Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Marque a opção "accept certificate errors" para o usuário decidir se quer ou não acessar um site que não tem um certificado válido.
vlw, funfou "OK". agora apresenta o erro de certificado.
tem alguma forma de fazer o proxy reconhecer esse certificado (do próprio pfsense), para que as telas de erro do squid não apresentem erro de certificado? -
Instala o crt da ca em cada maquina.
Importe como ca confiável.
-
Instala o crt da ca em cada maquina.
Importe como ca confiável.
aí que está! eu já fiz isso!
Sem configurar o proxy no navegador o site não da erro nenhum de ssl. Funciona perfeitamente! Contudo ao configurar o proxy o erro de ssl começa a ser apresentado!
Estou testando isso acessando o pfSense com ssl ativado (https) e nas telas de erro do proxy. -
Neste caso deve ser necessário incluir o CRT da ca na lista de certificados raiz que o squid está lendo.
Não lembro de cabeça onde fica.
-
Habilite o ipv6, mate todos os processos do squid e salve a configuração.
Ia mesmo demorar para chegar nesse ponto. Agora funcionou certinho.
Pelo que entendi o squid tem algum tipo de suporte nativo a IPv6 que dependendo do contexto pode apresentar problema ao manipular sockets.
Se estiver fácil de apontar material de referência sobre esse assunto, estaria disposto a ler. -
Não sei se é dependência ou bug.
Tenho uma versão do squid 3.3.5 no meu repositório sem o ipv6 compilado e sobe tranquilo na 2.0.3 e 2.1
-
Neste caso deve ser necessário incluir o CRT da ca na lista de certificados raiz que o squid está lendo.
Não lembro de cabeça onde fica.
joguei os certificados dentro das pastas /usr/local/share/certs e /usr/pbi/squid-amd64/share/certs, mas não surtiu efeito.
já reiniciei o servidor pra ver, mas também nada. -
Exportou colando o hash no nome do certificado?
/usr/bin/openssl x509 -hash -noout -in /tmp/cert.pem
trecho do código do squid-dev que gera isso
if ($cert_count < 10){ conf_mount_rw(); #create ca-root hashes from ca-root-nss package log_error("Creating root certificate bundle hashes from the Mozilla Project"); $cas=file(SQUID_LOCALBASE.'/share/certs/ca-root-nss.crt'); $cert=0; foreach ($cas as $ca){ if (preg_match("/--BEGIN CERTIFICATE--/",$ca)) $cert=1; if ($cert == 1) $crt.=$ca; if (preg_match("/-END CERTIFICATE-/",$ca)){ file_put_contents("/tmp/cert.pem",$crt, LOCK_EX); $cert_hash=array(); exec("/usr/bin/openssl x509 -hash -noout -in /tmp/cert.pem",$cert_hash); file_put_contents(SQUID_LOCALBASE."/share/certs/".$cert_hash[0].".0",$crt,LOCK_EX); $crt=""; $cert=0; } } } -
Exportou colando o hash no nome do certificado?
/usr/bin/openssl x509 -hash -noout -in /tmp/cert.pem
trecho do código do squid-dev que gera isso
if ($cert_count < 10){ conf_mount_rw(); #create ca-root hashes from ca-root-nss package log_error("Creating root certificate bundle hashes from the Mozilla Project"); $cas=file(SQUID_LOCALBASE.'/share/certs/ca-root-nss.crt'); $cert=0; foreach ($cas as $ca){ if (preg_match("/--BEGIN CERTIFICATE--/",$ca)) $cert=1; if ($cert == 1) $crt.=$ca; if (preg_match("/-END CERTIFICATE-/",$ca)){ file_put_contents("/tmp/cert.pem",$crt, LOCK_EX); $cert_hash=array(); exec("/usr/bin/openssl x509 -hash -noout -in /tmp/cert.pem",$cert_hash); file_put_contents(SQUID_LOCALBASE."/share/certs/".$cert_hash[0].".0",$crt,LOCK_EX); $crt=""; $cert=0; } } }não fiz isso aí não! e acho que também não entendi isso aí!
eu somente colei os .crt nos diretórios supracitados! Eu ainda não entendi o que eu devo fazer com esse código aí! sry, but I'm a newbie! -
O que você tem no diretório dos certificados?
Um monte de arquivos ou só um?
Consegue ver que são certificados e que o nome do arquivo é o hash gerado pelo comando do openssl que passei no post anterior?
-
Amigos,
Não sei se estou fazendo certo.
Tentei a instalação do squid3.3.8 através do pkg_add porém apresenta um erro ao baixar, segundo o repositorio e-sac.siteseguro.ws, a versão do samba3.6.3.
Ele informa que o pacote samba3.6.13 não foi encontrado.
Li que na descrição do pacote , é visto que o nome do pacote não confere com o encontrado no site.
Queria saber se isso é proposital, para testes do desenvolvedor, ou se pode ser algum erro.
-
do meu repositório, use a 3.3.5
-
O que você tem no diretório dos certificados?
Um monte de arquivos ou só um?
Consegue ver que são certificados e que o nome do arquivo é o hash gerado pelo comando do openssl que passei no post anterior?
é isso que tenho nos diretórios que citei:
[2.1-RELEASE][root@megazord.ntu0]/root(3): ls -l /usr/local/share/certs/ total 852 -r--r--r-- 1 root wheel 846648 Sep 11 20:00 ca-root-nss.crt -rw-r--r-- 1 root wheel 1541 Sep 26 16:40 pfSense-crt.crt -rw-r--r-- 1 root wheel 1476 Sep 26 16:40 pfSense.crt [2.1-RELEASE][root@megazord.ntu0]/root(4): ls -l /usr/pbi/squid-amd64/share/certs/ total 1222 -rw-r--r-- 1 root wheel 1493 Sep 26 16:53 00673b5b.0 -rw-r--r-- 1 root wheel 1533 Sep 26 16:53 02b73561.0 -rw-r--r-- 1 root wheel 1489 Sep 26 16:53 052e396b.0 -rw-r--r-- 1 root wheel 1704 Sep 26 16:53 08aef7bb.0 -rw-r--r-- 1 root wheel 1346 Sep 26 16:53 0d188d89.0 -rw-r--r-- 1 root wheel 1424 Sep 26 16:53 10531352.0 -rw-r--r-- 1 root wheel 1354 Sep 26 16:53 111e6273.0 -rw-r--r-- 1 root wheel 1566 Sep 26 16:53 1155c94b.0 -rw-r--r-- 1 root wheel 1761 Sep 26 16:53 119afc2e.0 -rw-r--r-- 1 root wheel 1830 Sep 26 16:53 11a09b38.0 -rw-r--r-- 1 root wheel 1484 Sep 26 16:53 11f154d6.0 -rw-r--r-- 1 root wheel 1537 Sep 26 16:53 124bbd54.0 -rw-r--r-- 1 root wheel 1200 Sep 26 16:53 12d55845.0 -rw-r--r-- 1 root wheel 1436 Sep 26 16:53 1676090a.0 -rw-r--r-- 1 root wheel 1298 Sep 26 16:53 17b51fe6.0 -rw-r--r-- 1 root wheel 1460 Sep 26 16:53 1dac3003.0 -rw-r--r-- 1 root wheel 1948 Sep 26 16:53 1dcd6f4c.0 -rw-r--r-- 1 root wheel 1517 Sep 26 16:53 1df5a75f.0 -rw-r--r-- 1 root wheel 1407 Sep 26 16:53 1df5ec47.0 -rw-r--r-- 1 root wheel 1367 Sep 26 16:53 1e1eab7c.0 -rw-r--r-- 1 root wheel 1229 Sep 26 16:53 1e8e7201.0 -rw-r--r-- 1 root wheel 2594 Sep 26 16:53 1eb37bdf.0 -rw-r--r-- 1 root wheel 1935 Sep 26 16:53 21855f49.0 -rw-r--r-- 1 root wheel 1448 Sep 26 16:53 219d9499.0 -rw-r--r-- 1 root wheel 1468 Sep 26 16:53 23f4c490.0 -rw-r--r-- 1 root wheel 989 Sep 26 16:53 27af790d.0 -rw-r--r-- 1 root wheel 1679 Sep 26 16:53 2afc57aa.0 -rw-r--r-- 1 root wheel 1915 Sep 26 16:53 2d9dafe4.0 -rw-r--r-- 1 root wheel 834 Sep 26 16:53 2edf7016.0 -rw-r--r-- 1 root wheel 1411 Sep 26 16:53 2fa87019.0 -rw-r--r-- 1 root wheel 2017 Sep 26 16:53 2fb1850a.0 -rw-r--r-- 1 root wheel 2671 Sep 26 16:53 33815e15.0 -rw-r--r-- 1 root wheel 1318 Sep 26 16:53 343eb6cb.0 -rw-r--r-- 1 root wheel 1338 Sep 26 16:53 399e7759.0 -rw-r--r-- 1 root wheel 1428 Sep 26 16:53 3a3b02ce.0 -rw-r--r-- 1 root wheel 1261 Sep 26 16:53 3ad48a91.0 -rw-r--r-- 1 root wheel 1521 Sep 26 16:53 3c58f906.0 -rw-r--r-- 1 root wheel 2045 Sep 26 16:53 3c860d51.0 -rw-r--r-- 1 root wheel 2069 Sep 26 16:53 3d441de8.0 -rw-r--r-- 1 root wheel 1505 Sep 26 16:53 3e7271e8.0 -rw-r--r-- 1 root wheel 1513 Sep 26 16:53 40dc992e.0 -rw-r--r-- 1 root wheel 1826 Sep 26 16:53 418595b9.0 -rw-r--r-- 1 root wheel 2090 Sep 26 16:53 450c6e38.0 -rw-r--r-- 1 root wheel 2057 Sep 26 16:53 46b2fd3b.0 -rw-r--r-- 1 root wheel 2122 Sep 26 16:53 48a195d8.0 -rw-r--r-- 1 root wheel 875 Sep 26 16:53 4d654d1d.0 -rw-r--r-- 1 root wheel 1318 Sep 26 16:53 4e18c148.0 -rw-r--r-- 1 root wheel 1574 Sep 26 16:53 4fbd6bfa.0 -rw-r--r-- 1 root wheel 1399 Sep 26 16:53 5021a0a2.0 -rw-r--r-- 1 root wheel 2049 Sep 26 16:53 5046c355.0 -rw-r--r-- 1 root wheel 1700 Sep 26 16:53 524d9b43.0 -rw-r--r-- 1 root wheel 1529 Sep 26 16:53 56b8a0b6.0 -rw-r--r-- 1 root wheel 1241 Sep 26 16:53 57692373.0 -rw-r--r-- 1 root wheel 1452 Sep 26 16:53 58a44af1.0 -rw-r--r-- 1 root wheel 1143 Sep 26 16:53 594f1775.0 -rw-r--r-- 1 root wheel 1489 Sep 26 16:53 5a3f0ff8.0 -rw-r--r-- 1 root wheel 1895 Sep 26 16:53 5a5372fc.0 -rw-r--r-- 1 root wheel 2078 Sep 26 16:53 5cf9d536.0 -rw-r--r-- 1 root wheel 1281 Sep 26 16:53 5e4e69e7.0 -rw-r--r-- 1 root wheel 2049 Sep 26 16:53 5f47b495.0 -rw-r--r-- 1 root wheel 1476 Sep 26 16:53 60afe812.0 -rw-r--r-- 1 root wheel 1903 Sep 26 16:53 635ccfd5.0 -rw-r--r-- 1 root wheel 1505 Sep 26 16:53 67495436.0 -rw-r--r-- 1 root wheel 1350 Sep 26 16:53 69105f4f.0 -rw-r--r-- 1 root wheel 1411 Sep 26 16:53 6adf0799.0 -rw-r--r-- 1 root wheel 1119 Sep 26 16:53 6e8bf996.0 -rw-r--r-- 1 root wheel 1322 Sep 26 16:53 6fcc125d.0 -rw-r--r-- 1 root wheel 1212 Sep 26 16:53 72f369af.0 -rw-r--r-- 1 root wheel 1103 Sep 26 16:53 72fa7371.0 -rw-r--r-- 1 root wheel 948 Sep 26 16:53 74c26bd0.0 -rw-r--r-- 1 root wheel 1143 Sep 26 16:53 755f7420.0 -rw-r--r-- 1 root wheel 1517 Sep 26 16:53 75680d2e.0 -rw-r--r-- 1 root wheel 834 Sep 26 16:53 7651b327.0 -rw-r--r-- 1 root wheel 1513 Sep 26 16:53 76579174.0 -rw-r--r-- 1 root wheel 2004 Sep 26 16:53 7672ac4b.0 -rw-r--r-- 1 root wheel 1216 Sep 26 16:53 7999be0d.0 -rw-r--r-- 1 root wheel 1679 Sep 26 16:53 7a481e66.0 -rw-r--r-- 1 root wheel 2041 Sep 26 16:53 7a819ef2.0 -rw-r--r-- 1 root wheel 1066 Sep 26 16:53 7d3cd826.0 -rw-r--r-- 1 root wheel 1484 Sep 26 16:53 7d453d8f.0 -rw-r--r-- 1 root wheel 1367 Sep 26 16:53 81b9768f.0 -rw-r--r-- 1 root wheel 1915 Sep 26 16:53 82223c44.0 -rw-r--r-- 1 root wheel 2423 Sep 26 16:53 8317b10c.0 -rw-r--r-- 1 root wheel 1233 Sep 26 16:53 8470719d.0 -rw-r--r-- 1 root wheel 1440 Sep 26 16:53 84cba82f.0 -rw-r--r-- 1 root wheel 1399 Sep 26 16:53 85cde254.0 -rw-r--r-- 1 root wheel 1204 Sep 26 16:53 86212b19.0 -rw-r--r-- 1 root wheel 1939 Sep 26 16:53 87753b0d.0 -rw-r--r-- 1 root wheel 1176 Sep 26 16:53 882de061.0 -rw-r--r-- 1 root wheel 1216 Sep 26 16:53 895cad1a.0 -rw-r--r-- 1 root wheel 940 Sep 26 16:53 89c02a45.0 -rw-r--r-- 1 root wheel 3361 Sep 26 16:53 8c24b137.0 -rw-r--r-- 1 root wheel 1452 Sep 26 16:53 91739615.0 -rw-r--r-- 1 root wheel 2354 Sep 26 16:53 9339512a.0 -rw-r--r-- 1 root wheel 1935 Sep 26 16:53 9576d26b.0 -rw-r--r-- 1 root wheel 1354 Sep 26 16:53 95aff9e3.0 -rw-r--r-- 1 root wheel 1168 Sep 26 16:53 9685a493.0 -rw-r--r-- 1 root wheel 1269 Sep 26 16:53 9772ca32.0 -rw-r--r-- 1 root wheel 2098 Sep 26 16:53 9ab62355.0 -rw-r--r-- 1 root wheel 2033 Sep 26 16:53 9d6523ce.0 -rw-r--r-- 1 root wheel 1269 Sep 26 16:53 9dbefe7b.0 -rw-r--r-- 1 root wheel 1667 Sep 26 16:53 9ec3a561.0 -rw-r--r-- 1 root wheel 2585 Sep 26 16:53 9f533518.0 -rw-r--r-- 1 root wheel 1716 Sep 26 16:53 a0bc6fbb.0 -rw-r--r-- 1 root wheel 1155 Sep 26 16:53 a15b3b6b.0 -rw-r--r-- 1 root wheel 1476 Sep 26 16:53 a2df7ad7.0 -rw-r--r-- 1 root wheel 1224 Sep 26 16:53 a3896b44.0 -rw-r--r-- 1 root wheel 1143 Sep 26 16:53 a7605362.0 -rw-r--r-- 1 root wheel 940 Sep 26 16:53 a7d2cf64.0 -rw-r--r-- 1 root wheel 1249 Sep 26 16:53 ab5346f4.0 -rw-r--r-- 1 root wheel 2309 Sep 26 16:53 add67345.0 -rw-r--r-- 1 root wheel 1911 Sep 26 16:53 aeb67534.0 -rw-r--r-- 1 root wheel 1261 Sep 26 16:53 b0f3e76e.0 -rw-r--r-- 1 root wheel 1269 Sep 26 16:53 b7db1890.0 -rw-r--r-- 1 root wheel 1367 Sep 26 16:53 bc3f2570.0 -rw-r--r-- 1 root wheel 1066 Sep 26 16:53 bcdd5959.0 -rw-r--r-- 1 root wheel 1322 Sep 26 16:53 bda4cc84.0 -rw-r--r-- 1 root wheel 1354 Sep 26 16:53 bdacca6f.0 -rw-r--r-- 1 root wheel 1643 Sep 26 16:53 bf64f35b.0 -rw-r--r-- 1 root wheel 1103 Sep 26 16:53 c19d42c7.0 -rw-r--r-- 1 root wheel 1155 Sep 26 16:53 c215bc69.0 -rw-r--r-- 1 root wheel 1155 Sep 26 16:53 c33a80d4.0 -rw-r--r-- 1 root wheel 1383 Sep 26 16:53 c3a6a9ad.0 -rw-r--r-- 1 root wheel 1241 Sep 26 16:53 c51c224c.0 -rw-r--r-- 1 root wheel 1484 Sep 26 16:53 c527e4ab.0 -rw-r--r-- 1 root wheel 1444 Sep 26 16:53 c7e2a638.0 -rw-r--r-- 1 root wheel 2281 Sep 26 16:53 c8763593.0 -r--r--r-- 1 root wheel 846648 Jul 17 15:48 ca-root-nss.crt -rw-r--r-- 1 root wheel 1586 Sep 26 16:53 ccb919f9.0 -rw-r--r-- 1 root wheel 753 Sep 26 16:53 ccc52f49.0 -rw-r--r-- 1 root wheel 1354 Sep 26 16:53 cdaebb72.0 -rw-r--r-- 1 root wheel 1350 Sep 26 16:53 cf701eeb.0 -rw-r--r-- 1 root wheel 2167 Sep 26 16:53 d16a5865.0 -rw-r--r-- 1 root wheel 1505 Sep 26 16:53 d537fba6.0 -rw-r--r-- 1 root wheel 1261 Sep 26 16:53 d59297b8.0 -rw-r--r-- 1 root wheel 1468 Sep 26 16:53 d64f06f3.0 -rw-r--r-- 1 root wheel 1529 Sep 26 16:53 d66b55d9.0 -rw-r--r-- 1 root wheel 1537 Sep 26 16:53 d7746a63.0 -rw-r--r-- 1 root wheel 1480 Sep 26 16:53 d78a75c7.0 -rw-r--r-- 1 root wheel 1582 Sep 26 16:53 d8274e24.0 -rw-r--r-- 1 root wheel 1891 Sep 26 16:53 dbc54cab.0 -rw-r--r-- 1 root wheel 1127 Sep 26 16:53 ddc328ff.0 -rw-r--r-- 1 root wheel 1480 Sep 26 16:53 e268a4c5.0 -rw-r--r-- 1 root wheel 1204 Sep 26 16:53 e48193cf.0 -rw-r--r-- 1 root wheel 2090 Sep 26 16:53 e60bf0c0.0 -rw-r--r-- 1 root wheel 1935 Sep 26 16:53 e775ed2d.0 -rw-r--r-- 1 root wheel 932 Sep 26 16:53 e7b8d656.0 -rw-r--r-- 1 root wheel 1460 Sep 26 16:53 e8651083.0 -rw-r--r-- 1 root wheel 2041 Sep 26 16:53 ea169617.0 -rw-r--r-- 1 root wheel 1212 Sep 26 16:53 eb375c3e.0 -rw-r--r-- 1 root wheel 1740 Sep 26 16:53 ed524cf5.0 -rw-r--r-- 1 root wheel 1107 Sep 26 16:53 ed62f4e3.0 -rw-r--r-- 1 root wheel 1704 Sep 26 16:53 ee7cd6fb.0 -rw-r--r-- 1 root wheel 1927 Sep 26 16:53 ee90b008.0 -rw-r--r-- 1 root wheel 1066 Sep 26 16:53 f4996e82.0 -rw-r--r-- 1 root wheel 1614 Sep 26 16:53 f559733c.0 -rw-r--r-- 1 root wheel 1334 Sep 26 16:53 f58a60fe.0 -rw-r--r-- 1 root wheel 2715 Sep 26 16:53 f61bff45.0 -rw-r--r-- 1 root wheel 2106 Sep 26 16:53 f80cc7f6.0 -rw-r--r-- 1 root wheel 1318 Sep 26 16:53 fac084d7.0 -rw-r--r-- 1 root wheel 1732 Sep 26 16:53 facacbc6.0 -rw-r--r-- 1 root wheel 2329 Sep 26 16:53 fb126c6d.0 -rw-r--r-- 1 root wheel 1330 Sep 26 16:53 fde84897.0 -rw-r--r-- 1 root wheel 1302 Sep 26 16:53 ff588423.0 -rw-r--r-- 1 root wheel 1606 Sep 26 16:53 ff783690.0 -rw-r--r-- 1 root wheel 1541 Sep 26 16:40 pfSense-crt.crt -rw-r--r-- 1 root wheel 1476 Sep 26 16:40 pfSense.crteu executei aquele comando e peguei o hash. só não sei ao certo o que fazer com ele!
terei que renomear os certificados que eu fiz e colocar o hash como nome? -
Qual o caminho para a opção "man in middle" SSL? não encontrei.
-
Qual o caminho para a opção "man in middle" SSL? não encontrei.
Você deve estar usando o pacote errado.
a aba general do squid3-dev mostra todas as opções para a interceptação de ssl(SSL man in the middle Filtering)
-
Marcelo discupa a minha falta de conhecimento, mas preciso tirar algumas duvidas?
instalei o CA como confiável, funcionou no crome e no IE, não consigo fazer funcionar no mozila de jeito nenum , o skype não funciona
-
@calebepereira@hotmail.com:
não consigo fazer funcionar no mozila de jeito nenum
O procedimento de importação do mozila é via menu do aplicativo, não via importação de certificado do windows
@calebepereira@hotmail.com:
, o skype não funciona
O skype usa a porta 443 mas não é https. Se não me engano você precisa habilitar outra porta para o skype. O johnnybe publicou recentemente um doc sobre o squid3-dev
-
primeiramente vc está de parabens pela ferramente que desenvolvel.
achei o material do john http://nextsense.com.br/blog/archives/1866
eu já tinha tentando ativar pelo mozila, mas não consegui . Na verdade eu queria usar essa ferramenta para um hotspot wireless com proxy transparente, pois o wpad da problema com o Mozilla (não tenho um domínio) e não funciona no Android e Iphone, teria alguma forma de interceptar isso pelo captive portal conforme este site: http://blog.stefcho.eu/?p=814 tudo que passa pelo usuário logado é interceptado e identificado pelo pfsense ? ou isso que esta neste site é outra coisa.
me desculpa a minha falta de experiência e por tomar o seu tempo sei que vc é muito culpado
-
Qual o caminho para a opção "man in middle" SSL? não encontrei.
Você deve estar usando o pacote errado.
a aba general do squid3-dev mostra todas as opções para a interceptação de ssl(SSL man in the middle Filtering)
Estava usando o squid3, ele tambem aparecia uma mensagem falando do main-in-the-middle.
Instalei o dev e o serviço não iniciou, depois vi que tem que instalar umas bibliotecas.
removi ele e o icap e o clamav continuaram instalados, como remove-los?
vou tentar instalar o dev em um outro momento.
-
removi ele e o icap e o clamav continuaram instalados, como remove-los?
Qual versão de pfsense você está usando?
