Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

O que aparece no cache.log?

dfioretti

Bom dia, Marcello.

Segue log.

2014/04/08 09:11:28 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3...
2014/04/08 09:11:28 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt
2014/04/08 09:11:28 kid1| Unable to load default error language files. Reset to backups.
2014/04/08 09:11:28 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt
2014/04/08 09:11:28 kid1| WARNING: failed to find or read error text file error-details.txt
2014/04/08 09:11:28| pinger: Initialising ICMP pinger ...
2014/04/08 09:11:28 kid1| Shutdown: NTLM authentication.
2014/04/08 09:11:28 kid1| Shutdown: Negotiate authentication.
2014/04/08 09:11:28 kid1| Shutdown: Digest authentication.
2014/04/08 09:11:28 kid1| Shutdown: Basic authentication.
2014/04/08 09:11:36 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3...
2014/04/08 09:11:36 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt
2014/04/08 09:11:36 kid1| Unable to load default error language files. Reset to backups.
2014/04/08 09:11:36 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt
2014/04/08 09:11:36 kid1| WARNING: failed to find or read error text file error-details.txt
2014/04/08 09:11:36| pinger: Initialising ICMP pinger ...
2014/04/08 09:11:40 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3...
2014/04/08 09:11:40 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt
2014/04/08 09:11:40 kid1| Unable to load default error language files. Reset to backups.
2014/04/08 09:11:40 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt
2014/04/08 09:11:40 kid1| WARNING: failed to find or read error text file error-details.txt
2014/04/08 09:11:40| pinger: Initialising ICMP pinger ...

No browser IE com o CA instalado eu tenho essa msg:

•Check your proxy settings 192.168.117.250:3129.
Go to Tools > Internet Options > Connections. If you are on a LAN, click “LAN settings”.
•Make sure your firewall settings aren’t blocking your web access.
•Ask your system administrator for help.

Tcpdump no PfSense.

[2.1-RELEASE][root@pfsense.localdomain]/var/squid/logs(9): tcpdump not port 22 and host 192.168.117.89 and port 3129
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
09:28:37.816210 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
09:28:40.806905 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
09:28:46.813291 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,nop,sackOK], length 0
09:28:58.811285 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
09:29:01.820173 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
09:29:07.826499 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 65535, options [mss 1460,nop,nop,sackOK], length 0
[code]

Obrigado.

Daniel.[/code][/s][/s][/s][/s][/s][/s]

marcelloc

Você está usando proxy transparente? Se for marcar o proxy no navegador,  use a porta 3128 mesmo.

marcelloc

Olhando o tcpdump, acredito que esteja faltando também a regra que libera acesso local a 3129.

As conexões não estáo chegando ao squid.

dfioretti

Marcello,

Segue resumo das "regras" do Firewall.

Interface LAN
Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * *      * *                 * *         none

Estou usando como proxy transparente, pelo que você disse, tenho que configurar no browser somente a porta 3128 para todos os protocolos, certo?

Devo mudar também a porta do SSL nas confs do squid ou devo manter 3129?

At.,

Daniel

marcelloc

@dfioretti:

Segue resumo das "regras" do Firewall.

Interface LAN
Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * *      * *                 * *         none

Esse resumo diz:
Tenho um firewall totalmente aberto, nenhuma restrição de saída.

Pode usar o proxy em modo transparente, mas sugiro fortemente você rever suas regras.

dfioretti

Marcello,

Sim, tenho um firewall completamente aberto, pois estou querendo testar unicamente o SQUID.

Firewall e cliente estão confinados em um ambiente virtualizado tendo acesso externo somente pela interface WAN do firewall.

Você tem um ambiente de teste para que eu possa comparar com o meu?

At.,

Daniel.

sapodexter

Olá pessoal sou novo aqui no fórum, adotei aqui na empresa o Pfsense, gostei muito da ferramenta, atende muito bem minha necessidade, mas recentemente eu fiz o filtro de ssl/https e funcionou perfeito, mas fui atualizar o firmware do pfsense pra versão recente e aí começara meus problemas, não consigo mais fazer funcionar o meu certificado, ele tá dando esse erro no navegador " O servidor www.google.com.br usa um certificado de segurança inválido. O certificado não é considerado confiável porque é autoassinado. O certificado é válido somente para proxy-ca. (Código do erro: sec_error_untrusted_issuer) ", eu já removi o certificado, criei outro e instalei mas sem sucesso. Será que alguém aqui já teve esse mesmo problema e pode me ajudar ??????

marcelloc

Coloque estas acl no campo Custom ACLS (Before_Auth)

always_direct allow all
ssl_bump server-first all

Na versão 3.2.3 já está corrigida, mas infelizmente o repositório dos pacotes agora só é alterado pelo core team.

Uma atualização que demorava minutos agora pode levar dias… como acontece com o snort.

rec

Funcionou muito bem, de primeira. VLW

dfioretti

Bom dia a todos, especialmente ao Marcello.

Tudo bom Marcello, você tem alguma ideia do que possa estar acontecendo com meu ambiente? Ou mesmo alguma ideia para que efetue um teste?

Antecipadamente, obrigado.

tdaniel

Marcelloc,

Tudo bem? Primeiramente obrigado pelo vídeo, contribuiu em muito pois estou utilizando o pfsense agora na empresa que trabalho. Estou utilizando a última versão 2.1.2, e percebi que todos os https estão sendo bloqueados, mesmo com o certificado corretamente instalado. Fiz um teste, colocando o ip e a porta 3128 nas configurações do navegador, resolveu. Está liberando os https que preciso, e bloqueando os que pedi (ex. facebook).

Sabe o que estar ocorrendo?

Abraço,

marcelloc

@tdaniel:

Tudo bem? Primeiramente obrigado pelo vídeo,

Qual vídeo? A lista de tutorias tem topicos de vários autores, eu só organizo para facilitar a busca.

@tdaniel:

contribuiu em muito pois estou utilizando o pfsense agora na empresa que trabalho.

Não esqueça de apertar um Thanks no tópico que te ajudou.

@tdaniel:

Estou utilizando a última versão 2.1.2, e percebi que todos os https estão sendo bloqueados, mesmo com o certificado corretamente instalado. Fiz um teste, colocando o ip e a porta 3128 nas configurações do navegador, resolveu. Está liberando os https que preciso, e bloqueando os que pedi (ex. facebook).

Sabe o que estar ocorrendo?

Não sei como configurou seu ambiente. squid3-dev? autenticação captive portal?

rec

Olá, estava tudo rodando legal só que do nada o SQUID parou.

php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy'

sshd[1395]: Accepted keyboard-interactive/pam for root from 192.168.0.101 port 64248 ssh2
Apr 22 11:39:05	php: /pkg_edit.php: Reloading Squid for configuration sync
Apr 22 11:39:03	php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no
Apr 22 11:39:02	check_reload_status: Syncing firewall
Apr 22 11:39:01	check_reload_status: Reloading filter
Apr 22 11:39:01	php: /pkg_edit.php: Reloading Squid for configuration sync
Apr 22 11:38:59	php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no
Apr 22 11:34:21	check_reload_status: Reloading filter
Apr 22 11:34:21	Squid_Alarm[39381]: Squid has resumed. Reconfiguring filter.
Apr 22 11:34:12	lighttpd[51334]: (connections.c.137) (warning) close: 19 Connection reset by peer
Apr 22 11:33:38	squid[22616]: Squid Parent: (squid-1) process 23136 started
Apr 22 11:33:38	squid[22616]: Squid Parent: will start 1 kids
Apr 22 11:33:36	php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy'
Apr 22 11:30:36	check_reload_status: Syncing firewall
Apr 22 11:29:21	check_reload_status: Syncing firewall
Apr 22 11:29:04	check_reload_status: Syncing firewall
Apr 22 11:28:49	check_reload_status: Syncing firewall
Apr 22 11:28:34	check_reload_status: Syncing firewall

Estou utilizando o "squid3-dev 3.3.10 pkg 2.2.2".

Já li em alguns tópicos e eles pediram para baixar novamente as LIBS, mas não funcionou, do nada ele para.

marcelloc

No fórum internacional, tem posts sobre isso.

Parece bug na 2.1.2.

Já tentou em outra versão do pfsense?

rec

@marcelloc:

No fórum internacional, tem posts sobre isso.

Parece bug na 2.1.2.

Já tentou em outra versão do pfsense?

MARCELLOC, estou na versão 2.1-RELEASE (i386). Vou atualizar para última para ver o que que dá!

Volto para responder.

Att.

BySec

Boa tarde amigos!

Hoje instalei p pfsense 2.1.2 i386 com squid3-dev 3.3.10, fiz as configurações tudo certo, criei a CA certinho e esta filtrando https 100%, porem mesmo eu importando corretamente o certificado nos navegadores (IE, Chrome e Firefox), ainda gera erro de certificado ao acessar sites "https", alguém poderia me ajudar nesse caso, pois li todo o tópico e ainda assim não consegui fazer funcionar corretamente….........grato desde já.

marcelloc

Veja se não é só isso que está faltando…

https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514

BySec

Muito obrigado MARCELLOC, era somente isso mesmo, parabens pelo otimo trabalho

rec

@BySec:

Muito obrigado MARCELLOC, era somente isso mesmo, parabens pelo otimo trabalho

Eu tinha este mesmo problema. Valeu MARCELLOC, deu certo aqui também.

Att.