• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

Scheduled Pinned Locked Moved Portuguese
593 Posts 129 Posters 360.6k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    marcelloc
    last edited by Apr 22, 2014, 10:48 AM

    @tdaniel:

    Tudo bem? Primeiramente obrigado pelo vídeo,

    Qual vídeo? A lista de tutorias tem topicos de vários autores, eu só organizo para facilitar a busca.

    @tdaniel:

    contribuiu em muito pois estou utilizando o pfsense agora na empresa que trabalho.

    Não esqueça de apertar um Thanks no tópico que te ajudou.

    @tdaniel:

    Estou utilizando a última versão 2.1.2, e percebi que todos os https estão sendo bloqueados, mesmo com o certificado corretamente instalado. Fiz um teste, colocando o ip e a porta 3128 nas configurações do navegador, resolveu. Está liberando os https que preciso, e bloqueando os que pedi (ex. facebook).

    Sabe o que estar ocorrendo?

    Não sei como configurou seu ambiente. squid3-dev? autenticação captive portal?

    Treinamentos de Elite: http://sys-squad.com

    Help a community developer! ;D

    1 Reply Last reply Reply Quote 0
    • R
      rec
      last edited by Apr 22, 2014, 2:59 PM

      Olá, estava tudo rodando legal só que do nada o SQUID parou.

      php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy'
      
      sshd[1395]: Accepted keyboard-interactive/pam for root from 192.168.0.101 port 64248 ssh2
      Apr 22 11:39:05	php: /pkg_edit.php: Reloading Squid for configuration sync
      Apr 22 11:39:03	php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no
      Apr 22 11:39:02	check_reload_status: Syncing firewall
      Apr 22 11:39:01	check_reload_status: Reloading filter
      Apr 22 11:39:01	php: /pkg_edit.php: Reloading Squid for configuration sync
      Apr 22 11:38:59	php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no
      Apr 22 11:34:21	check_reload_status: Reloading filter
      Apr 22 11:34:21	Squid_Alarm[39381]: Squid has resumed. Reconfiguring filter.
      Apr 22 11:34:12	lighttpd[51334]: (connections.c.137) (warning) close: 19 Connection reset by peer
      Apr 22 11:33:38	squid[22616]: Squid Parent: (squid-1) process 23136 started
      Apr 22 11:33:38	squid[22616]: Squid Parent: will start 1 kids
      Apr 22 11:33:36	php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy'
      Apr 22 11:30:36	check_reload_status: Syncing firewall
      Apr 22 11:29:21	check_reload_status: Syncing firewall
      Apr 22 11:29:04	check_reload_status: Syncing firewall
      Apr 22 11:28:49	check_reload_status: Syncing firewall
      Apr 22 11:28:34	check_reload_status: Syncing firewall
      

      Estou utilizando o "squid3-dev 3.3.10 pkg 2.2.2".

      Já li em alguns tópicos e eles pediram para baixar novamente as LIBS, mas não funcionou, do nada ele para.

      1 Reply Last reply Reply Quote 0
      • M
        marcelloc
        last edited by Apr 22, 2014, 9:38 PM

        No fórum internacional, tem posts sobre isso.

        Parece bug na 2.1.2.

        Já tentou em outra versão do pfsense?

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • R
          rec
          last edited by Apr 23, 2014, 2:20 AM

          @marcelloc:

          No fórum internacional, tem posts sobre isso.

          Parece bug na 2.1.2.

          Já tentou em outra versão do pfsense?

          MARCELLOC, estou na versão 2.1-RELEASE (i386). Vou atualizar para última para ver o que que dá!

          Volto para responder.

          Att.

          1 Reply Last reply Reply Quote 0
          • B
            BySec
            last edited by Apr 23, 2014, 7:56 PM

            Boa tarde amigos!

            Hoje instalei p pfsense 2.1.2 i386 com squid3-dev 3.3.10, fiz as configurações tudo certo, criei a CA certinho e esta filtrando https 100%, porem mesmo eu importando corretamente o certificado nos navegadores (IE, Chrome e Firefox), ainda gera erro de certificado ao acessar sites "https", alguém poderia me ajudar nesse caso, pois li todo o tópico e ainda assim não consegui fazer funcionar corretamente….........grato desde já.

            1 Reply Last reply Reply Quote 0
            • M
              marcelloc
              last edited by Apr 24, 2014, 1:43 AM

              Veja se não é só isso que está faltando…

              https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • B
                BySec
                last edited by Apr 24, 2014, 12:57 PM

                Muito obrigado MARCELLOC, era somente isso mesmo, parabens pelo otimo trabalho

                1 Reply Last reply Reply Quote 0
                • R
                  rec
                  last edited by Apr 24, 2014, 12:58 PM

                  @BySec:

                  Muito obrigado MARCELLOC, era somente isso mesmo, parabens pelo otimo trabalho

                  Eu tinha este mesmo problema. Valeu MARCELLOC, deu certo aqui também.

                  Att.

                  1 Reply Last reply Reply Quote 0
                  • W
                    whitexp
                    last edited by May 7, 2014, 4:08 AM

                    ola ,
                    instalando o squid devel hj  na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

                    obrigado

                    1 Reply Last reply Reply Quote 0
                    • R
                      reginaldo_barreto
                      last edited by May 7, 2014, 4:29 AM

                      @whitexp:

                      ola ,
                      instalando o squid devel hj  na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

                      obrigado

                      Atualizei minha versão hoje para 2.1.3 e estou ansioso para colocar esse squid3 para rodar !!!

                      Abraços

                      Reginaldo Barreto

                      1 Reply Last reply Reply Quote 0
                      • M
                        marcelloc
                        last edited by May 7, 2014, 3:40 PM

                        @whitexp:

                        instalando o squid devel hj  na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

                        Segundo report de alguns usuário, as bibliotecas já fazem parte do pacote/pfsense.

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • R
                          reginaldo_barreto
                          last edited by May 9, 2014, 12:15 AM

                          Valeu !!

                          Reginaldo Barreto

                          1 Reply Last reply Reply Quote 0
                          • R
                            reginaldo_barreto
                            last edited by May 9, 2014, 1:50 AM

                            Acabei de testar, é só baixar os pacotes habilitar e correr para o abraço !!!

                            Reginaldo Barreto

                            1 Reply Last reply Reply Quote 0
                            • R
                              reginaldo_barreto
                              last edited by May 9, 2014, 5:36 PM May 9, 2014, 12:25 PM

                              Está funcionando o Block MIME types (reply only) ?

                              Pois não estou conseguindo bloquear os videos do youtube.

                              Estou usando as seguintes linhas.

                              
                              ^video/mpeg$
                              ^video/quicktime$
                              ^video/sd-video
                              ^video/msvideo$
                              ^video/mp4$
                              ^video/flc$
                              ^video/divx$
                              ^video/avi$
                              ^video/3gpp2$
                              ^video/3gpp$
                              ^video/x-la-asf$
                              ^video/x-ms-asf$
                              ^video/x-msvideo$
                              ^video/x-sgi-movie$
                              ^video/x-dv$
                              ^video/x-ivf$
                              ^video/x-m4v$
                              ^video/x-mpeg$
                              ^video/x-ms-asf$
                              ^video/x-ms-asf-plugin$
                              ^video/x-ms-wm$
                              ^video/x-ms-wmv$
                              ^video/x-ms-wmx$
                              ^video/x-msvideo$
                              ^video/x-ms-asx$
                              ^video/x-ms-wvx$
                              ^video/flv$
                              ^video/x-flv$
                              ^video/x-msvideo$
                              

                              Reginaldo Barreto

                              1 Reply Last reply Reply Quote 0
                              • M
                                marcelloc
                                last edited by May 9, 2014, 5:37 PM

                                @Reginaldo:

                                Pois não estou conseguindo bloquear os videos do youtube.

                                Veja no log do squid qual mime type ele identificou.

                                Treinamentos de Elite: http://sys-squad.com

                                Help a community developer! ;D

                                1 Reply Last reply Reply Quote 0
                                • R
                                  rec
                                  last edited by May 9, 2014, 8:20 PM

                                  Em alguns sites como Banco do Brasil eu não estou tendo sucesso. A conexão é HTTS e já coloquei o "bb.com.br" no Whitelist do Proxy Server e não funciona, para meu usuário entrar no Banco do Brasil eu tenho que desabilidar o "HTTPS/SSL interception".

                                  Como posso colocar o Banco do Brasil totalmente liberado?

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    marcelloc
                                    last edited by May 9, 2014, 8:26 PM

                                    @rec.br9:

                                    Como posso colocar o Banco do Brasil totalmente liberado?

                                    Com proxy não transparente, basta colocar na whitelist ou criar uma custom acl com ssl_bump none sites_banco
                                    Com proxy transparente, crie um alias de rede ou host e configure a opção Bypass proxy for these destination IPs com este alias.

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • R
                                      redhaqi
                                      last edited by May 9, 2014, 11:27 PM

                                      @marcelloc:

                                      Olá pessoal,

                                      Acabei de subir a primeira versão devel do squid 3.3 para pfsense

                                      Principais alterações

                                      • Atualização do squid para a última versão estável (3.3.5)

                                      • ativação do proxy por interface

                                      • ativação do proxy transparente por interface

                                      • ativação do filtro de ssl por interface

                                      • Integração do Antivirus via i-cap

                                      • Incluída a opção para logar os access denied do squidguard no squid também (requer esta opção e uma pequena alteração no sgerror.php)

                                      Bugs / Problemas ainda não corrigidos

                                      • Integração do clamav via icap só gera erro para o usuário

                                      • Se você estiver recebendo este erro ao tentar executar o squid 3.3.5(Shared object "libgssapi.so.10" not found, required by "squid"'),
                                        Execute os comandos do final do post prestando atenção na versão do seu pfsense (amd64 ou i386)

                                      • Para um funcionamento correto na 2.0.3, é preciso habilitar o ipv6

                                      Por favor pense fortemente em ajudar no desenvolvimento desta ferramenta através de doações. Tenho certeza que muitos querem esta funcionalidade no pfsense.

                                      Procedimento para testar no pfsense 2.1

                                      Basta instalar o pacote e copiar as bibliotecas faltantes

                                      Download das bibliotecas

                                      versão i386

                                      fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libasn1.so.10
                                      fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libgssapi.so.10
                                      fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libheimntlm.so.10
                                      fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libhx509.so.10
                                      fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libkrb5.so.10
                                      fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libroken.so.10
                                      

                                      versão amd64

                                      fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libasn1.so.10
                                      fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libgssapi.so.10
                                      fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libheimntlm.so.10
                                      fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libhx509.so.10
                                      fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libkrb5.so.10
                                      fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libroken.so.10
                                      

                                      Se for usar o filtro de ssl, é necessário criar uma CA no pfsense e instalar o certificado em cada estação de trabalho para evitar mensagens de erro de ssl para os clientes
                                      Segue print de um site com erro no certificado e outro site com certificado ok.
                                      Testei no firefox depois de instalar o CRT da CA do pfsense.
                                      O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
                                      O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

                                      AVISO:
                                      Filtrar conexões ssl pode ter implicações legais, verifique se a politica de acesso da empresa permite este tipo de filtro e se você tem autorização para tal. Avisar os usuários por meio de politica ou comunidado também é uma boa idéia.

                                      Sites na whitelist não passam pelo filtro de SSL.

                                      att,
                                      Marcello Coutinho

                                      Boa noite pessoal ..

                                      .. entao conforme o Marcelo explicou ai  (segui o tuto )…. fiz os testes aqui e funcionou  ...quase tudo perfeitamente ... porem surgiu um pequeno problema comigo e espero que me ajudem ...
                                      meu problema ficou por conta do Skype no momento de autenticar com a conta microsoft ... o resto funcionou 100% ...
                                      por exemplo se eu usar uma conta do Skype roda tranquilo ... no momento que eu tendo autenticar usando a conta microsoft ... nao vai de maneira nenhuma ... pesquisei no forum .... algumas  possiveis solucoes .. mais ainda nao achei algo .... que funcione ...
                                      estou usando SQUID3-DEV + SQUIDGUARD3+ SSL ....
                                      Alguem pode me ajudar !????

                                      1 Reply Last reply Reply Quote 0
                                      • M
                                        marcelloc
                                        last edited by May 12, 2014, 1:10 PM

                                        @redhaqi:

                                        no momento que eu tendo autenticar usando a conta microsoft … nao vai de maneira nenhuma ...

                                        O que os logs te mostram?

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • R
                                          rec
                                          last edited by May 12, 2014, 1:57 PM

                                          @marcelloc:

                                          @rec.br9:

                                          Como posso colocar o Banco do Brasil totalmente liberado?

                                          Com proxy não transparente, basta colocar na whitelist ou criar uma custom acl com ssl_bump none sites_banco
                                          Com proxy transparente, crie um alias de rede ou host e configure a opção Bypass proxy for these destination IPs com este alias.

                                          Deu certo, valeu novamente marcelloc. Grande Abraço!

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received