Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
@JuniorAndrade:
Bom minha solução para os erros de Certificado !
Se o Site está na Whitelist e está com erro de certificado ..
Fiz uma Aliases "Passproxy" coloquei no squid ..
e decubro o IP do destino e vou liberando.. jogando por trás do Proxy (Bypass)
Se o site é para liberar para alguns …Fiz 2 Aliases e fiz o bloqueio via Regra de Firewall por IP, mas tem a opção de ir por URL também !
Estou usando tranquilamente o SSL :)
Oi tudo bem, se poderia mostrar algum exemplo de como fazer isso fazendo favor
Muito Obrigado -
coloca as configurações de proxy no dropbox que funciona mesma coisa pro skydriver
-
Galera, quem ta com problemas para acessar o Gmail, eu consegui contornar o problema, configurei o Squidguard para toda vez qeu a pessoa entrar nos sites www.gmail.com e www.gmail.com.br ele redirecione para a pagina www.lemail.com.br
-
aproveitando para tirar uma duvida, vi que tem a versão squid3-dev que intercepta ssl em modo transparente, e agora a desse topico, então minha pergunta é: esse a mesma coisa que a versão dev?
se não,
sei que versão dev vem de desenvolvimento e que por tanto não é estável, e talvez algumas coisas tenham que ser feitas como se diz na mão, então se caso forem versões diferentes alguem poderia esclarecer a diferente entre as duas versões e quais as vantagens e desvantagens de cada uma, e por ultimo caso coloque o proxy transparente com filtro de ssl, com certificado auto assinado, vai ficar dando aquela tela de erro caso não importe o certificado em todos os pc correto?
há alguma forma de contornar isso, sem ter que colcoar certificado valido, pois aqui é uma instituição de ensino publica, ai pra adquirir certificado digital já viu né a maior burocracia do mundo, e segundo se tiver importar em todas as maquinas, pq aqui tem wifi pra alunos e visitantes, ai já viu né todo dia tem pc novo na rede, vou passar o dia todim só adicionando certificado em notes -
Boa noite marcioducrato! Nesse seu caso as versões não são estáveis pois existem mantedores do pacote pessoas dedicadas a esse projeto magnifico e sempre a mudanças.. bom vejo que outra duvida sua é sobre certificado, bom esse problema é pelo motivo de ser auto-assinado alguns sites não vão entender e apresentará o erro.. não entendo muito de certificados mais é uma base. Oque voce pode fazer é colocar uma vlan na sua rede e tentar passar somente pelo squid3 e não marcar o ssl, ou colocar uma 2ª placa de rede e fazer o memso procedimento mas retirar o ssl assim fica perfeitoo..
-
blza mais minha duvida principal é:
esse 3.3.10 é a mesma coisa do squid-dev?
e caso esse 3.3.10 faz o filtro ssl em modo transparente correto? que antes só era feito pelo squid-dev então quais as diferenças e pq ter os dois é isso que um nó na minha cabeça. -
Bom! "esse 3.3.10 é a mesma coisa do squid-dev?"
marcioducrato a versão 3.3.10 é o squid3-dev… e em ter os 2 não, pois é squid, squid3 e o squid3-dev o ultimo sim faz interceptação SSL em modo transparente usando o certificado auto-assinado... assim voce escolhe qual usar..
:D -
Boa noite,
Estou tentando configurar o squid3-dev, Versão 3.3.10 pkg 2.2.6, como Proxy transparente o mesmo já esta com o certificado criado, habilitei o protocolo IPV6 "uso IPV4" porem o mesmo start o serviço e depois de um tempo se encerrar, quando o serviço do Proxy para ninguém consegui navegar, tenho que desmarca o Transparent Proxy, mesmo que encerrado e star-talo novamente sem marcar o Transparent Proxy, porem acontece à mesma coisa que citado acima ele se encerrar e todos os colaboradores voltam a navegar, segue os logs das duas situações.
Situação Transparent Proxy:
Last 50 system log entries
Oct 8 22:34:36 squid[86838]: Squid Parent: will start 1 kids
Oct 8 22:34:36 squid[86838]: Squid Parent: (squid-1) process 87272 started
Oct 8 22:34:37 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:37 squid[86838]: Squid Parent: (squid-1) process 87272 exited with status 1
Oct 8 22:34:38 php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was '2014/10/08 22:34:38| Warning: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl" squid: ERROR: No running copy'
Oct 8 22:34:40 squid[86838]: Squid Parent: (squid-1) process 2531 started
Oct 8 22:34:40 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:40 squid[86838]: Squid Parent: (squid-1) process 2531 exited with status 1
Oct 8 22:34:43 squid[86838]: Squid Parent: (squid-1) process 6882 started
Oct 8 22:34:43 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:43 squid[86838]: Squid Parent: (squid-1) process 6882 exited with status 1
Oct 8 22:34:46 squid[86838]: Squid Parent: (squid-1) process 23294 started
Oct 8 22:34:47 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:47 squid[86838]: Squid Parent: (squid-1) process 23294 exited with status 1
Oct 8 22:34:50 squid[86838]: Squid Parent: (squid-1) process 25745 started
Oct 8 22:34:50 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:50 squid[86838]: Squid Parent: (squid-1) process 25745 exited with status 1
Oct 8 22:34:50 squid[86838]: Squid Parent: (squid-1) process 25745 will not be restarted due to repeated, frequent failures
Oct 8 22:34:50 squid[86838]: Exiting due to repeated, frequent failuresSituação Sem Transparent Proxy:
Last 50 system log entries
Oct 8 22:36:48 squid[71794]: Squid Parent: will start 1 kids
Oct 8 22:36:48 squid[71794]: Squid Parent: (squid-1) process 72264 started
Oct 8 22:36:49 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:36:49 squid[71794]: Squid Parent: (squid-1) process 72264 exited with status 1
Oct 8 22:36:50 php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was '2014/10/08 22:36:50| Warning: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl" squid: ERROR: No running copy'
Oct 8 22:36:52 squid[71794]: Squid Parent: (squid-1) process 87072 started
Oct 8 22:36:53 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:36:53 squid[71794]: Squid Parent: (squid-1) process 87072 exited with status 1
Oct 8 22:36:56 squid[71794]: Squid Parent: (squid-1) process 90970 started
Oct 8 22:36:56 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:36:56 squid[71794]: Squid Parent: (squid-1) process 90970 exited with status 1
Oct 8 22:36:59 squid[71794]: Squid Parent: (squid-1) process 92629 started
Oct 8 22:36:59 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:36:59 squid[71794]: Squid Parent: (squid-1) process 92629 exited with status 1
Oct 8 22:37:02 squid[71794]: Squid Parent: (squid-1) process 93775 started
Oct 8 22:37:02 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:37:02 squid[71794]: Squid Parent: (squid-1) process 93775 exited with status 1
Oct 8 22:37:02 squid[71794]: Squid Parent: (squid-1) process 93775 will not be restarted due to repeated, frequent failures
Oct 8 22:37:02 squid[71794]: Exiting due to repeated, frequent failures
Agradeço antecipadamente! :) -
Boa tarde alguém teve problema para acessar certificado digital estou com o problema de não aparecer a tela para selecionar o certificado.
-
Boa tarde,
Estou com problemas de filtragem de SSL.
Está tudo feito conforme o tutorial e as demais dicas deste post, porém continua não funcionando.
Acredito que a intercepção SSL não está rodando pois quando tento dar um telnet na porta q eu especifiquei, a porta está fechada, enquanto na porta do HTTP a conexão funciona.Alguém tem alguma ideia?
-
Gostaria de agradecer ao marcelloc e a todos que contribuíram com este tópico, pois graças a vocês estou com pfsense 2.1.5 + squid3-dev + squidGuard-squid3 funcionando em modo transparente! :)
Tenho uma dúvida e creio que seja por minha falta de conhecimento.
Tentei colocar alguns sites que dão problema de certificado como Bypass, mas não consegui, eles continuam passando pelo proxy. E o tentei fazer um redirecionamento do www.gmail.com para www.lemail.com.br via squidguard, e tive problemas. Depois de criada a ACL o squidguard começava liberar sites bloqueados. Quando deleto a ACL o squidguard volta a bloquear normalmente. Isso pode ser alguma configuração errada?
-
Excelente tuto, porem a fiz a configuração e instalação do certificado e mesmo assim está com erro de certificado quando acessa https. Pode me dar uma luz? Usando windows 8.1!
Havia me esquecido do "always_direct allow all
ssl_bump server-first all"Tudo funcionando perfeito!!
Valeu!!
-
Bom Dia a todos,
Marcelo gostaria de saber qual o tipo de cetificado e onde comprar para que não de o erro de certificado autoassinado.
Obrigado pelo maravilhoso projeto!!!
-
Boa tarde,
Estou com problemas de filtragem de SSL.
Está tudo feito conforme o tutorial e as demais dicas deste post, porém continua não funcionando.
Acredito que a intercepção SSL não está rodando pois quando tento dar um telnet na porta q eu especifiquei, a porta está fechada, enquanto na porta do HTTP a conexão funciona.Alguém tem alguma ideia?
Bom dia galera, estou tento o mesmo problema do certificado, quando fiz o bloqueio do facebook eo youtube quando vou acessa a pagina do google.com aparece assim
Sua conexão não é particular e no final da pagina aparece o erro" Não é possível acessar www.google.com.br no momento, porque o website usa HSTS. Ataques e erros de rede geralmente são temporários. Portanto, essa página deve funcionar mais tarde.
NET::ERR_CERT_AUTHORITY_INVALID"
ALGUEM PODERIA ME AJUDA ESTOU TENTO MUITO DIFICULDADE COM ISSO,
ABS
-
Pra mim quando ocorreu esta mensagem…Limpei todos dados de Navegação e instalei CERTIFICADO e funcionou ok!
-
@nblx96:
Pra mim quando ocorreu esta mensagem…Limpei todos dados de Navegação e instalei CERTIFICADO e funcionou ok!
faz isso da o mesmo erro mesmo erro, :'(
-
Olá alguém sabe me dizer se ele é compatível com o squidguard porque quando instalo o squidguard a lista Bypass proxy for these destination IPs para de funcionar e começa a dar erro de certificado.
Quando está só o squid fica liso. -
Galera, quem ta com problemas para acessar o Gmail, eu consegui contornar o problema, configurei o Squidguard para toda vez qeu a pessoa entrar nos sites www.gmail.com e www.gmail.com.br ele redirecione para a pagina www.lemail.com.br
Muito top essa ideia em
mais como faiz isso eu nao sei
poderia explicar fazendo favor
muito obrigado -
Marcelloc, boa tarde!
Uma dúvida bem básica sobre esse procedimento, não sei se já responderam.
É possível esse procedimento rodar em o certificado no cliente local?
Pergunto pois minha principal aplicação é em uma escola com 700+ clients, e seria uma tarefa no mínimo interessante instalar certificado, sem contar que a grande parte é móvel.
Testei um ambiente de testes e não consegui sem o certificado local :(
Grato e boas festas!
Abraços!
-
Pergunto pois minha principal aplicação é em uma escola com 700+ clients, e seria uma tarefa no mínimo interessante instalar certificado, sem contar que a grande parte é móvel.
Dica extra: Dê uma olhada com bastante atenção para as aulas do Curso pfSense Intranet, gravadas pelo próprio Marcelloc. Veja que há várias opções disponíveis, a partir do Squid 3 para o seu caso - que precisa fazer autenticação transparente e interceptação de tráfego SSL.
Tudo, normalmente, é muito mais uma questão conceitual do que prática. Por isso sugiro as aulas do Marcello. Elas ficaram completas e mto didáticas!
Link curso on-line: http://sys-squad.com/sys/curso/48
Abraços!
Jack
