Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 402.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • marcellocM
      marcelloc
      last edited by

      Deixe marcado somente autorizar sites.

      Feche o browser, abra novamente e veja se o certificado está importado.

      Treinamentos de Elite: http://sys-squad.com

      Help a community developer! ;D

      1 Reply Last reply Reply Quote 0
      • ?
        Guest
        last edited by

        marcelão brigadão por não desistir de mim. rsrsdr e desculpa ter tomado seu tempo, coisa de leigo.
        eu tinha excluído a ca e criado outra com outro nome e não mudei no squid.

        1 Reply Last reply Reply Quote 0
        • marcellocM
          marcelloc
          last edited by

          tranquilo, acontece…  :)

          Treinamentos de Elite: http://sys-squad.com

          Help a community developer! ;D

          1 Reply Last reply Reply Quote 0
          • ?
            Guest
            last edited by

            marcelo resolvi o skype colocando estes ips  do skype em "Bypass proxy for these destination IPs" e o skype funcionou direitinho
            segue os ips do skype : 188.129.195.0/24;5.64.136.0/24;187.170.24.0/24;78.134.9.0/24;64.4.23.0/24;212.187.172.0/24;213.199.179.0/24;64.94.18.0/24;184.25.203.0/24;65.55.64.0/24;204.9.163.0/24;91.190.216.0/24;65.55.71.0/24;65.55.223.0/24;157.56.52.0/24;111.221.77.0/24;157.55.130.0/24;91.190.218.0/24;149.13.32.0/24;65.54.165.0/24;65.55.223.0/24;91.190.216.0/24;184.25.203.0/24;64.94.18.0/24;212.161.8.0/24;78.141.177.0/24;157.55.56.0/24;193.95.154.0/24;157.55.235.0/24;111.221.74.0/24;193.95.154.0/24;157.55.130.0/24;71.58.242.0/24;204.9.163.0/24;184.25.201.0/24;78.141.179.0/24;71.92.79.0/24;65.55.223.0/24;76.89.177.0/24;204.9.163.0/24;212.187.172.0/24;184.25.203.0/24;193.120.199.0/24;91.190.216.0/24;157.55.130.0/24;184.25.203.0/24;157.55.235.0/24;65.55.223.0/24;84.250.183.0/24;66.171.55.0/24;78.141.179.0/24;157.55.130.0/24;184.25.201.0/24;65.54.187.0/24;199.7.71.0/24;184.30.37.0/24;65.54.186.0/24;79.86.239.0/24;212.8.166.0/24;64.4.23.0/24;111.221.77.0/24;91.190.218.0/24;65.55.158.0/24;157.56.52.0/24;157.55.130.0/24;157.56.149.0/24;189.86.41.0/24;239.255.255.0/24;239.255.255.0/24;

            usando CA
            agora como faço pra fazer o cache no squid do windows update e dos antivírus, marquei a opção de cache dinâmico mas não ta indo. tem alguma forma?

            da o seguinte erro:

            update.jpg
            update.jpg_thumb

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              O cache dinamico é baseado em uma wiki do squid. mas o feedback da comunidade diz que não é eficiente.

              Desabilite o cache dinamico e aumente o valor dos objetos em disco e em memoria na configuração de cache.

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • ?
                Guest
                last edited by

                no squid desabilitei o cache dinâmico, aumentei :Hard disk cache size 100GB ,  objetos em disco 400MB , memoria na configuração de cache 4GB
                continua dando o mesmo erro.

                conforme este  site: http://nextsense.com.br/blog/archives/1866  na opção 5 não tem como tem  que fazer um bypass no squid, coisa que eu queria evitar, pois tenho a intenção de fazer o cache o Windows update

                update.jpg
                update.jpg_thumb

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  A questão dos ajustes de cache só melhoram a eficiência dele.

                  Se o windows update não está funcionando, você tem que ir nos logs para ver o que está sendo bloqueado.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • ?
                    Guest
                    last edited by

                    marcelo não sei identificar ou achar erros no log dos squid tem como vc analisar e ver o que está dando errado?

                    o meu firewall está todo aberto, quando desativo a função ssl o  update funciona quanto ativo da erro segue os logs do squid quando o ssl está ativado e desativado no momento do update.

                    SSL desativado

                    1383927376.499    525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/65.55.53.190 text/html
                    1383927380.692    404 192.168.1.102 TCP_MISS/200 3373 POST https://wer.microsoft.com/Responses/v1.0/604/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
                    1383927382.771    197 192.168.1.102 TCP_MISS/200 4495 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
                    1383927382.985    211 192.168.1.102 TCP_MISS/200 946 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
                    1383927383.483    381 192.168.1.102 TCP_MISS/200 3349 POST https://wer.microsoft.com/Responses/v1.0/2507/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
                    1383927386.978    297 192.168.1.102 TCP_MISS/200 3323 POST https://wer.microsoft.com/Responses/v1.0/18281/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
                    1383927390.346    427 192.168.1.102 TCP_MISS/200 3435 POST https://wer.microsoft.com/Responses/v1.0/20480/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
                    1383927425.618    170 192.168.1.102 TCP_MISS/200 381 GET https://clients3.google.com/crsignal/client? calebe PINNED/74.125.234.198 application/json
                    1383927426.258    181 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
                    1383927426.727    422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
                    1383927426.807    53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
                    1383927428.130    48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream

                    SSL ATIVADO

                    383927426.727    422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
                    1383927426.807    53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
                    1383927428.130    48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
                    1383927437.414    525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/157.56.141.102 text/html
                    1383927463.048    214 192.168.1.102 TCP_MISS/200 934 POST https://safebrowsing.google.com/safebrowsing/downloads? calebe PINNED/173.194.37.1 application/vnd.google.safebrowsing-update
                    1383927463.229    51 192.168.1.102 TCP_MISS/200 4163 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChVnb29nLWJhZGJpbnVybC1zaGF2YXIQABiXlwEgoJcBKgWdSwAADzIFl0sAAD8 calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
                    1383927463.274    40 192.168.1.102 TCP_MISS/200 3872 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAYh_AHIJDwBzIGB_gBAP8D calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
                    1383927463.315    38 192.168.1.102 TCP_MISS/200 2766 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGPG-EiDAvxIqDnSfBAD___________8fMgVxnwQABw calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
                    1383927505.661 899266 192.168.1.102 TCP_MISS/200 386 POST https://dub-m.hotmail.com/Microsoft-Server-ActiveSync? calebe PINNED/157.56.194.7 application/vnd.ms-sync.wbxml
                    1383927514.732    346 192.168.1.102 TCP_MISS/200 1158 POST http://tools.google.com/service/update2? calebe HIER_DIRECT/173.194.37.8 text/xml
                    1383927570.827    130 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
                    1383927571.301    445 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
                    1383927571.371    43 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
                    1383927571.734    48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      Só vi TCP_MISS/200 nos logs o que indica que o squid não está bloqueando nada.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • ?
                        Guest
                        last edited by

                        mas porque quando eu desativo ssl o update funciona?
                        to quase desistindo.rsrsdrs ficquei com dor de cabeça ontem 2 vezes.

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          @calebepereira@hotmail.com:

                          mas porque quando eu desativo ssl o update funciona?

                          Tem coisas que nem a Microsoft explica!

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • G
                            gustavoaramina
                            last edited by

                            Olá, eu instalei o pfsense e o squid 3.
                            consigo fazer bloqueios digitando enderecos na blacklist porem o facebook com https passa.
                            voce poderia me explicar como faço parar bloquear?
                            obrigado

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              @gustavoaramina:

                              voce poderia me explicar como faço parar bloquear?

                              Com proxy transparente, só habilitando o filtro de ssl e instalando o certificado em todas as máquinas.

                              Com proxy não transparente(e sem filtro de ssl), você recebe uma mensagem de conexão recusada pelo proxy quando tenta acessar um sites https bloqueado.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • G
                                gustavoaramina
                                last edited by

                                como que eu habilito o filtro de ssl e instalo esse certificado nas maquinas?
                                Obrigado

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  Acabei de compilar e subir o squid 3.3.10 (amd64 somente) para o meu repositório.

                                  Retirei da compilação a autenticação SASL. Desta forma não é necessário baixar as libs do freebsd que não estão no pfsense.

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gst.freitas
                                    last edited by

                                    desistiu de aplicar o filtro ssl para https ?

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      @gst.freitas:

                                      desistiu de aplicar o filtro ssl para https ?

                                      Não, ele continua lá. Só retirei a autenticação SASL

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • ?
                                        Guest
                                        last edited by

                                        estou para ativar esta semana um proxy com autenticação ssl em um departamente de universidade federal e estou tendo problemas com alguns sites https mesmo com o certificado instalado.
                                        segue o erro

                                        ERROR

                                        The requested URL could not be retrieved

                                        O seguinte erro foi encontrado ao tentar recuperar a URL: ://wwws.cnpq.br:443

                                        Falha ao estabelecer uma conexão segura com 200.130.33.7

                                        The system returned:

                                        (92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
                                        SSL Certficate error: certificate issuer (CA) not known: /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA

                                        Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

                                        Seu administrador do cache é calebe.pereira@ufes.br.

                                        Gerado Tue, 03 Dec 2013 17:41:23 GMT por localhost (squid/3.3.8)

                                        log squid:

                                        Squid Logs
                                        Date IP Status Address User Destination
                                        03.12.2013 16:00:49 192.168.200.31 TCP_MISS/200 http://su.ff.avast.com/R/A0YKIDBkMWMzNmMyZjk3MjRiOTZhOThkNmE3N2NlMzVmNDRmEgQAAxITGNgBIgEFKgcIBBDI6_kcKgQIAxAAMgcIABAAGIAC calebe 77.234.43.60
                                        03.12.2013 16:00:33 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
                                        03.12.2013 16:00:32 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
                                        03.12.2013 16:00:31 192.168.200.31 NONE/503 https://wwws.cnpq.br/favicon.ico - -
                                        03.12.2013 16:00:30 192.168.200.31 NONE/503 https://wwws.cnpq.br/cvlattesweb/pkg_login.prc_form - -
                                        03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
                                        03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
                                        03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
                                        03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
                                        03.12.2013 15:59:16 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
                                        SquidGuard Logs

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          marcou as opções de aceitar erros de certificado.

                                          Você pode deixar o cliente escolher se acessa ou não um site com ssl genérico.

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • ?
                                            Guest
                                            last edited by

                                            ok deu certo brigadooo

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.