Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

Deixe marcado somente autorizar sites.

Feche o browser, abra novamente e veja se o certificado está importado.

Guest

marcelão brigadão por não desistir de mim. rsrsdr e desculpa ter tomado seu tempo, coisa de leigo.
eu tinha excluído a ca e criado outra com outro nome e não mudei no squid.

marcelloc

tranquilo, acontece…  :)

Guest

marcelo resolvi o skype colocando estes ips  do skype em "Bypass proxy for these destination IPs" e o skype funcionou direitinho
segue os ips do skype : 188.129.195.0/24;5.64.136.0/24;187.170.24.0/24;78.134.9.0/24;64.4.23.0/24;212.187.172.0/24;213.199.179.0/24;64.94.18.0/24;184.25.203.0/24;65.55.64.0/24;204.9.163.0/24;91.190.216.0/24;65.55.71.0/24;65.55.223.0/24;157.56.52.0/24;111.221.77.0/24;157.55.130.0/24;91.190.218.0/24;149.13.32.0/24;65.54.165.0/24;65.55.223.0/24;91.190.216.0/24;184.25.203.0/24;64.94.18.0/24;212.161.8.0/24;78.141.177.0/24;157.55.56.0/24;193.95.154.0/24;157.55.235.0/24;111.221.74.0/24;193.95.154.0/24;157.55.130.0/24;71.58.242.0/24;204.9.163.0/24;184.25.201.0/24;78.141.179.0/24;71.92.79.0/24;65.55.223.0/24;76.89.177.0/24;204.9.163.0/24;212.187.172.0/24;184.25.203.0/24;193.120.199.0/24;91.190.216.0/24;157.55.130.0/24;184.25.203.0/24;157.55.235.0/24;65.55.223.0/24;84.250.183.0/24;66.171.55.0/24;78.141.179.0/24;157.55.130.0/24;184.25.201.0/24;65.54.187.0/24;199.7.71.0/24;184.30.37.0/24;65.54.186.0/24;79.86.239.0/24;212.8.166.0/24;64.4.23.0/24;111.221.77.0/24;91.190.218.0/24;65.55.158.0/24;157.56.52.0/24;157.55.130.0/24;157.56.149.0/24;189.86.41.0/24;239.255.255.0/24;239.255.255.0/24;

usando CA
agora como faço pra fazer o cache no squid do windows update e dos antivírus, marquei a opção de cache dinâmico mas não ta indo. tem alguma forma?

da o seguinte erro:

marcelloc

O cache dinamico é baseado em uma wiki do squid. mas o feedback da comunidade diz que não é eficiente.

Desabilite o cache dinamico e aumente o valor dos objetos em disco e em memoria na configuração de cache.

Guest

no squid desabilitei o cache dinâmico, aumentei :Hard disk cache size 100GB ,  objetos em disco 400MB , memoria na configuração de cache 4GB
continua dando o mesmo erro.

conforme este  site: http://nextsense.com.br/blog/archives/1866  na opção 5 não tem como tem  que fazer um bypass no squid, coisa que eu queria evitar, pois tenho a intenção de fazer o cache o Windows update

marcelloc

A questão dos ajustes de cache só melhoram a eficiência dele.

Se o windows update não está funcionando, você tem que ir nos logs para ver o que está sendo bloqueado.

Guest

marcelo não sei identificar ou achar erros no log dos squid tem como vc analisar e ver o que está dando errado?

o meu firewall está todo aberto, quando desativo a função ssl o  update funciona quanto ativo da erro segue os logs do squid quando o ssl está ativado e desativado no momento do update.

SSL desativado

1383927376.499    525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/65.55.53.190 text/html
1383927380.692    404 192.168.1.102 TCP_MISS/200 3373 POST https://wer.microsoft.com/Responses/v1.0/604/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927382.771    197 192.168.1.102 TCP_MISS/200 4495 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
1383927382.985    211 192.168.1.102 TCP_MISS/200 946 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
1383927383.483    381 192.168.1.102 TCP_MISS/200 3349 POST https://wer.microsoft.com/Responses/v1.0/2507/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927386.978    297 192.168.1.102 TCP_MISS/200 3323 POST https://wer.microsoft.com/Responses/v1.0/18281/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927390.346    427 192.168.1.102 TCP_MISS/200 3435 POST https://wer.microsoft.com/Responses/v1.0/20480/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927425.618    170 192.168.1.102 TCP_MISS/200 381 GET https://clients3.google.com/crsignal/client? calebe PINNED/74.125.234.198 application/json
1383927426.258    181 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927426.727    422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927426.807    53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927428.130    48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream

SSL ATIVADO

383927426.727    422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927426.807    53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927428.130    48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927437.414    525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/157.56.141.102 text/html
1383927463.048    214 192.168.1.102 TCP_MISS/200 934 POST https://safebrowsing.google.com/safebrowsing/downloads? calebe PINNED/173.194.37.1 application/vnd.google.safebrowsing-update
1383927463.229    51 192.168.1.102 TCP_MISS/200 4163 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChVnb29nLWJhZGJpbnVybC1zaGF2YXIQABiXlwEgoJcBKgWdSwAADzIFl0sAAD8 calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927463.274    40 192.168.1.102 TCP_MISS/200 3872 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAYh_AHIJDwBzIGB_gBAP8D calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927463.315    38 192.168.1.102 TCP_MISS/200 2766 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGPG-EiDAvxIqDnSfBAD___________8fMgVxnwQABw calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927505.661 899266 192.168.1.102 TCP_MISS/200 386 POST https://dub-m.hotmail.com/Microsoft-Server-ActiveSync? calebe PINNED/157.56.194.7 application/vnd.ms-sync.wbxml
1383927514.732    346 192.168.1.102 TCP_MISS/200 1158 POST http://tools.google.com/service/update2? calebe HIER_DIRECT/173.194.37.8 text/xml
1383927570.827    130 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
1383927571.301    445 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927571.371    43 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
1383927571.734    48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream

marcelloc

Só vi TCP_MISS/200 nos logs o que indica que o squid não está bloqueando nada.

Guest

mas porque quando eu desativo ssl o update funciona?
to quase desistindo.rsrsdrs ficquei com dor de cabeça ontem 2 vezes.

marcelloc

@calebepereira@hotmail.com:

mas porque quando eu desativo ssl o update funciona?

Tem coisas que nem a Microsoft explica!

gustavoaramina

Olá, eu instalei o pfsense e o squid 3.
consigo fazer bloqueios digitando enderecos na blacklist porem o facebook com https passa.
voce poderia me explicar como faço parar bloquear?
obrigado

marcelloc

@gustavoaramina:

voce poderia me explicar como faço parar bloquear?

Com proxy transparente, só habilitando o filtro de ssl e instalando o certificado em todas as máquinas.

Com proxy não transparente(e sem filtro de ssl), você recebe uma mensagem de conexão recusada pelo proxy quando tenta acessar um sites https bloqueado.

gustavoaramina

como que eu habilito o filtro de ssl e instalo esse certificado nas maquinas?
Obrigado

marcelloc

Acabei de compilar e subir o squid 3.3.10 (amd64 somente) para o meu repositório.

Retirei da compilação a autenticação SASL. Desta forma não é necessário baixar as libs do freebsd que não estão no pfsense.

gst.freitas

desistiu de aplicar o filtro ssl para https ?

marcelloc

@gst.freitas:

desistiu de aplicar o filtro ssl para https ?

Não, ele continua lá. Só retirei a autenticação SASL

Guest

estou para ativar esta semana um proxy com autenticação ssl em um departamente de universidade federal e estou tendo problemas com alguns sites https mesmo com o certificado instalado.
segue o erro

ERROR

The requested URL could not be retrieved

O seguinte erro foi encontrado ao tentar recuperar a URL: ://wwws.cnpq.br:443

Falha ao estabelecer uma conexão segura com 200.130.33.7

The system returned:

(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA

Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

Seu administrador do cache é calebe.pereira@ufes.br.

Gerado Tue, 03 Dec 2013 17:41:23 GMT por localhost (squid/3.3.8)

log squid:

Squid Logs
Date IP Status Address User Destination
03.12.2013 16:00:49 192.168.200.31 TCP_MISS/200 http://su.ff.avast.com/R/A0YKIDBkMWMzNmMyZjk3MjRiOTZhOThkNmE3N2NlMzVmNDRmEgQAAxITGNgBIgEFKgcIBBDI6_kcKgQIAxAAMgcIABAAGIAC calebe 77.234.43.60
03.12.2013 16:00:33 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 16:00:32 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 16:00:31 192.168.200.31 NONE/503 https://wwws.cnpq.br/favicon.ico - -
03.12.2013 16:00:30 192.168.200.31 NONE/503 https://wwws.cnpq.br/cvlattesweb/pkg_login.prc_form - -
03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 15:59:16 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
SquidGuard Logs

marcelloc

marcou as opções de aceitar erros de certificado.

Você pode deixar o cliente escolher se acessa ou não um site com ssl genérico.

Guest

ok deu certo brigadooo