Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 359.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • belleraB
      bellera
      last edited by

      @ marcelloc,

      Please, excuse me for not portuguese speaking…

      Help at Spanish Forum, squid3-devel + squidGuard-squid3 not working!

      squid3 + squidGuard-squid3 working.

      https://forum.pfsense.org/index.php?topic=73007.msg401975#msg401975

      Thanks,

      Josep (Spanish Moderator)

      1 Reply Last reply Reply Quote 0
      • ?
        Guest
        last edited by

        o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:

        https://forum.pfsense.org/index.php?topic=72443.msg395218#msg395218

        Troque o seu check_ip por este por este em anexo@calebepereira@hotmail.com:

        o check_ip.php esta com erro. segue o forum que achei o erro:

        check_ipphp.txt

        1 Reply Last reply Reply Quote 0
        • marcellocM
          marcelloc
          last edited by

          @calebepereira@hotmail.com:

          o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:

          Apliquei o patch no pacote, basta reinstalar. Obrigado pela ajuda.

          Treinamentos de Elite: http://sys-squad.com

          Help a community developer! ;D

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            @bellera:

            @ marcelloc,

            Please, excuse me for not portuguese speaking…

            Help at Spanish Forum, squid3-devel + squidGuard-squid3 not working!

            squid3 + squidGuard-squid3 working.

            https://forum.pfsense.org/index.php?topic=73007.msg401975#msg401975

            Thanks,

            Josep (Spanish Moderator)

            squid3-devel working, explained (Spanish Forum)
            http://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

            squid3-devel + squidGuard-squid3 working, explained (Spanish Forum)
            http://forum.pfsense.org/index.php?topic=73740.0

            1 Reply Last reply Reply Quote 0
            • R
              rbernardes
              last edited by

              Boa tarde a todos

              Consegui fazer o bloqueio de sites HTTPS em máquinas com Windows 7 e 8, sem problemas, com restrição de horário e tudo mais.
              A minha encrenca está com o XP, já instalei o certificado CA nas máquinas, mas ainda assim recebo o erro abaixo:

              Alguma dica?
              PS: No Firefox funciona!

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                Autoridade de certificação Instalar o Windows é para o Internet Explorer, Outlook … (produtos Microsoft). Você deve instalar o Certificate Authority Firefox e Chrome.
                A maneira mais fácil de fazer isso é ter uma URL onde o download do navegador.
                Claro que você também pode fazê-lo a partir das configurações de cada navegador, mas são um pouco mais cliques.

                Traduzido do catalão para o Português com o Google Translate

                1 Reply Last reply Reply Quote 0
                • T
                  tecnico_crs
                  last edited by

                  Galera segui todos os passos  do tutorial pelo youtube e esta funcionando certinho o squid e o squidguard. O problema que para o site do bradesco em uma página especifica da erro de certificado, informando que o certificado não é seguro. Desse modo não é possível seguir com as transações bancárias.

                  Liberei o Ip do usuário no proxy e funcionou normalmente, só que não posso deixar esse usuário liberado.

                  Já no site da caixa não funciona o certificado aparece site não seguro.  O restante dos demais sites estão ok.

                  Alguém tem alguma ideia para resolver esse problema?

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    @tecnico_crs:

                    Já no site da caixa não funciona o certificado aparece site não seguro.  O restante dos demais sites estão ok.

                    Alguém tem alguma ideia para resolver esse problema?

                    Veja como está o certificado nestes sites, se marcou a opção aceitar erros de certificado no squid, a decisão de acessar o site ou não vai para o cliente.

                    Você pode também criar uma acl para não filtrar ssl para sites problematicos.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • H
                      hugodesouza
                      last edited by

                      O squid não sobe.
                      Deu essa msg ao executar o comando  /usr/local/lib/libasn1.so.10 is not a directory
                      alguém poderia me ajudar?
                      Consigo resolver sem reinstalar?

                      1 Reply Last reply Reply Quote 0
                      • marcellocM
                        marcelloc
                        last edited by

                        Consegue resolver perfeitamente mudando seus critérios de pesquisa.
                        Esta pergunta já foi respondia em vários outros tópicos e tutoriais.

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • ?
                          Guest
                          last edited by

                          tenho um  firewall pfsense com todas as portas bloqueada liberei somente 7777 http e 7778 https.

                          pfsense 2.1 amd64
                          squid 3.3.10
                          captive portal
                          freeradiuns

                          removi:
                          squidguard
                          sarg
                          lightsquid

                          os usuários se autenticam no captiveportal,  buscando os usuários que está cadastrado no ldap do freeradiuns, uso proxy transparente com  CA,  proxy gera relatório por usuário autenticado no captiveportal, tenho 100 usuários conectados simultaneamente,  do nada para de navegar nem um serviço fica off, alguém me ajuda? qual tipo de log devo devo pegar?

                          tentei trocar de servidor, mas quando exporto o certificado para o servidor novo o squid não sobe, se eu criar um certificado novo no pfsense ai ele sobe. exite alguma outra forma exportar o certificado sem ser copiar colar?

                          pois se eu não consegui amanha terei que voltar a estrutura antiga com centOS, pois ta todo mundo querendo minha cabeça e com razão

                          certificado.jpg
                          certificado.jpg_thumb

                          1 Reply Last reply Reply Quote 0
                          • T
                            tocolinux12
                            last edited by

                            Marcelloc

                            Cara instalei aqui e ta tudo funcionando show de bola…E acabei de fazer a atualização do para a versão 2.2.2.. Tem algum diferença dessa versão para a anterior ?

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              @tocolinux12:

                              Marcelloc

                              Cara instalei aqui e ta tudo funcionando show de bola…E acabei de fazer a atualização do para a versão 2.2.2.. Tem algum diferença dessa versão para a anterior ?

                              Na versão do pacote 2.2.2 eu melhorei as integração das configurações padrão com as acls customizadas.

                              O custom options agora é custom acls(before auth) e custom acls(after auth).

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • ?
                                Guest
                                last edited by

                                agradeço a todos que me ajudaram. mas infelizmente não deu pra usa o pfsense.

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  @calebepereira@hotmail.com:

                                  agradeço a todos que me ajudaram. mas infelizmente não deu pra usa o pfsense.

                                  Que pena. Aqui tenho este ambiente funcionando.

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    teslacrew
                                    last edited by

                                    Marcelo, boa tarde.
                                    Amigo se puder me esclarece aqui …estou tentando configurar aqui no meu pfSense 2.1 o proxy transparente + squid3 + squidguard3, em um outro tutorial aqui no fórum informa para criar um certificado, eu tenho captive portal, fiz toda a instalação seguindo o tutorial só que quando eu habilito o squid e squidguard os sites https não abrem mesmo eu tenho instalado o certificado no browser, tô errando onde ? abs.

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      Interceptação de ssl só no squid3-dev.

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • T
                                        teslacrew
                                        last edited by

                                        Marcelo, eu instalei o Squid3-dev e o SquidGuard-squid3, detalhe que acabei atualizando o meu pfSense para a nova versão 2.1.1 .. abs

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          Veja com o tcpdump se as requisições estão chegando no squid.

                                          Desabilite o squidguard até você conseguir fazer o ambiente funcionar.

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dfioretti
                                            last edited by

                                            Olá Pessoal,

                                            Configurei o PfSense para interceptar o SSL, mas não está funcionando.

                                            Segue o arquivo de squid.conf.

                                            
                                            # This file is automatically generated by pfSense
                                            # Do not edit manually !
                                            
                                            http_port 192.168.117.250:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/
                                            
                                            http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/
                                            
                                            https_port 127.0.0.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/
                                            
                                            icp_port 7
                                            dns_v4_first on
                                            pid_filename /var/run/squid.pid
                                            cache_effective_user proxy
                                            cache_effective_group proxy
                                            error_default_language pt-br
                                            icon_directory /usr/pbi/squid-amd64/etc/squid/icons
                                            visible_hostname localhost
                                            cache_mgr admin@localhost
                                            access_log /var/squid/logs/access.log
                                            cache_log /var/squid/logs/cache.log
                                            cache_store_log none
                                            sslcrtd_program /usr/pbi/squid-amd64/libexec/squid/ssl_crtd -s /var/squid/lib/ssl_db -M 4MB -b 2048
                                            sslcrtd_children 5
                                            sslproxy_capath /usr/pbi/squid-amd64/share/certs/
                                            sslproxy_cert_error allow all
                                            sslproxy_cert_adapt setValidBefore all
                                            
                                            logfile_rotate 0
                                            shutdown_lifetime 3 seconds
                                            # Allow local network(s) on interface(s)
                                            acl localnet src  192.168.117.0/24
                                            httpd_suppress_version_string on
                                            uri_whitespace strip
                                            
                                            acl dynamic urlpath_regex cgi-bin \?
                                            cache deny dynamic
                                            
                                            cache_mem 8 MB
                                            maximum_object_size_in_memory 32 KB
                                            memory_replacement_policy heap GDSF
                                            cache_replacement_policy heap LFUDA
                                            
                                            minimum_object_size 0 KB
                                            maximum_object_size 10 KB
                                            offline_mode off
                                            cache allow all
                                            
                                            # No redirector configured
                                            
                                            #Remote proxies
                                            
                                            # Setup some default acls
                                            # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
                                            # acl localhost src 127.0.0.1/32
                                            acl allsrc src all
                                            acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3127 1025-65535
                                            acl sslports port 443 563
                                            
                                            # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
                                            #acl manager proto cache_object
                                            
                                            acl purge method PURGE
                                            acl connect method CONNECT
                                            
                                            # Define protocols used for redirects
                                            acl HTTP proto HTTP
                                            acl HTTPS proto HTTPS
                                            acl allowed_subnets src 192.168.117.0/24
                                            acl blacklist dstdom_regex -i "/var/squid/acl/blacklist.acl"
                                            http_access allow manager localhost
                                            
                                            http_access deny manager
                                            http_access allow purge localhost
                                            http_access deny purge
                                            http_access deny !safeports
                                            http_access deny CONNECT !sslports
                                            
                                            # Always allow localhost connections
                                            # From 3.2 further configuration cleanups have been done to make things easier and safer.
                                            # The manager, localhost, and to_localhost ACL definitions are now built-in.
                                            # http_access allow localhost
                                            
                                            request_body_max_size 0 KB
                                            delay_pools 1
                                            delay_class 1 2
                                            delay_parameters 1 -1/-1 -1/-1
                                            delay_initial_bucket_level 100
                                            delay_access 1 allow allsrc
                                            
                                            # Reverse Proxy settings
                                            
                                            # Custom options
                                            
                                            # Block access to blacklist domains
                                            http_access deny blacklist
                                            always_direct allow all
                                            ssl_bump server-first all
                                            acl sglog url_regex -i sgr=ACCESSDENIED
                                            http_access deny sglog
                                            # Setup allowed acls
                                            # Allow local network(s) on interface(s)
                                            http_access allow allowed_subnets
                                            http_access allow localnet
                                            # Default block all to be sure
                                            http_access deny allsrc
                                            
                                            

                                            Alguém pode me ajudar?

                                            Desde já obrigado!!!

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.