Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Bom dia estou tendo um problema com squid + ssl não em bloquear paginas e sim ter acesso a uma apos esta habilitado o controle de ssl em proxy transparent se eu tento acessa a pagina a baixo com o um certificado digital ele não me da acesso não aparece a aba para selecionar o certificado caso eu desmarque a opção do ssl ele me aparece a aba para selecionar o certificado.
Já tentou colocar este site na whitelist e acompanhar pelos logs se o squid para de interceptar e faz apenas proxy da conexão ssl?
-
Olá Marcello,
Funciona sim, testei também na Bypass proxy for these destination IPs no Proxy Server.
Inseri o ip do site ou também "gov.br" esse erro de ssl em site do governo dá muito esse tipo de erro.At.
-
@Márcio:
em site do governo dá muito esse tipo de erro.
Dá principalmente por conta dos certificados da icp brasil.
-
É possivel fazer a filtragem de HTTPS sem utilizar o proxy transparente ?
-
Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.
-
É possivel fazer a filtragem de HTTPS sem utilizar o proxy transparente ?
Sim. Fica até melhor para aplicativos como o skype.
-
Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.
Provavelmente você vai ter que configurar estes sites para não passar pelo proxy.
-
bom dia so que se fosse esse problema ainda esta bom so que tem diversos sites onde da o msm problema como caixa economica federal dentre outros pois depende de uso de certificado digital para se conseguir logar no site.
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Resposta aqui (talvez resolva o problema do Chrome, relatado acima):
always_direct allow all
ssl_bump server-first all …Estes parametros ativam a interceptação de ssl.
Na próxima versão do pacote esses parâmetros já são definidos automaticamente.Coloque estas acl no campo Custom ACLS (Before_Auth)
-
Bom dia, consegui que funciona-se o ssl perfeitamente no eu que preciso! bloqueios etc!, mas sempre aparece o elemento não esperado, um dos donos usa o celular no wi-fi com sistema Android 2.2 o qual o certificado por algum motivo não funciona nesse celular!.
A minha duvida é a seguinte, é possível fazer um ip passar direto sem passar pelo filtro SSL ou que não necessite usar o certificado.
Fico agradecido desde já. -
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
Bom dia,
em Service - proxy server
HTTPS/SSL interception
Enable SSL filtering. esta ativa? -
Coloque estas acl no campo Custom ACLS (Before_Auth)
always_direct allow all ssl_bump server-first allNa versão 3.2.3 já está corrigida, mas infelizmente o repositório dos pacotes agora só é alterado pelo core team.
Uma atualização que demorava minutos agora pode levar dias… como acontece com o snort.
Marcellloc VC É O CARA!!! Se vc não fosse homem e feio eu ti beijava! ;D
Depois de ler 19 páginas tentando resolver o problema das páginas HTTPS do Google que ficava só dando erro de certificado, vc com duas linhas de configuração solucionou tudo!
Muito obrigado!
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
Bom dia,
em Service - proxy server
HTTPS/SSL interception
Enable SSL filtering. esta ativa?Sim, está.
-
Olá,
Consegui fazer funcionar, esta bloqueando Facebook via squidguard + blacklist, só que alguns sites esta (http) esta dando o erro abaixo:
–-----------------------------
Request denied by pfSense proxy: 403 ForbiddenReason:
Client address: 192.168.100.50
Client group: default
Target group: none
URL: http://www.speedtest.net/
–-----------------------------Mas é um site simples não tem nenhuma regra para bloquear ele, estou só bloqueando redes sociais.
E o mais estranho é que outros sites http e até mesmo https (gmail, etc...) carregam normalmente.
Alguém tem uma dica?
Obrigado!
-
Seu Default access [all] no Commom ACL do squidguard nao esta como deny ?
-
Bom dia, estou configurando e quase terminando meu PFSense 2.1.3-RELEASE (amd64), com squid3-dev 3.3.10 e squidGuard-squid3 1.9.5. Está tudo funcionando perfeitamente, bloqueios https, http e captive portal, mas um detalhe que depois que configurei o Squid percebi, minhas rotas de saída para as portas 80 e 443 não funcionam mais, eu tinha por exemplo, uma rota de saida para cada porta, onde cada uma delas iriam sair por determinados gateways, ou determinada porta sairia pelo Load Balance(Gateway Groups Criado para 3 links WAN).
Será que estou esquecendo de fazer alguma configuração? Alguém poderia me dar uma dica?Obrigado por enquanto….
-
Seu Default access [all] no Commom ACL do squidguard nao esta como deny ?
Esta como ALL, to achando muito estranho pq vários sites funcionam é um ou outro que ele bloqueia mesmo sem ter regras para isso.Agora fiz um outro teste e descobri que o facebook esta sendo bloqueado mesmo quando eu desativo a regra de bloqueio ou mudo o horário que ele deveria ser bloqueado, vou fazer mais testes.
–--------------
EDIT (SOLUCIONADO):
Era algum bug, hoje eu fui olhar e tinha uma atualização do PKG do squid3-dev da versão 2.2.5 para a 2.2.6 mandei atualizar e agora esta funcionando os sites http que ele bloqueava as vezes, mesmo sem ter regras para isso.
Só a questão da regra de bloqueio do Facebook que mesmo depois de eu desativar e dar um Apply continua bloqueando, mas acredito que seja alguma coisa do cache ainda não descobri como limpar o cache do squid para testar.
-
Alguém com solução para Smartphone? alem da DMZ?
