Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
estou para ativar esta semana um proxy com autenticação ssl em um departamente de universidade federal e estou tendo problemas com alguns sites https mesmo com o certificado instalado.
segue o erroERROR
The requested URL could not be retrieved
O seguinte erro foi encontrado ao tentar recuperar a URL: ://wwws.cnpq.br:443
Falha ao estabelecer uma conexão segura com 200.130.33.7
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CAEste proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.
Seu administrador do cache é calebe.pereira@ufes.br.
Gerado Tue, 03 Dec 2013 17:41:23 GMT por localhost (squid/3.3.8)
log squid:
Squid Logs
Date IP Status Address User Destination
03.12.2013 16:00:49 192.168.200.31 TCP_MISS/200 http://su.ff.avast.com/R/A0YKIDBkMWMzNmMyZjk3MjRiOTZhOThkNmE3N2NlMzVmNDRmEgQAAxITGNgBIgEFKgcIBBDI6_kcKgQIAxAAMgcIABAAGIAC calebe 77.234.43.60
03.12.2013 16:00:33 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 16:00:32 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 16:00:31 192.168.200.31 NONE/503 https://wwws.cnpq.br/favicon.ico - -
03.12.2013 16:00:30 192.168.200.31 NONE/503 https://wwws.cnpq.br/cvlattesweb/pkg_login.prc_form - -
03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 15:59:16 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
SquidGuard Logs -
marcou as opções de aceitar erros de certificado.
Você pode deixar o cliente escolher se acessa ou não um site com ssl genérico.
-
ok deu certo brigadooo
-
@calebepereira@hotmail.com:
ok deu certo brigadooo
Leia com atenção e teste o que você marcou para não ficar vulnerável a sites forjados ou comprometidos
Accept remote server certificate passa o erro do site para o usuário
Do not verify remote certificate ignora o erro do site e abre sem avisar ou criticar nada -
Pelo menos em ambiente de testes, subi um pfsense 2.1 virtualizado com vmxnet3 e instalei o squid3-dev 3.3.10 e o serivço subiu tranquilo sem a necessidade do ipv6.
As libs infelizmente ainda são necessárias.
-
Bom dia!!
Atualizei o squid-dev pelo proprio pfsense, depois instalei as bibliotecas faltantes do primeiro post.
o squid esta de boa mas o squidguard não sobe, o que deve ser feito para que ele inicie?
Grato!
-
o squid esta de boa mas o squidguard não sobe, o que deve ser feito para que ele inicie?
A partir do squid 3, o squidguard é chamado sob demanda. Ele só sobe quando tem cliente conectado no squid.
-
Boa tarde Marcelloc,
Após atualizar para a versão 3.3.10 aparecem várias mensagens de warning no log:
2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt 2013/12/05 17:12:00 kid1| Unable to load default error language files. Reset to backups. 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt 2013/12/05 17:12:00 kid1| WARNING: failed to find or read error text file error-details.txt 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPEDei uma pesquisada na net, mas não achei nada que possa resolver, pelo que encontrei é um problema com o openssl, mas que deveria estar corrigido nesta versão do Squid.
http://bugs.squid-cache.org/show_bug.cgi?id=3936Sabe o que poderia ser?
abraço!
-
comenta estas entradas no arquivo.
-
Olá Marcello,
Gostei bastante dessa versão do Squid3. Porém estou com algumas duvidas.
1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?
2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?
Grato, desde já.
-
1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?
Só precisa deixar ele filtrando o trafego ssl em modo transparente. TOR, Ultrasurf, etc usam a 443 mas só ssl, mas não http.
2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?
Sim, estou apanhando disso ainda. Tentei com e-cap mas da erro de compilação e o I-cap ta dando crash quando chama o clamav.
-
Caro Marcelo,
Minha configuração está como nos anexos. Poderia dizer o que há de errado? É necessário criar alguma outra regra ou tirar? :-\
Como falei, o filtro de ssl parece está funcionando, porém o Ultrasurf está funcionando normalmente. Com o Windows Update foi necessário colocar no bypass, mas dropbox funcionou normal…
Há alguma outra configuração que eu possa fazer?
Grato mais uma vez.
 -
Sua regra na lan simplesmente libera qualquer acesso a internet em qualquer porta.
Enquanto você não mudar isso, qualquer "pula firewall" vai funcionar.
-
É, eu imaginei isso. Inclusive desativei ela, porém mesmo criando outra regra direcionando só para o http e https (usando a mesma regra só mudando a porta de any para http), não consigo acesso algum a internet.
Vou dá uma pesquisada melhor sobre essas regras.
Grato mais uma vez Marcello.
-
Libere acesso (53 udp) somente para seu servidor dns resolver nomes.
Libere acesso a porta destino tcp 80 e 443 para toda a rede.Desta forma seu dns interno consegue resolver nomes para as estações e o squid filtra o trafego nos dois protocolos.
Depois disso, crie regras específicas para os serviços que não passam por http ou https.
-
Como é fácil quando se sabe!!!
Eu quebrando a cabeça por causa desse pequeno detalhe! Só liberar o dns que tudo ficou lindo!
Obrigado mais uma vez e continue com esse excelente trabalho!
-
Eu quebrando a cabeça por causa desse pequeno detalhe! Só liberar o dns que tudo ficou lindo!
Só deixando bem claro, dns liberado só para o servidor de dns.
Se deixar a 53 aberta para qualquer ip, você corre "riscos"
-
MarcelloC
Cara blz adorei a sua versão do squid-dev parabéns me tira uma duvida sempre que instalo o mesmo ele demora a entrar na webgui e depois de uns 10 minutos tento acessar a pagina por outro navegador e o mesmo não acessa mais sabe o que pode ser ?
Obrigado pela atenção
-
sabe o que pode ser ?
Está usando ele em modo transparente sem alterar a porta padrão da interface web?
-
Sim esta em modo transparente e a porta web não foi alterado permanece a mesma.
