Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

@calebepereira@hotmail.com:

não consigo fazer funcionar no mozila de jeito nenum

O procedimento de importação do mozila é via menu do aplicativo, não via importação de certificado do windows

@calebepereira@hotmail.com:

, o skype não funciona

O skype usa a porta 443 mas não é https. Se não me engano você precisa habilitar outra porta para o skype. O johnnybe publicou recentemente um doc sobre o squid3-dev

primeiramente vc está de parabens pela ferramente que desenvolvel.

achei o material do john http://nextsense.com.br/blog/archives/1866

eu já tinha tentando ativar pelo mozila, mas não consegui . Na verdade eu queria usar essa ferramenta para um hotspot wireless com proxy transparente, pois o wpad da problema com o Mozilla (não tenho um domínio) e não funciona no Android e Iphone, teria alguma forma de interceptar isso pelo captive portal conforme este site: http://blog.stefcho.eu/?p=814 tudo que passa pelo usuário logado é interceptado e identificado pelo pfsense ? ou isso que esta neste site é outra coisa.

me desculpa a minha falta de experiência e por tomar o seu tempo sei que vc é muito culpado

plichost

@marcelloc:

@plichost:

Qual o caminho para a opção "man in middle" SSL? não encontrei.

Você deve estar usando o pacote errado.

a aba general do squid3-dev mostra todas as opções para a interceptação de ssl(SSL man in the middle Filtering)

Estava usando o squid3, ele tambem aparecia uma mensagem falando do main-in-the-middle.

Instalei o dev e o serviço não iniciou, depois vi que tem que instalar umas bibliotecas.

removi ele e o icap e o clamav continuaram instalados, como remove-los?

vou tentar instalar o dev em um outro momento.

marcelloc

@plichost:

removi ele e o icap e o clamav continuaram instalados, como remove-los?

Qual versão de pfsense você está usando?

marcelloc

@calebepereira@hotmail.com:

este site: http://blog.stefcho.eu/?p=814 ou isso que esta neste site é outra coisa.

Este post mostra como deixar a tela do captive portal com https.

plichost

@marcelloc:

@plichost:

removi ele e o icap e o clamav continuaram instalados, como remove-los?

Qual versão de pfsense você está usando?

Tinha instalado o squid3-dev 3.3.8 pkg 2.2, junto ele instalou o iclav e o clamav, desisntalei e os dois anteriores continuam nos serviços.

retornei para o pacote squid3 3.1.20 pkg 2.0.6.

pfsense 2.1 amd64
squid 3.3.8
mozila 25.0

instalei o certificado digital o IE e crome, skype funcionou . entro no mozila instalo o certificado digital e fica dando o seguinte erro quanto tento entrar em algum site https:

quando tento entrar no gmail ou outlook.com pelo mozila da o seguinte erro:

O servidor accounts.google.com usa um certificado de segurança inválido. O certificado não é considerado confiável porque a cadeia do expedidor do certificado não foi fornecida. (Código do erro: sec_error_unknown_issuer)

O servidor login.live.com usa um certificado de segurança inválido. O certificado não é considerado confiável porque a cadeia do expedidor do certificado não foi fornecida. (Código do erro: sec_error_unknown_issuer)

exite alguma outra forma de instalar o certificado no mozila e funcione corretamente?

marcelloc

@calebepereira@hotmail.com:

exite alguma outra forma de instalar o certificado no mozila e funcione corretamente?

Aqui funcionou, importei como ca confiável.

deve ser a versão do meu mozila 25.0

marcelloc

Está colocando aqui?

firefox_certificate.png_thumb

percebi que vc esta usando linux com mozila, eu estou usando windows 7 64bits, mozila 25.0 estou adicionado o certificado e dando permissão de verificar site, emails e aplicações
já removi o mozila e instalei de novo e a mesma coisa

cert.jpg_thumb

marcelloc

Deixe marcado somente autorizar sites.

Feche o browser, abra novamente e veja se o certificado está importado.

marcelão brigadão por não desistir de mim. rsrsdr e desculpa ter tomado seu tempo, coisa de leigo.
eu tinha excluído a ca e criado outra com outro nome e não mudei no squid.

marcelloc

tranquilo, acontece… :)

marcelo resolvi o skype colocando estes ips do skype em "Bypass proxy for these destination IPs" e o skype funcionou direitinho
segue os ips do skype : 188.129.195.0/24;5.64.136.0/24;187.170.24.0/24;78.134.9.0/24;64.4.23.0/24;212.187.172.0/24;213.199.179.0/24;64.94.18.0/24;184.25.203.0/24;65.55.64.0/24;204.9.163.0/24;91.190.216.0/24;65.55.71.0/24;65.55.223.0/24;157.56.52.0/24;111.221.77.0/24;157.55.130.0/24;91.190.218.0/24;149.13.32.0/24;65.54.165.0/24;65.55.223.0/24;91.190.216.0/24;184.25.203.0/24;64.94.18.0/24;212.161.8.0/24;78.141.177.0/24;157.55.56.0/24;193.95.154.0/24;157.55.235.0/24;111.221.74.0/24;193.95.154.0/24;157.55.130.0/24;71.58.242.0/24;204.9.163.0/24;184.25.201.0/24;78.141.179.0/24;71.92.79.0/24;65.55.223.0/24;76.89.177.0/24;204.9.163.0/24;212.187.172.0/24;184.25.203.0/24;193.120.199.0/24;91.190.216.0/24;157.55.130.0/24;184.25.203.0/24;157.55.235.0/24;65.55.223.0/24;84.250.183.0/24;66.171.55.0/24;78.141.179.0/24;157.55.130.0/24;184.25.201.0/24;65.54.187.0/24;199.7.71.0/24;184.30.37.0/24;65.54.186.0/24;79.86.239.0/24;212.8.166.0/24;64.4.23.0/24;111.221.77.0/24;91.190.218.0/24;65.55.158.0/24;157.56.52.0/24;157.55.130.0/24;157.56.149.0/24;189.86.41.0/24;239.255.255.0/24;239.255.255.0/24;

usando CA
agora como faço pra fazer o cache no squid do windows update e dos antivírus, marquei a opção de cache dinâmico mas não ta indo. tem alguma forma?

da o seguinte erro:

update.jpg_thumb

marcelloc

O cache dinamico é baseado em uma wiki do squid. mas o feedback da comunidade diz que não é eficiente.

Desabilite o cache dinamico e aumente o valor dos objetos em disco e em memoria na configuração de cache.

no squid desabilitei o cache dinâmico, aumentei :Hard disk cache size 100GB , objetos em disco 400MB , memoria na configuração de cache 4GB
continua dando o mesmo erro.

conforme este site: http://nextsense.com.br/blog/archives/1866 na opção 5 não tem como tem que fazer um bypass no squid, coisa que eu queria evitar, pois tenho a intenção de fazer o cache o Windows update

update.jpg_thumb

marcelloc

A questão dos ajustes de cache só melhoram a eficiência dele.

Se o windows update não está funcionando, você tem que ir nos logs para ver o que está sendo bloqueado.

marcelo não sei identificar ou achar erros no log dos squid tem como vc analisar e ver o que está dando errado?

o meu firewall está todo aberto, quando desativo a função ssl o update funciona quanto ativo da erro segue os logs do squid quando o ssl está ativado e desativado no momento do update.

SSL desativado

1383927376.499 525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/65.55.53.190 text/html
1383927380.692 404 192.168.1.102 TCP_MISS/200 3373 POST https://wer.microsoft.com/Responses/v1.0/604/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927382.771 197 192.168.1.102 TCP_MISS/200 4495 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
1383927382.985 211 192.168.1.102 TCP_MISS/200 946 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
1383927383.483 381 192.168.1.102 TCP_MISS/200 3349 POST https://wer.microsoft.com/Responses/v1.0/2507/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927386.978 297 192.168.1.102 TCP_MISS/200 3323 POST https://wer.microsoft.com/Responses/v1.0/18281/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927390.346 427 192.168.1.102 TCP_MISS/200 3435 POST https://wer.microsoft.com/Responses/v1.0/20480/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927425.618 170 192.168.1.102 TCP_MISS/200 381 GET https://clients3.google.com/crsignal/client? calebe PINNED/74.125.234.198 application/json
1383927426.258 181 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927426.727 422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927426.807 53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927428.130 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream

SSL ATIVADO

383927426.727 422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927426.807 53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927428.130 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927437.414 525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/157.56.141.102 text/html
1383927463.048 214 192.168.1.102 TCP_MISS/200 934 POST https://safebrowsing.google.com/safebrowsing/downloads? calebe PINNED/173.194.37.1 application/vnd.google.safebrowsing-update
1383927463.229 51 192.168.1.102 TCP_MISS/200 4163 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChVnb29nLWJhZGJpbnVybC1zaGF2YXIQABiXlwEgoJcBKgWdSwAADzIFl0sAAD8 calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927463.274 40 192.168.1.102 TCP_MISS/200 3872 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAYh_AHIJDwBzIGB_gBAP8D calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927463.315 38 192.168.1.102 TCP_MISS/200 2766 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGPG-EiDAvxIqDnSfBAD___________8fMgVxnwQABw calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927505.661 899266 192.168.1.102 TCP_MISS/200 386 POST https://dub-m.hotmail.com/Microsoft-Server-ActiveSync? calebe PINNED/157.56.194.7 application/vnd.ms-sync.wbxml
1383927514.732 346 192.168.1.102 TCP_MISS/200 1158 POST http://tools.google.com/service/update2? calebe HIER_DIRECT/173.194.37.8 text/xml
1383927570.827 130 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
1383927571.301 445 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927571.371 43 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
1383927571.734 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream

marcelloc

Só vi TCP_MISS/200 nos logs o que indica que o squid não está bloqueando nada.