• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

Scheduled Pinned Locked Moved Portuguese
593 Posts 129 Posters 360.7k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    marcelloc
    last edited by Nov 8, 2013, 7:11 PM

    @calebepereira@hotmail.com:

    mas porque quando eu desativo ssl o update funciona?

    Tem coisas que nem a Microsoft explica!

    Treinamentos de Elite: http://sys-squad.com

    Help a community developer! ;D

    1 Reply Last reply Reply Quote 0
    • G
      gustavoaramina
      last edited by Nov 13, 2013, 4:50 PM

      Olá, eu instalei o pfsense e o squid 3.
      consigo fazer bloqueios digitando enderecos na blacklist porem o facebook com https passa.
      voce poderia me explicar como faço parar bloquear?
      obrigado

      1 Reply Last reply Reply Quote 0
      • M
        marcelloc
        last edited by Nov 13, 2013, 5:38 PM

        @gustavoaramina:

        voce poderia me explicar como faço parar bloquear?

        Com proxy transparente, só habilitando o filtro de ssl e instalando o certificado em todas as máquinas.

        Com proxy não transparente(e sem filtro de ssl), você recebe uma mensagem de conexão recusada pelo proxy quando tenta acessar um sites https bloqueado.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • G
          gustavoaramina
          last edited by Nov 13, 2013, 7:46 PM

          como que eu habilito o filtro de ssl e instalo esse certificado nas maquinas?
          Obrigado

          1 Reply Last reply Reply Quote 0
          • M
            marcelloc
            last edited by Nov 19, 2013, 7:05 PM

            Acabei de compilar e subir o squid 3.3.10 (amd64 somente) para o meu repositório.

            Retirei da compilação a autenticação SASL. Desta forma não é necessário baixar as libs do freebsd que não estão no pfsense.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • G
              gst.freitas
              last edited by Nov 19, 2013, 7:41 PM

              desistiu de aplicar o filtro ssl para https ?

              1 Reply Last reply Reply Quote 0
              • M
                marcelloc
                last edited by Nov 19, 2013, 9:40 PM

                @gst.freitas:

                desistiu de aplicar o filtro ssl para https ?

                Não, ele continua lá. Só retirei a autenticação SASL

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • ?
                  Guest
                  last edited by Dec 3, 2013, 6:00 PM Dec 3, 2013, 5:50 PM

                  estou para ativar esta semana um proxy com autenticação ssl em um departamente de universidade federal e estou tendo problemas com alguns sites https mesmo com o certificado instalado.
                  segue o erro

                  ERROR

                  The requested URL could not be retrieved

                  O seguinte erro foi encontrado ao tentar recuperar a URL: ://wwws.cnpq.br:443

                  Falha ao estabelecer uma conexão segura com 200.130.33.7

                  The system returned:

                  (92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
                  SSL Certficate error: certificate issuer (CA) not known: /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA

                  Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

                  Seu administrador do cache é calebe.pereira@ufes.br.

                  Gerado Tue, 03 Dec 2013 17:41:23 GMT por localhost (squid/3.3.8)

                  log squid:

                  Squid Logs
                  Date IP Status Address User Destination
                  03.12.2013 16:00:49 192.168.200.31 TCP_MISS/200 http://su.ff.avast.com/R/A0YKIDBkMWMzNmMyZjk3MjRiOTZhOThkNmE3N2NlMzVmNDRmEgQAAxITGNgBIgEFKgcIBBDI6_kcKgQIAxAAMgcIABAAGIAC calebe 77.234.43.60
                  03.12.2013 16:00:33 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
                  03.12.2013 16:00:32 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
                  03.12.2013 16:00:31 192.168.200.31 NONE/503 https://wwws.cnpq.br/favicon.ico - -
                  03.12.2013 16:00:30 192.168.200.31 NONE/503 https://wwws.cnpq.br/cvlattesweb/pkg_login.prc_form - -
                  03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
                  03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
                  03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
                  03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
                  03.12.2013 15:59:16 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
                  SquidGuard Logs

                  1 Reply Last reply Reply Quote 0
                  • M
                    marcelloc
                    last edited by Dec 3, 2013, 7:35 PM

                    marcou as opções de aceitar erros de certificado.

                    Você pode deixar o cliente escolher se acessa ou não um site com ssl genérico.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • ?
                      Guest
                      last edited by Dec 3, 2013, 9:38 PM

                      ok deu certo brigadooo

                      1 Reply Last reply Reply Quote 0
                      • M
                        marcelloc
                        last edited by Dec 4, 2013, 2:50 AM

                        @calebepereira@hotmail.com:

                        ok deu certo brigadooo

                        Leia com atenção e teste o que você marcou para não ficar vulnerável a sites forjados ou comprometidos

                        Accept remote server certificate passa o erro do site para o usuário
                        Do not verify remote certificate ignora o erro do site e abre sem avisar ou criticar nada

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • M
                          marcelloc
                          last edited by Dec 4, 2013, 2:52 AM

                          Pelo menos em ambiente de testes, subi um pfsense 2.1 virtualizado com vmxnet3 e instalei o squid3-dev 3.3.10 e o serivço subiu tranquilo sem a necessidade do ipv6.

                          As libs infelizmente ainda são necessárias.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • G
                            guitarcleiton
                            last edited by Dec 5, 2013, 11:11 AM

                            Bom dia!!

                            Atualizei o squid-dev pelo proprio pfsense, depois instalei as bibliotecas faltantes do primeiro post.

                            o squid esta de boa mas o squidguard não sobe, o que deve ser feito para que ele inicie?

                            Grato!

                            Analista de Sistemas
                            Bacharel em Sistemas de Informação

                            https://cleiton.tech.blog/

                            1 Reply Last reply Reply Quote 0
                            • M
                              marcelloc
                              last edited by Dec 5, 2013, 11:40 AM

                              @guitarcleiton:

                              o squid esta de boa mas o squidguard não sobe, o que deve ser feito para que ele inicie?

                              A partir do squid 3, o squidguard é chamado sob demanda. Ele só sobe quando tem cliente conectado no squid.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • G
                                Gian
                                last edited by Dec 5, 2013, 7:33 PM

                                Boa tarde Marcelloc,

                                Após atualizar para a versão 3.3.10 aparecem várias mensagens de warning no log:

                                
                                2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
                                2013/12/05 17:12:00 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt
                                2013/12/05 17:12:00 kid1| Unable to load default error language files. Reset to backups.
                                2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
                                2013/12/05 17:12:00 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt
                                2013/12/05 17:12:00 kid1| WARNING: failed to find or read error text file error-details.txt
                                2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
                                2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
                                
                                

                                Dei uma pesquisada na net, mas não achei nada que possa resolver, pelo que encontrei é um problema com o openssl, mas que deveria estar corrigido nesta versão do Squid.
                                http://bugs.squid-cache.org/show_bug.cgi?id=3936

                                Sabe o que poderia ser?

                                abraço!

                                1 Reply Last reply Reply Quote 0
                                • M
                                  marcelloc
                                  last edited by Dec 5, 2013, 8:57 PM

                                  comenta estas entradas no arquivo.

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • C
                                    Coutinho
                                    last edited by Dec 13, 2013, 4:29 PM

                                    Olá Marcello,

                                    Gostei bastante dessa versão do Squid3. Porém estou com algumas duvidas.

                                    1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?

                                    2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?

                                    Grato, desde já.

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      marcelloc
                                      last edited by Dec 13, 2013, 5:57 PM

                                      @Coutinho:

                                      1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?

                                      Só precisa deixar ele filtrando o trafego ssl em modo transparente. TOR, Ultrasurf, etc usam a 443 mas só ssl, mas não http.

                                      @Coutinho:

                                      2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?

                                      Sim, estou apanhando disso ainda. Tentei com e-cap mas da erro de compilação e o I-cap ta dando crash quando chama o clamav.

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • C
                                        Coutinho
                                        last edited by Dec 14, 2013, 9:00 PM

                                        Caro Marcelo,

                                        Minha configuração está como nos anexos. Poderia dizer o que há de errado? É necessário criar alguma outra regra ou tirar?  :-\

                                        Como falei, o filtro de ssl parece está funcionando, porém o Ultrasurf está funcionando normalmente. Com o Windows Update foi necessário colocar no bypass, mas dropbox funcionou normal…

                                        Há alguma outra configuração que eu possa fazer?

                                        Grato mais uma vez.

                                        ![conf 1.png](/public/imported_attachments/1/conf 1.png)
                                        ![conf 1.png_thumb](/public/imported_attachments/1/conf 1.png_thumb)
                                        ![conf 2.png](/public/imported_attachments/1/conf 2.png)
                                        ![conf 2.png_thumb](/public/imported_attachments/1/conf 2.png_thumb)
                                        ![conf 3.png](/public/imported_attachments/1/conf 3.png)
                                        ![conf 3.png_thumb](/public/imported_attachments/1/conf 3.png_thumb)

                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          marcelloc
                                          last edited by Dec 16, 2013, 6:35 PM

                                          Sua regra na lan simplesmente libera qualquer acesso a internet em qualquer porta.

                                          Enquanto você não mudar isso, qualquer "pula firewall" vai funcionar.

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received