Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
tenho um firewall pfsense com todas as portas bloqueada liberei somente 7777 http e 7778 https.
pfsense 2.1 amd64
squid 3.3.10
captive portal
freeradiunsremovi:
squidguard
sarg
lightsquidos usuários se autenticam no captiveportal, buscando os usuários que está cadastrado no ldap do freeradiuns, uso proxy transparente com CA, proxy gera relatório por usuário autenticado no captiveportal, tenho 100 usuários conectados simultaneamente, do nada para de navegar nem um serviço fica off, alguém me ajuda? qual tipo de log devo devo pegar?
tentei trocar de servidor, mas quando exporto o certificado para o servidor novo o squid não sobe, se eu criar um certificado novo no pfsense ai ele sobe. exite alguma outra forma exportar o certificado sem ser copiar colar?
pois se eu não consegui amanha terei que voltar a estrutura antiga com centOS, pois ta todo mundo querendo minha cabeça e com razão
-
Marcelloc
Cara instalei aqui e ta tudo funcionando show de bola…E acabei de fazer a atualização do para a versão 2.2.2.. Tem algum diferença dessa versão para a anterior ?
-
Marcelloc
Cara instalei aqui e ta tudo funcionando show de bola…E acabei de fazer a atualização do para a versão 2.2.2.. Tem algum diferença dessa versão para a anterior ?
Na versão do pacote 2.2.2 eu melhorei as integração das configurações padrão com as acls customizadas.
O custom options agora é custom acls(before auth) e custom acls(after auth).
-
agradeço a todos que me ajudaram. mas infelizmente não deu pra usa o pfsense.
-
@calebepereira@hotmail.com:
agradeço a todos que me ajudaram. mas infelizmente não deu pra usa o pfsense.
Que pena. Aqui tenho este ambiente funcionando.
-
Marcelo, boa tarde.
Amigo se puder me esclarece aqui …estou tentando configurar aqui no meu pfSense 2.1 o proxy transparente + squid3 + squidguard3, em um outro tutorial aqui no fórum informa para criar um certificado, eu tenho captive portal, fiz toda a instalação seguindo o tutorial só que quando eu habilito o squid e squidguard os sites https não abrem mesmo eu tenho instalado o certificado no browser, tô errando onde ? abs. -
Interceptação de ssl só no squid3-dev.
-
Marcelo, eu instalei o Squid3-dev e o SquidGuard-squid3, detalhe que acabei atualizando o meu pfSense para a nova versão 2.1.1 .. abs
-
Veja com o tcpdump se as requisições estão chegando no squid.
Desabilite o squidguard até você conseguir fazer o ambiente funcionar.
-
Olá Pessoal,
Configurei o PfSense para interceptar o SSL, mas não está funcionando.
Segue o arquivo de squid.conf.
# This file is automatically generated by pfSense # Do not edit manually ! http_port 192.168.117.250:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/ http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/ https_port 127.0.0.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/ icp_port 7 dns_v4_first on pid_filename /var/run/squid.pid cache_effective_user proxy cache_effective_group proxy error_default_language pt-br icon_directory /usr/pbi/squid-amd64/etc/squid/icons visible_hostname localhost cache_mgr admin@localhost access_log /var/squid/logs/access.log cache_log /var/squid/logs/cache.log cache_store_log none sslcrtd_program /usr/pbi/squid-amd64/libexec/squid/ssl_crtd -s /var/squid/lib/ssl_db -M 4MB -b 2048 sslcrtd_children 5 sslproxy_capath /usr/pbi/squid-amd64/share/certs/ sslproxy_cert_error allow all sslproxy_cert_adapt setValidBefore all logfile_rotate 0 shutdown_lifetime 3 seconds # Allow local network(s) on interface(s) acl localnet src 192.168.117.0/24 httpd_suppress_version_string on uri_whitespace strip acl dynamic urlpath_regex cgi-bin \? cache deny dynamic cache_mem 8 MB maximum_object_size_in_memory 32 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA minimum_object_size 0 KB maximum_object_size 10 KB offline_mode off cache allow all # No redirector configured #Remote proxies # Setup some default acls # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in. # acl localhost src 127.0.0.1/32 acl allsrc src all acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3127 1025-65535 acl sslports port 443 563 # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in. #acl manager proto cache_object acl purge method PURGE acl connect method CONNECT # Define protocols used for redirects acl HTTP proto HTTP acl HTTPS proto HTTPS acl allowed_subnets src 192.168.117.0/24 acl blacklist dstdom_regex -i "/var/squid/acl/blacklist.acl" http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections # From 3.2 further configuration cleanups have been done to make things easier and safer. # The manager, localhost, and to_localhost ACL definitions are now built-in. # http_access allow localhost request_body_max_size 0 KB delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow allsrc # Reverse Proxy settings # Custom options # Block access to blacklist domains http_access deny blacklist always_direct allow all ssl_bump server-first all acl sglog url_regex -i sgr=ACCESSDENIED http_access deny sglog # Setup allowed acls # Allow local network(s) on interface(s) http_access allow allowed_subnets http_access allow localnet # Default block all to be sure http_access deny allsrcAlguém pode me ajudar?
Desde já obrigado!!!
-
Marcelo, eu instalei o Squid3-dev e o SquidGuard-squid3, detalhe que acabei atualizando o meu pfSense para a nova versão 2.1.1 .. abs
Marcelo, também estou com o mesmo problema do amigo acima, estava com tudo rodando redondinho squid transparent +squidguard, fui atualizar o pfsense pra versão 2.1.1 começou dar problemas, toda página https que tento abrir da erro de certificado, sabe o que pode ser? já quebrei a cabeça aqui e não consegui resolver, estou pensando em voltar pro pfsense 2.1.
-
Não testei a atualização da 2.1 para a 2.1.1 com o squid.
O primeiro passo é verificar se o certificado é o mesmo.
-
Pessoal,
Seguem mais informações sobre o squid aqui.
[2.1-RELEASE][root@pfsense.localdomain]/root(20): netstat -an | grep LISTEN
tcp4 0 0 127.0.0.1.3129 . LISTEN
tcp4 0 0 127.0.0.1.3128 . LISTEN
tcp4 0 0 192.168.117.250.3128 . LISTEN
tcp6 0 0 *.53 . LISTEN
tcp4 0 0 *.53 . LISTEN
tcp4 0 0 *.22 . LISTEN
tcp6 0 0 *.22 . LISTEN
tcp4 0 0 *.80 . LISTEN
tcp6 0 0 *.443 . LISTEN
tcp4 0 0 *.443 . LISTENFreeBSD pfsense.localdomain 8.3-RELEASE-p11 FreeBSD 8.3-RELEASE-p11 #0: Wed Sep 11 18:51:23 EDT 2013 root@snapshots-8_3-amd64.builders.pfsense.org:/usr/obj.pfSense/usr/pfSensesrc/src/sys/pfSense_SMP.8 amd64
Criei a CA e importei como Trusted Root CA no cliente para teste.
O acesso na 3128 está 100% ok, mas na 3129 nada.
Alguma luz?
At.,
Daniel.
-
O que aparece no cache.log?
-
Bom dia, Marcello.
Segue log.
2014/04/08 09:11:28 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3... 2014/04/08 09:11:28 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt 2014/04/08 09:11:28 kid1| Unable to load default error language files. Reset to backups. 2014/04/08 09:11:28 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt 2014/04/08 09:11:28 kid1| WARNING: failed to find or read error text file error-details.txt 2014/04/08 09:11:28| pinger: Initialising ICMP pinger ... 2014/04/08 09:11:28 kid1| Shutdown: NTLM authentication. 2014/04/08 09:11:28 kid1| Shutdown: Negotiate authentication. 2014/04/08 09:11:28 kid1| Shutdown: Digest authentication. 2014/04/08 09:11:28 kid1| Shutdown: Basic authentication. 2014/04/08 09:11:36 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3... 2014/04/08 09:11:36 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt 2014/04/08 09:11:36 kid1| Unable to load default error language files. Reset to backups. 2014/04/08 09:11:36 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt 2014/04/08 09:11:36 kid1| WARNING: failed to find or read error text file error-details.txt 2014/04/08 09:11:36| pinger: Initialising ICMP pinger ... 2014/04/08 09:11:40 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3... 2014/04/08 09:11:40 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt 2014/04/08 09:11:40 kid1| Unable to load default error language files. Reset to backups. 2014/04/08 09:11:40 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt 2014/04/08 09:11:40 kid1| WARNING: failed to find or read error text file error-details.txt 2014/04/08 09:11:40| pinger: Initialising ICMP pinger ...No browser IE com o CA instalado eu tenho essa msg:
•Check your proxy settings 192.168.117.250:3129.
Go to Tools > Internet Options > Connections. If you are on a LAN, click “LAN settings”.
•Make sure your firewall settings aren’t blocking your web access.
•Ask your system administrator for help.Tcpdump no PfSense.
[2.1-RELEASE][root@pfsense.localdomain]/var/squid/logs(9): tcpdump not port 22 and host 192.168.117.89 and port 3129 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes 09:28:37.816210 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 09:28:40.806905 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 09:28:46.813291 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,nop,sackOK], length 0 09:28:58.811285 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 09:29:01.820173 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 09:29:07.826499 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 65535, options [mss 1460,nop,nop,sackOK], length 0 [code] Obrigado. Daniel.[/code][/s][/s][/s][/s][/s][/s] -
Você está usando proxy transparente? Se for marcar o proxy no navegador, use a porta 3128 mesmo.
-
Olhando o tcpdump, acredito que esteja faltando também a regra que libera acesso local a 3129.
As conexões não estáo chegando ao squid.
-
Marcello,
Segue resumo das "regras" do Firewall.
Interface LAN
Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * * * * * * noneEstou usando como proxy transparente, pelo que você disse, tenho que configurar no browser somente a porta 3128 para todos os protocolos, certo?
Devo mudar também a porta do SSL nas confs do squid ou devo manter 3129?
At.,
Daniel
-
Segue resumo das "regras" do Firewall.
Interface LAN
Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * * * * * * noneEsse resumo diz:
Tenho um firewall totalmente aberto, nenhuma restrição de saída.Pode usar o proxy em modo transparente, mas sugiro fortemente você rever suas regras.
-
Marcello,
Sim, tenho um firewall completamente aberto, pois estou querendo testar unicamente o SQUID.
Firewall e cliente estão confinados em um ambiente virtualizado tendo acesso externo somente pela interface WAN do firewall.
Você tem um ambiente de teste para que eu possa comparar com o meu?
At.,
Daniel.
