Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc · Apr 8, 2014, 2:50 PM

Olhando o tcpdump, acredito que esteja faltando também a regra que libera acesso local a 3129.

As conexões não estáo chegando ao squid.

dfioretti · Apr 8, 2014, 3:53 PM

Marcello,

Segue resumo das "regras" do Firewall.

Interface LAN
Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * * * * * * none

Estou usando como proxy transparente, pelo que você disse, tenho que configurar no browser somente a porta 3128 para todos os protocolos, certo?

Devo mudar também a porta do SSL nas confs do squid ou devo manter 3129?

At.,

Daniel

marcelloc · Apr 8, 2014, 4:42 PM

@dfioretti:

Segue resumo das "regras" do Firewall.

Interface LAN
Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * * * * * * none

Esse resumo diz:
Tenho um firewall totalmente aberto, nenhuma restrição de saída.

Pode usar o proxy em modo transparente, mas sugiro fortemente você rever suas regras.

dfioretti · Apr 8, 2014, 6:26 PM

Marcello,

Sim, tenho um firewall completamente aberto, pois estou querendo testar unicamente o SQUID.

Firewall e cliente estão confinados em um ambiente virtualizado tendo acesso externo somente pela interface WAN do firewall.

Você tem um ambiente de teste para que eu possa comparar com o meu?

At.,

Daniel.

sapodexter · Apr 10, 2014, 2:00 PM

Olá pessoal sou novo aqui no fórum, adotei aqui na empresa o Pfsense, gostei muito da ferramenta, atende muito bem minha necessidade, mas recentemente eu fiz o filtro de ssl/https e funcionou perfeito, mas fui atualizar o firmware do pfsense pra versão recente e aí começara meus problemas, não consigo mais fazer funcionar o meu certificado, ele tá dando esse erro no navegador " O servidor www.google.com.br usa um certificado de segurança inválido. O certificado não é considerado confiável porque é autoassinado. O certificado é válido somente para proxy-ca. (Código do erro: sec_error_untrusted_issuer) ", eu já removi o certificado, criei outro e instalei mas sem sucesso. Será que alguém aqui já teve esse mesmo problema e pode me ajudar ??????

marcelloc · Apr 10, 2014, 6:50 PM

Coloque estas acl no campo Custom ACLS (Before_Auth)


always_direct allow all
ssl_bump server-first all

Na versão 3.2.3 já está corrigida, mas infelizmente o repositório dos pacotes agora só é alterado pelo core team.

Uma atualização que demorava minutos agora pode levar dias… como acontece com o snort.

rec · Apr 11, 2014, 6:57 PM

Funcionou muito bem, de primeira. VLW

dfioretti · Apr 12, 2014, 11:51 AM

Bom dia a todos, especialmente ao Marcello.

Tudo bom Marcello, você tem alguma ideia do que possa estar acontecendo com meu ambiente? Ou mesmo alguma ideia para que efetue um teste?

Antecipadamente, obrigado.

tdaniel · Apr 15, 2014, 12:03 PM

Marcelloc,

Tudo bem? Primeiramente obrigado pelo vídeo, contribuiu em muito pois estou utilizando o pfsense agora na empresa que trabalho. Estou utilizando a última versão 2.1.2, e percebi que todos os https estão sendo bloqueados, mesmo com o certificado corretamente instalado. Fiz um teste, colocando o ip e a porta 3128 nas configurações do navegador, resolveu. Está liberando os https que preciso, e bloqueando os que pedi (ex. facebook).

Sabe o que estar ocorrendo?

Abraço,

marcelloc · Apr 22, 2014, 10:48 AM

@tdaniel:

Tudo bem? Primeiramente obrigado pelo vídeo,

Qual vídeo? A lista de tutorias tem topicos de vários autores, eu só organizo para facilitar a busca.

@tdaniel:

contribuiu em muito pois estou utilizando o pfsense agora na empresa que trabalho.

Não esqueça de apertar um Thanks no tópico que te ajudou.

@tdaniel:

Estou utilizando a última versão 2.1.2, e percebi que todos os https estão sendo bloqueados, mesmo com o certificado corretamente instalado. Fiz um teste, colocando o ip e a porta 3128 nas configurações do navegador, resolveu. Está liberando os https que preciso, e bloqueando os que pedi (ex. facebook).

Sabe o que estar ocorrendo?

Não sei como configurou seu ambiente. squid3-dev? autenticação captive portal?

rec · Apr 22, 2014, 2:59 PM

Olá, estava tudo rodando legal só que do nada o SQUID parou.

php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy'

sshd[1395]: Accepted keyboard-interactive/pam for root from 192.168.0.101 port 64248 ssh2
Apr 22 11:39:05	php: /pkg_edit.php: Reloading Squid for configuration sync
Apr 22 11:39:03	php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no
Apr 22 11:39:02	check_reload_status: Syncing firewall
Apr 22 11:39:01	check_reload_status: Reloading filter
Apr 22 11:39:01	php: /pkg_edit.php: Reloading Squid for configuration sync
Apr 22 11:38:59	php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no
Apr 22 11:34:21	check_reload_status: Reloading filter
Apr 22 11:34:21	Squid_Alarm[39381]: Squid has resumed. Reconfiguring filter.
Apr 22 11:34:12	lighttpd[51334]: (connections.c.137) (warning) close: 19 Connection reset by peer
Apr 22 11:33:38	squid[22616]: Squid Parent: (squid-1) process 23136 started
Apr 22 11:33:38	squid[22616]: Squid Parent: will start 1 kids
Apr 22 11:33:36	php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy'
Apr 22 11:30:36	check_reload_status: Syncing firewall
Apr 22 11:29:21	check_reload_status: Syncing firewall
Apr 22 11:29:04	check_reload_status: Syncing firewall
Apr 22 11:28:49	check_reload_status: Syncing firewall
Apr 22 11:28:34	check_reload_status: Syncing firewall

Estou utilizando o "squid3-dev 3.3.10 pkg 2.2.2".

Já li em alguns tópicos e eles pediram para baixar novamente as LIBS, mas não funcionou, do nada ele para.

marcelloc · Apr 22, 2014, 9:38 PM

No fórum internacional, tem posts sobre isso.

Parece bug na 2.1.2.

Já tentou em outra versão do pfsense?

rec · Apr 23, 2014, 2:20 AM

@marcelloc:

No fórum internacional, tem posts sobre isso.

Parece bug na 2.1.2.

Já tentou em outra versão do pfsense?

MARCELLOC, estou na versão 2.1-RELEASE (i386). Vou atualizar para última para ver o que que dá!

Volto para responder.

Att.

BySec · Apr 23, 2014, 7:56 PM

Boa tarde amigos!

Hoje instalei p pfsense 2.1.2 i386 com squid3-dev 3.3.10, fiz as configurações tudo certo, criei a CA certinho e esta filtrando https 100%, porem mesmo eu importando corretamente o certificado nos navegadores (IE, Chrome e Firefox), ainda gera erro de certificado ao acessar sites "https", alguém poderia me ajudar nesse caso, pois li todo o tópico e ainda assim não consegui fazer funcionar corretamente….........grato desde já.

marcelloc · Apr 24, 2014, 1:43 AM

Veja se não é só isso que está faltando…

https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514

BySec · Apr 24, 2014, 12:57 PM

Muito obrigado MARCELLOC, era somente isso mesmo, parabens pelo otimo trabalho

rec · Apr 24, 2014, 12:58 PM

@BySec:

Muito obrigado MARCELLOC, era somente isso mesmo, parabens pelo otimo trabalho

Eu tinha este mesmo problema. Valeu MARCELLOC, deu certo aqui também.

Att.

whitexp · May 7, 2014, 4:08 AM

ola ,
instalando o squid devel hj na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

obrigado

reginaldo_barreto · May 7, 2014, 4:29 AM

@whitexp:

ola ,
instalando o squid devel hj na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

obrigado

Atualizei minha versão hoje para 2.1.3 e estou ansioso para colocar esse squid3 para rodar !!!

Abraços

marcelloc · May 7, 2014, 3:40 PM

@whitexp:

instalando o squid devel hj na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

Segundo report de alguns usuário, as bibliotecas já fazem parte do pacote/pfsense.