Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

@gst.freitas:

desistiu de aplicar o filtro ssl para https ?

Não, ele continua lá. Só retirei a autenticação SASL

Guest

estou para ativar esta semana um proxy com autenticação ssl em um departamente de universidade federal e estou tendo problemas com alguns sites https mesmo com o certificado instalado.
segue o erro

ERROR

The requested URL could not be retrieved

O seguinte erro foi encontrado ao tentar recuperar a URL: ://wwws.cnpq.br:443

Falha ao estabelecer uma conexão segura com 200.130.33.7

The system returned:

(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA

Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

Seu administrador do cache é calebe.pereira@ufes.br.

Gerado Tue, 03 Dec 2013 17:41:23 GMT por localhost (squid/3.3.8)

log squid:

Squid Logs
Date IP Status Address User Destination
03.12.2013 16:00:49 192.168.200.31 TCP_MISS/200 http://su.ff.avast.com/R/A0YKIDBkMWMzNmMyZjk3MjRiOTZhOThkNmE3N2NlMzVmNDRmEgQAAxITGNgBIgEFKgcIBBDI6_kcKgQIAxAAMgcIABAAGIAC calebe 77.234.43.60
03.12.2013 16:00:33 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 16:00:32 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 16:00:31 192.168.200.31 NONE/503 https://wwws.cnpq.br/favicon.ico - -
03.12.2013 16:00:30 192.168.200.31 NONE/503 https://wwws.cnpq.br/cvlattesweb/pkg_login.prc_form - -
03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 15:59:16 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
SquidGuard Logs

marcelloc

marcou as opções de aceitar erros de certificado.

Você pode deixar o cliente escolher se acessa ou não um site com ssl genérico.

Guest

ok deu certo brigadooo

marcelloc

@calebepereira@hotmail.com:

ok deu certo brigadooo

Leia com atenção e teste o que você marcou para não ficar vulnerável a sites forjados ou comprometidos

Accept remote server certificate passa o erro do site para o usuário
Do not verify remote certificate ignora o erro do site e abre sem avisar ou criticar nada

marcelloc

Pelo menos em ambiente de testes, subi um pfsense 2.1 virtualizado com vmxnet3 e instalei o squid3-dev 3.3.10 e o serivço subiu tranquilo sem a necessidade do ipv6.

As libs infelizmente ainda são necessárias.

guitarcleiton

Bom dia!!

Atualizei o squid-dev pelo proprio pfsense, depois instalei as bibliotecas faltantes do primeiro post.

o squid esta de boa mas o squidguard não sobe, o que deve ser feito para que ele inicie?

Grato!

marcelloc

@guitarcleiton:

o squid esta de boa mas o squidguard não sobe, o que deve ser feito para que ele inicie?

A partir do squid 3, o squidguard é chamado sob demanda. Ele só sobe quando tem cliente conectado no squid.

Gian

Boa tarde Marcelloc,

Após atualizar para a versão 3.3.10 aparecem várias mensagens de warning no log:

2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
2013/12/05 17:12:00 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt
2013/12/05 17:12:00 kid1| Unable to load default error language files. Reset to backups.
2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
2013/12/05 17:12:00 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt
2013/12/05 17:12:00 kid1| WARNING: failed to find or read error text file error-details.txt
2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE

Dei uma pesquisada na net, mas não achei nada que possa resolver, pelo que encontrei é um problema com o openssl, mas que deveria estar corrigido nesta versão do Squid.
http://bugs.squid-cache.org/show_bug.cgi?id=3936

Sabe o que poderia ser?

abraço!

marcelloc

comenta estas entradas no arquivo.

Coutinho

Olá Marcello,

Gostei bastante dessa versão do Squid3. Porém estou com algumas duvidas.

1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?

2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?

Grato, desde já.

marcelloc

@Coutinho:

1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?

Só precisa deixar ele filtrando o trafego ssl em modo transparente. TOR, Ultrasurf, etc usam a 443 mas só ssl, mas não http.

@Coutinho:

2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?

Sim, estou apanhando disso ainda. Tentei com e-cap mas da erro de compilação e o I-cap ta dando crash quando chama o clamav.

Coutinho

Caro Marcelo,

Minha configuração está como nos anexos. Poderia dizer o que há de errado? É necessário criar alguma outra regra ou tirar?  :-\

Como falei, o filtro de ssl parece está funcionando, porém o Ultrasurf está funcionando normalmente. Com o Windows Update foi necessário colocar no bypass, mas dropbox funcionou normal…

Há alguma outra configuração que eu possa fazer?

Grato mais uma vez.


marcelloc

Sua regra na lan simplesmente libera qualquer acesso a internet em qualquer porta.

Enquanto você não mudar isso, qualquer "pula firewall" vai funcionar.

Coutinho

É, eu imaginei isso. Inclusive desativei ela, porém mesmo criando outra regra direcionando  só para o http e https  (usando a mesma regra só mudando a porta de any para http), não consigo acesso algum a internet.

Vou dá uma pesquisada melhor sobre essas regras.

Grato mais uma vez Marcello.

marcelloc

Libere acesso (53 udp) somente para seu servidor dns resolver nomes.
Libere acesso a porta destino tcp 80 e 443 para toda a rede.

Desta forma seu dns interno consegue resolver nomes para as estações e o squid filtra o trafego nos dois protocolos.

Depois disso, crie regras específicas para os serviços que não passam por http ou https.

Coutinho

Como é fácil quando se sabe!!!

Eu quebrando a cabeça por causa desse pequeno detalhe! Só liberar o dns que tudo ficou lindo!

Obrigado mais uma vez e continue com esse excelente trabalho!

marcelloc

@Coutinho:

Eu quebrando a cabeça por causa desse pequeno detalhe! Só liberar o dns que tudo ficou lindo!

Só deixando bem claro, dns liberado só para o servidor de dns.

Se deixar a 53 aberta para qualquer ip, você corre "riscos"

tocolinux12

MarcelloC

Cara blz adorei a sua versão do squid-dev parabéns me tira uma duvida sempre que instalo o mesmo ele demora a entrar na webgui e depois de uns 10 minutos tento acessar a pagina por outro navegador e o mesmo não acessa mais sabe o que pode ser ?

Obrigado pela atenção

marcelloc

@tocolinux12:

sabe o que pode ser ?

Está usando ele em modo transparente sem alterar a porta padrão da interface web?