Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

paulocarajas

coloca as configurações de proxy no dropbox que funciona mesma coisa pro skydriver

calijurio

Galera, quem ta com problemas para acessar o Gmail, eu consegui contornar o problema, configurei o Squidguard para toda vez qeu a pessoa entrar nos sites www.gmail.com e www.gmail.com.br ele redirecione para a pagina www.lemail.com.br

marcioducrato

aproveitando para tirar uma duvida, vi que tem a versão squid3-dev que intercepta ssl em modo transparente, e agora a desse topico, então minha pergunta é: esse a mesma coisa que a versão dev?

se não,
sei que versão dev vem de desenvolvimento e que por tanto não é estável, e talvez algumas coisas tenham que ser feitas como se diz na mão, então se caso forem versões diferentes alguem poderia esclarecer a diferente entre as duas versões e quais as vantagens e desvantagens de cada uma, e por ultimo caso coloque o proxy transparente com filtro de ssl, com certificado auto assinado, vai ficar dando aquela tela de erro caso não importe o certificado em todos os pc correto?
há alguma forma de contornar isso, sem ter que colcoar certificado valido, pois aqui é uma instituição de ensino publica, ai pra adquirir certificado digital já viu né a maior burocracia do mundo, e segundo se tiver importar em todas as maquinas, pq aqui tem wifi pra alunos e visitantes, ai já viu né todo dia tem pc novo na rede, vou passar o dia todim só adicionando certificado em notes

mateus0032

Boa noite marcioducrato! Nesse seu caso as versões não são estáveis pois existem mantedores do pacote pessoas dedicadas a esse projeto magnifico e sempre a mudanças.. bom vejo que outra duvida sua é sobre certificado, bom esse problema é pelo motivo de ser auto-assinado  alguns sites não vão entender e apresentará o erro.. não entendo muito de certificados mais é uma base. Oque voce pode fazer é colocar uma vlan na sua rede e tentar passar somente pelo squid3 e não marcar o ssl, ou colocar uma 2ª placa de rede e fazer o memso procedimento mas retirar o ssl assim fica perfeitoo..

marcioducrato

blza mais minha duvida principal é:

esse 3.3.10 é a mesma coisa do squid-dev?
e caso esse 3.3.10 faz o filtro ssl em modo transparente correto? que antes só era feito pelo squid-dev então quais as diferenças e pq ter os dois é isso que um nó na minha cabeça.

mateus0032

Bom! "esse 3.3.10 é a mesma coisa do squid-dev?"

marcioducrato a versão 3.3.10 é o squid3-dev… e em ter os 2 não, pois é squid, squid3 e o squid3-dev o ultimo sim faz interceptação SSL em modo transparente usando o certificado auto-assinado... assim voce escolhe qual usar..
  :D

silvabas

Boa noite,

Estou tentando configurar o squid3-dev, Versão 3.3.10 pkg 2.2.6, como Proxy transparente o mesmo já esta com o certificado criado, habilitei o protocolo IPV6 "uso IPV4" porem o mesmo start o serviço e depois de um tempo se encerrar, quando o serviço do Proxy para ninguém consegui navegar, tenho que desmarca o Transparent Proxy, mesmo que encerrado e star-talo novamente sem marcar o Transparent Proxy, porem acontece à mesma coisa que citado acima ele se encerrar e todos os colaboradores voltam a navegar, segue os logs das duas situações.

Situação Transparent Proxy:

Last 50 system log entries
Oct 8 22:34:36 squid[86838]: Squid Parent: will start 1 kids
Oct 8 22:34:36 squid[86838]: Squid Parent: (squid-1) process 87272 started
Oct 8 22:34:37 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:37 squid[86838]: Squid Parent: (squid-1) process 87272 exited with status 1
Oct 8 22:34:38 php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was '2014/10/08 22:34:38| Warning: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl" squid: ERROR: No running copy'
Oct 8 22:34:40 squid[86838]: Squid Parent: (squid-1) process 2531 started
Oct 8 22:34:40 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:40 squid[86838]: Squid Parent: (squid-1) process 2531 exited with status 1
Oct 8 22:34:43 squid[86838]: Squid Parent: (squid-1) process 6882 started
Oct 8 22:34:43 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:43 squid[86838]: Squid Parent: (squid-1) process 6882 exited with status 1
Oct 8 22:34:46 squid[86838]: Squid Parent: (squid-1) process 23294 started
Oct 8 22:34:47 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:47 squid[86838]: Squid Parent: (squid-1) process 23294 exited with status 1
Oct 8 22:34:50 squid[86838]: Squid Parent: (squid-1) process 25745 started
Oct 8 22:34:50 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:34:50 squid[86838]: Squid Parent: (squid-1) process 25745 exited with status 1
Oct 8 22:34:50 squid[86838]: Squid Parent: (squid-1) process 25745 will not be restarted due to repeated, frequent failures
Oct 8 22:34:50 squid[86838]: Exiting due to repeated, frequent failures

Situação Sem Transparent Proxy:

Last 50 system log entries
Oct 8 22:36:48 squid[71794]: Squid Parent: will start 1 kids
Oct 8 22:36:48 squid[71794]: Squid Parent: (squid-1) process 72264 started
Oct 8 22:36:49 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:36:49 squid[71794]: Squid Parent: (squid-1) process 72264 exited with status 1
Oct 8 22:36:50 php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was '2014/10/08 22:36:50| Warning: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl" squid: ERROR: No running copy'
Oct 8 22:36:52 squid[71794]: Squid Parent: (squid-1) process 87072 started
Oct 8 22:36:53 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:36:53 squid[71794]: Squid Parent: (squid-1) process 87072 exited with status 1
Oct 8 22:36:56 squid[71794]: Squid Parent: (squid-1) process 90970 started
Oct 8 22:36:56 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:36:56 squid[71794]: Squid Parent: (squid-1) process 90970 exited with status 1
Oct 8 22:36:59 squid[71794]: Squid Parent: (squid-1) process 92629 started
Oct 8 22:36:59 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:36:59 squid[71794]: Squid Parent: (squid-1) process 92629 exited with status 1
Oct 8 22:37:02 squid[71794]: Squid Parent: (squid-1) process 93775 started
Oct 8 22:37:02 (squid-1): Failed to verify one of the swap directories, Check cache.log for details. Run 'squid -z' to create swap directories if needed, or if running Squid for the first time.
Oct 8 22:37:02 squid[71794]: Squid Parent: (squid-1) process 93775 exited with status 1
Oct 8 22:37:02 squid[71794]: Squid Parent: (squid-1) process 93775 will not be restarted due to repeated, frequent failures
Oct 8 22:37:02 squid[71794]: Exiting due to repeated, frequent failures
Agradeço antecipadamente! :)

lucasperegrino

Boa tarde alguém teve problema para acessar certificado digital estou com o problema de não aparecer a tela para selecionar o certificado.

caue.hen

Boa tarde,

Estou com problemas de filtragem de SSL.
Está tudo feito conforme o tutorial e as demais dicas deste post, porém continua não funcionando.
Acredito que a intercepção SSL não está rodando pois quando tento dar um telnet na porta q eu especifiquei, a porta está fechada, enquanto na porta do HTTP a conexão funciona.

Alguém tem alguma ideia?

fernandork

Gostaria de agradecer ao marcelloc e a todos que contribuíram com este tópico, pois graças a vocês estou com pfsense 2.1.5 + squid3-dev + squidGuard-squid3 funcionando em modo transparente!  :)

Tenho uma dúvida e creio que seja por minha falta de conhecimento.

Tentei colocar alguns sites que dão problema de certificado como Bypass, mas não consegui, eles continuam passando pelo proxy. E o tentei fazer um redirecionamento do www.gmail.com para www.lemail.com.br via squidguard, e tive problemas. Depois de criada a ACL o squidguard começava liberar sites bloqueados. Quando deleto a ACL o squidguard volta a bloquear normalmente. Isso pode ser alguma configuração errada?

celsoncamelo

Excelente tuto, porem a fiz a configuração e instalação do certificado e mesmo assim está com erro de certificado quando acessa https. Pode me dar uma luz? Usando windows 8.1!

Havia me esquecido do "always_direct allow all
ssl_bump server-first all"

Tudo funcionando perfeito!!

Valeu!!

TreeDark

Bom Dia a todos,

Marcelo gostaria de saber qual o tipo de cetificado e onde comprar para que não de o erro de certificado autoassinado.

Obrigado pelo maravilhoso projeto!!!

McLaw

@caue.hen:

Boa tarde,

Estou com problemas de filtragem de SSL.
Está tudo feito conforme o tutorial e as demais dicas deste post, porém continua não funcionando.
Acredito que a intercepção SSL não está rodando pois quando tento dar um telnet na porta q eu especifiquei, a porta está fechada, enquanto na porta do HTTP a conexão funciona.

Alguém tem alguma ideia?

Bom dia galera, estou tento o mesmo problema do certificado, quando fiz o bloqueio do facebook eo youtube quando vou acessa a pagina do google.com aparece assim
Sua conexão não é particular e no final da pagina aparece o erro

" Não é possível acessar www.google.com.br no momento, porque o website usa HSTS. Ataques e erros de rede geralmente são temporários. Portanto, essa página deve funcionar mais tarde.

NET::ERR_CERT_AUTHORITY_INVALID"

ALGUEM PODERIA ME AJUDA ESTOU TENTO MUITO DIFICULDADE COM ISSO,

ABS

wesleycorrea

Pra mim quando ocorreu esta mensagem…Limpei todos dados de Navegação e instalei CERTIFICADO e funcionou ok!

McLaw

@nblx96:

Pra mim quando ocorreu esta mensagem…Limpei todos dados de Navegação e instalei CERTIFICADO e funcionou ok!

faz isso da o mesmo erro mesmo erro,  :'(

TreeDark

Olá alguém sabe me dizer se ele é compatível com o squidguard porque quando instalo o squidguard a lista Bypass proxy for these destination IPs para de funcionar e começa a dar erro de certificado.
Quando está só o squid fica liso.

m4xim0

@calijurio:

Galera, quem ta com problemas para acessar o Gmail, eu consegui contornar o problema, configurei o Squidguard para toda vez qeu a pessoa entrar nos sites www.gmail.com e www.gmail.com.br ele redirecione para a pagina www.lemail.com.br

Muito top essa ideia em
mais como faiz isso eu nao sei
poderia explicar fazendo favor
muito obrigado

Riroxi

Marcelloc, boa tarde!

Uma dúvida bem básica sobre esse procedimento, não sei se já responderam.

É possível esse procedimento rodar em o certificado no cliente local?

Pergunto pois minha principal aplicação é em uma escola com 700+ clients, e seria uma tarefa no mínimo interessante instalar certificado, sem contar que a grande parte é móvel.

Testei um ambiente de testes e não consegui sem o certificado local :(

Grato e boas festas!

Abraços!

JackL

@Riroxi:

Pergunto pois minha principal aplicação é em uma escola com 700+ clients, e seria uma tarefa no mínimo interessante instalar certificado, sem contar que a grande parte é móvel.

Dica extra: Dê uma olhada com bastante atenção para as aulas do Curso pfSense Intranet, gravadas pelo próprio Marcelloc. Veja que há várias opções disponíveis, a partir do Squid 3 para o seu caso - que precisa fazer autenticação transparente e interceptação de tráfego SSL.

Tudo, normalmente, é muito mais uma questão conceitual do que prática. Por isso sugiro as aulas do Marcello. Elas ficaram completas e mto didáticas!

Link curso on-line: http://sys-squad.com/sys/curso/48

Abraços!
Jack

Riroxi

Agradeço jackL, vou olhar depois os cursos.

Mas se alguém tiver conseguido fazer sem a necessidade de instalar manualmente o certificado, ou uma maneira de fazer um push do mesmo para as estações com o pfsense seria interessante compartilhar.

Grato!