6, 2013, 3:07 PM

Bom dia Marcelloc!

Andei lendo o tópico, mas fiquei confuso com algumas coisas. Eu não tenho interesse em usar o filtro SSL por enquanto, a maioria dos meus clientes usa proxy não transparente com regras de firewall liberando só estritamente o necessário.

Minhas perguntas são:

1 - Essa versão em desenvolvimento é a mesma que está na lista de pacotes do PFSense como Squid3-Dev?
2 - Nessa versão já está incluida a questão do balanceamento de carga e Fail Over?
3 - Como é feita a integração com o SquidGuard e com o AD?(Se puder passar o link para a resposta do tópico em especifico, pois li aqui e não filtrei a informação correta)
4 - Para autenticação transparente, usando aquele esquema do Samba, é possivel usar com essa versão?

marcelloc · Aug 6, 2013, 7:17 PM

@LFCavalcanti:

1 - Essa versão em desenvolvimento é a mesma que está na lista de pacotes do PFSense como Squid3-Dev?

Exatamente a mesma

@LFCavalcanti:

2 - Nessa versão já está incluida a questão do balanceamento de carga e Fail Over?

Ainda não incluí nenhum teste ou regra a mais para balanceamento de link.
Se não houve alteração no tratamento das regras da aba floating na 2.0.3 ou na 2.1, os tutoriais disponíveis no fórum devem funcionar.

@LFCavalcanti:

3 - Como é feita a integração com o SquidGuard e com o AD?(Se puder passar o link para a resposta do tópico em especifico, pois li aqui e não filtrei a informação correta)

A integração que o Luis Gustavo fez, já faz parte do pacote.

@LFCavalcanti:

4 - Para autenticação transparente, usando aquele esquema do Samba, é possivel usar com essa versão?

Perfeitamente. :)

Sep 24, 2013, 2:40 PM

Fiz uma vm no XenServer e não estou conseguindo fazer o proxy autenticado com o squid3-dev.
Eu fiz um teste. Criei uma nova vm e instalei apenas o squid (2). funcionou ok.
Então desinstalei o squid(2) e instalei o squid3 e aquelas dependencias lá! não mudei nenhuma configuração, contudo não está funcionando. O browser não abre o prompt pra autenticação!

any ideas?

marcelloc · Sep 24, 2013, 4:27 PM

@UnDr3aD:

Então desinstalei o squid(2) e instalei o squid3 e aquelas dependencias lá! não mudei nenhuma configuração, contudo não está funcionando. O browser não abre o prompt pra autenticação!

Veja se o squid está escutando na porta que você configurou. Se não estiver, habilite o ipv6, mate todos os processos do squid e em seguida salve as configurações para iniciar o daemon novamente.

É importantíssimo para o sysadmin olhar os logs para identificar erros.

cmleao · Sep 27, 2013, 2:54 PM

@gilmarcabral:

Marcello eu novamente lhe atormentando.
Encontrei mais 2 probleminhas.
O primeiro que quando inicializo o serviço do squid e tento rodar o squid -k reconfigure via terminal ele não roda apresenta a seguinte mensagem:
squid -k reconfigure
squid: ERROR: Could not send signal 1 to process 40565: (3) No such process

Mas o serviço esta inicializado mas num consigo ver se tem algum erro de configuração.

Tentei usar o squid-dev usando o openldap ou autenticação local porem o proxy so recusa conexão.
Vi esta mensagem abaixo no log o cache do squid.
ail -f /var/squid/logs/cache.log
2013/05/16 17:07:44 kid1| Max Mem size: 131072 KB
2013/05/16 17:07:44 kid1| Max Swap size: 2097152 KB
2013/05/16 17:07:44 kid1| Rebuilding storage in /var/squid/cache (no log)
2013/05/16 17:07:44 kid1| Using Least Load store dir selection
2013/05/16 17:07:44 kid1| Current Directory is /usr/local/www
2013/05/16 17:07:44 kid1| Loaded Icons.
2013/05/16 17:07:44 kid1| HTCP Disabled.
2013/05/16 17:07:44 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/05/16 17:07:44 kid1| sendto FD 25: (1) Operation not permitted
2013/05/16 17:07:44 kid1| ipcCreate: CHILD: hello write test failed

pfSense 2.1 amd64. squid 3.3.8 -dev

[2.1-RELEASE][root@noc]/root(22): /usr/pbi/squid-amd64/sbin/squid -d 5

[2.1-RELEASE][root@noc]/root(22): 2013/09/27 00:46:19 kid1| Starting Squid Cache version 3.3.8 for amd64-portbld-freebsd8.3...
2013/09/27 00:46:19 kid1| Process ID 77987
2013/09/27 00:46:19 kid1| Process Roles: worker
2013/09/27 00:46:19 kid1| With 9799 file descriptors available
2013/09/27 00:46:19 kid1| Initializing IP Cache...
2013/09/27 00:46:19 kid1| DNS Socket created at [::], FD 7
2013/09/27 00:46:19 kid1| DNS Socket created at 0.0.0.0, FD 8
2013/09/27 00:46:19 kid1| Adding domain domain.com.br from /etc/resolv.conf
2013/09/27 00:46:19 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2013/09/27 00:46:19 kid1| Adding nameserver 8.8.8.8 from /etc/resolv.conf
2013/09/27 00:46:19 kid1| Adding nameserver 8.8.4.4 from /etc/resolv.conf
2013/09/27 00:46:19 kid1| Adding nameserver 200.176.2.12 from /etc/resolv.conf
2013/09/27 00:46:19 kid1| Logfile: opening log /var/squid/logs/access.log
2013/09/27 00:46:19 kid1| WARNING: log parameters now start with a module name. Use 'stdio:/var/squid/logs/access.log'
2013/09/27 00:46:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/09/27 00:46:19 kid1| Unlinkd pipe opened on FD 13
2013/09/27 00:46:19 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2013/09/27 00:46:19 kid1| Store logging disabled
2013/09/27 00:46:19 kid1| Swap maxSize 102400 + 8192 KB, estimated 8507 objects
2013/09/27 00:46:19 kid1| Target number of buckets: 425
2013/09/27 00:46:19 kid1| Using 8192 Store buckets
2013/09/27 00:46:19 kid1| Max Mem  size: 8192 KB
2013/09/27 00:46:19 kid1| Max Swap size: 102400 KB
2013/09/27 00:46:19 kid1| Rebuilding storage in /var/squid/cache (no log)
2013/09/27 00:46:19 kid1| Using Least Load store dir selection
2013/09/27 00:46:19 kid1| Current Directory is /root
2013/09/27 00:46:19 kid1| Loaded Icons.
2013/09/27 00:46:19 kid1| HTCP Disabled.
2013/09/27 00:46:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/09/27 00:46:19 kid1| sendto FD 17: (1) Operation not permitted
2013/09/27 00:46:19 kid1| ipcCreate: CHILD: hello write test failed

[2.1-RELEASE][root@noc]/root(22): netstat | more
Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 noc.3128 . CLOSED
tcp4 0 0 noc.https d-hall.47294 FIN_WAIT_2
tcp4 0 0 noc.https d-hall.47293 FIN_WAIT_2
tcp4 0 0 noc.ssh d-hall.48163 ESTABLISHED

O serviço sobe alegremente mas persistentemente CLOSED.

O que será que esse IPC está tentando fazer que não consegue ?
Algum outro processo não estava pronto ou conflito ?

Num outro servidor (com outro backup de configuração, ambos sem pacotes) deu certo. Estou tentando identificar alguma pista comparando as duas instalações mas no momento não sei bem o que procurar.

marcelloc · Sep 27, 2013, 12:53 PM

Habilite o ipv6, mate todos os processos do squid e salve a configuração.

Sep 27, 2013, 2:31 PM

eu fiz uma CA interna no pfSense e criei um certificado nela.
exportei os dois e instalei no root directories (algo assim).

sem o proxy no navegador eu consigo acessar o pfsense diboa, o certificado é validado direitinho! Contudo, ao configurar o proxy, o squid bloqueia a conexão!
isso aqui é do cache.log


2013/09/27 10:26:17 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 17: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol (1/-1)

isso é o que aparece na tela:


The following error was encountered while trying to retrieve the URL: https://192.168.0.50/*

    Failed to establish a secure connection to 192.168.0.50

The system returned:

    (92) Protocol error (TLS code: X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN)

    Self-signed SSL Certificate in chain: /C=BR/ST=DF/L=BSB/O=NTU/emailAddress=user@domain.com/CN=pfSense-ca

This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.

Your cache administrator is admin@localhost.

marcelloc · Sep 27, 2013, 2:53 PM

Marque a opção "accept certificate errors" para o usuário decidir se quer ou não acessar um site que não tem um certificado válido.

Sep 27, 2013, 3:01 PM

@marcelloc:

Marque a opção "accept certificate errors" para o usuário decidir se quer ou não acessar um site que não tem um certificado válido.

vlw, funfou "OK". agora apresenta o erro de certificado.
tem alguma forma de fazer o proxy reconhecer esse certificado (do próprio pfsense), para que as telas de erro do squid não apresentem erro de certificado?