Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 402.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JackLJ
      JackL
      last edited by

      @Riroxi:

      Mas se alguém tiver conseguido fazer sem a necessidade de instalar manualmente o certificado, ou uma maneira de fazer um push do mesmo para as estações com o pfsense seria interessante compartilhar.

      Não conheço nenhuma ferramenta, nem mesmo com licenciamento comercial, que faça o que você quer… totalmente transparente.

      Você até pode automatizar algumas coisas se tiver um PDC/AD na sua rede, mas certamente não no nível de '100% transparente e automático'. É importante entender que o que você propõe distorce boa parte das garantias mínimas de segurança de qualquer SO (instalar um certificado SSL para que o navegador confie no seu firewall e de quebra interceptar tráfego encriptado sem seu usuário saber). Concordas?

      Sugiro fortemente, no seu caso, dar uma olhada nesta solução de integração com Captive Portal + FreeRadius + Squid 3. Nesta aula, gravada pelo próprio marcelloc, você aprenderá a integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes). Você ainda aprende nesta aula como configurar limites de tráfego, tempo de navegação, quantidade de download e muito mais aos seus usuários através do FreeRadius.

      Importante: Não estou tentando 'empurrar' aqui o treinamento. Apenas dizendo que existem formas racionais e eficientes de suprir o que você quer e temos desenvolvedores (brasileiros inclusive) que já trabalharam nisso. Está pronto, e existe pelo menos uma aula que lhe mostra como fazer isso - gravada pelo próprio desenvolvedor! ;)

      Abraços!
      Jack

      Treinamentos de Elite: http://sys-squad.com
      Soluções: https://conexti.com.br

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Opa.  Eu recomendo as aulas. Além de aprender o passo a passo, você ainda contribui com o desenvolvedor e todo mundo sai ganhando. ;D

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • R
          Riroxi
          last edited by

          Bom dia!

          Entendo, meu problema é que não existe AD nessa rede. Quanto aos cursos, não acho um problema relaciona-los aqui. Assim que sobrar um tempo (entenda-se $) vou assistir alguns.

          Começo de ano não é fácil pra ninguém! :P

          @JackL:

          Captive Portal + FreeRadius + Squid 3.

          Isso é interessante, nessa rede já roda um Capitive + radius filtrando por MAC. Vou verificar a integração com SQUID3.

          No mais, feliz ano novo a todos!

          Abraços!

          1 Reply Last reply Reply Quote 0
          • M
            marcelofjs
            last edited by

            Bom dia

            Pessoal lendo o post verifiquei que uma situação onde um colega colocou que o hoje não necessita da instalação das bibliotecas no squid3-dev, pois já esta vindo com ela e no dele funcionou perfeitamento, alguém testou ai?

            Já fiz de tudo e nada.

            Sobre a instalação ou não utilização do certificado teria como?

            Marcelo

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              @marcelofjs:

              Sobre a instalação ou não utilização do certificado teria como?

              Para interceptação de ssl,  você vai precisar do certificado (ca)  instalado nas estações.

              Sem isso,  qualquer site vai dar erro de ssl.

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • tiagopesantosT
                tiagopesantos
                last edited by

                olá pessoal, talvez aguem esteja passando a mesma situação que eu, instalei o Pfsense 2.2 do zero, adicionei o pacote squid 3.4.10_2 pkg 0.2.6, com o proxy transparente marcado em proxy server , saídas pela porta 80 sem navegador configurado proxy não conecta, fica syn_sent, só acessa 443 normal. 
                nesta instalação não adicionei as bibliotecas como mostra no primeiro post, é necessário?  caso não seja isso o que pode ser?
                também na versao pf 2.2 nao aparece mais o squid3-dev.
                obrigado.

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  O squid3-dev é o squid3 na 2.2.

                  Marcou a lan nas interfaces do Proxy transparente?

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • tiagopesantosT
                    tiagopesantos
                    last edited by

                    com certeza, LAN marcado.

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      Execute o squid -k parse como sugeri no outro tópico.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • tiagopesantosT
                        tiagopesantos
                        last edited by

                        executei o squid -k parse,

                        
                        [2.2-RELEASE][admin@pfSense.localdomain]/root: squid -k parse
                        2015/01/28 08:49:13| Startup: Initializing Authentication Schemes ...
                        2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'basic'
                        2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'digest'
                        2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'negotiate'
                        2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'ntlm'
                        2015/01/28 08:49:13| Startup: Initialized Authentication.
                        2015/01/28 08:49:13| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
                        2015/01/28 08:49:13| Processing: http_port 192.168.1.1:3128
                        2015/01/28 08:49:13| Processing: http_port 127.0.0.1:3128 intercept
                        2015/01/28 08:49:13| Starting Authentication on port 127.0.0.1:3128
                        2015/01/28 08:49:13| Disabling Authentication on port 127.0.0.1:3128 (interception enabled)
                        2015/01/28 08:49:13| Processing: icp_port 0
                        2015/01/28 08:49:13| Processing: dns_v4_first off
                        2015/01/28 08:49:13| Processing: pid_filename /var/run/squid/squid.pid
                        2015/01/28 08:49:13| Processing: cache_effective_user proxy
                        2015/01/28 08:49:13| Processing: cache_effective_group proxy
                        2015/01/28 08:49:13| Processing: error_default_language en
                        2015/01/28 08:49:13| Processing: icon_directory /usr/pbi/squid-i386/local/etc/squid/icons
                        2015/01/28 08:49:13| Processing: visible_hostname localhost
                        2015/01/28 08:49:13| Processing: cache_mgr admin@localhost
                        2015/01/28 08:49:13| Processing: access_log /dev/null
                        2015/01/28 08:49:13| Processing: cache_log /var/squid/logs/cache.log
                        2015/01/28 08:49:13| Processing: cache_store_log none
                        2015/01/28 08:49:13| Processing: netdb_filename /var/squid/logs/netdb.state
                        2015/01/28 08:49:13| Processing: pinger_enable on
                        2015/01/28 08:49:13| Processing: pinger_program /usr/pbi/squid-i386/local/libexec/squid/pinger
                        2015/01/28 08:49:13| Processing: logfile_rotate 0
                        2015/01/28 08:49:13| Processing: debug_options rotate=0
                        2015/01/28 08:49:13| Processing: shutdown_lifetime 3 seconds
                        2015/01/28 08:49:13| Processing: acl localnet src  192.168.1.0/24
                        2015/01/28 08:49:13| Processing: uri_whitespace strip
                        2015/01/28 08:49:13| Processing: acl dynamic urlpath_regex cgi-bin \?
                        2015/01/28 08:49:13| Processing: cache deny dynamic
                        2015/01/28 08:49:13| Processing: cache_mem 8 MB
                        2015/01/28 08:49:13| Processing: maximum_object_size_in_memory 32 KB
                        2015/01/28 08:49:13| Processing: memory_replacement_policy heap GDSF
                        2015/01/28 08:49:13| Processing: cache_replacement_policy heap LFUDA
                        2015/01/28 08:49:13| Processing: minimum_object_size 0 KB
                        2015/01/28 08:49:13| Processing: maximum_object_size 10 KB
                        2015/01/28 08:49:13| Processing: offline_mode off
                        2015/01/28 08:49:13| Processing: cache allow all
                        2015/01/28 08:49:13| Processing: acl allsrc src all
                        2015/01/28 08:49:13| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3127 1025-65535
                        2015/01/28 08:49:13| Processing: acl sslports port 443 563
                        2015/01/28 08:49:13| Processing: acl purge method PURGE
                        2015/01/28 08:49:13| Processing: acl connect method CONNECT
                        2015/01/28 08:49:13| Processing: acl HTTP proto HTTP
                        2015/01/28 08:49:13| Processing: acl HTTPS proto HTTPS
                        2015/01/28 08:49:13| Processing: http_access allow manager localhost
                        2015/01/28 08:49:13| Processing: http_access deny manager
                        2015/01/28 08:49:13| Processing: http_access allow purge localhost
                        2015/01/28 08:49:13| Processing: http_access deny purge
                        2015/01/28 08:49:13| Processing: http_access deny !safeports
                        2015/01/28 08:49:13| Processing: http_access deny CONNECT !sslports
                        2015/01/28 08:49:13| Processing: request_body_max_size 0 KB
                        2015/01/28 08:49:13| Processing: delay_pools 1
                        2015/01/28 08:49:13| Processing: delay_class 1 2
                        2015/01/28 08:49:13| Processing: delay_parameters 1 -1/-1 -1/-1
                        2015/01/28 08:49:13| Processing: delay_initial_bucket_level 100
                        2015/01/28 08:49:13| Processing: delay_access 1 allow allsrc
                        2015/01/28 08:49:13| Processing: http_access allow localnet
                        2015/01/28 08:49:13| Processing: http_access deny allsrc
                        2015/01/28 08:49:13| Initializing https proxy context
                        [2.2-RELEASE][admin@pfSense.localdomain]/root:
                        
                        

                        proxy.jpg
                        proxy.jpg_thumb
                        proxy2.jpg
                        proxy2.jpg_thumb

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          aparentemente nenhum erro de configuração.

                          Consegue testar a versão 64bits?

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • R
                            Rodrigo1978
                            last edited by

                            Boa tarde,

                            Gostaria de saber, baseado no que foi discutido nesse tópico, se consigo apenas registrar o log dos acessos https, sem a instalação de certificados nos clientes. Preciso implementar essa solução em um sistema de hotspot e ficaria inviável a instalação do certificado em cada usuári
                            Nesse caso não preciso filtrar nada, apenas registar.
                            Já uso proxy transparente com o captive portal registrando os acessos http normalmente.

                            Obrigado

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • R
                                Rodrigo1978
                                last edited by

                                @marcelloc:

                                Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

                                Valeu Marcelo!

                                1 Reply Last reply Reply Quote 0
                                • tiagopesantosT
                                  tiagopesantos
                                  last edited by

                                  farei a instalação com 64bits, mostrarei resultados aqui
                                  obrigado.

                                  1 Reply Last reply Reply Quote 0
                                  • R
                                    rvl
                                    last edited by

                                    Na versao 2.1.5 precisa instalar as bibliotecas?

                                    1 Reply Last reply Reply Quote 0
                                    • tiagopesantosT
                                      tiagopesantos
                                      last edited by

                                      não precisa adicionar as bibliotecas !
                                      é Marcelo, meu computador não suporta 64 bits, porem instalei o 2.1.5 I386 e está funcionando normal o proxy transparente squid 3 - dev, na filtragem SSL também está normal, porem o Gmail e Facebook não aceita o certificado que criei, o que faço?
                                      obrigado.  :(

                                      face.jpg
                                      face.jpg_thumb

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        Você provavelmente esta instalando o certificado no lugar errado.

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • tiagopesantosT
                                          tiagopesantos
                                          last edited by

                                          em proxy server/general/transparent proxy.tem uma nota como diz abaixo:

                                          To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp.

                                          estas opções WPAD/PAC onde encontro em DNS e DHCP?

                                          obrigado

                                          1 Reply Last reply Reply Quote 0
                                          • tiagopesantosT
                                            tiagopesantos
                                            last edited by

                                            Desculpas Marcelo, passei cego nas paginas 24 e 25 do forum, onde diz

                                            #Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings

                                            always_direct allow all
                                            ssl_bump server-first all

                                            • por isso que não dava certo o acesso a gmail e facebook.

                                            Quanto ao acesso a dispositivos moveis whats app e outros consegui bypassar no proxy criando aliases, porem no caso da rede google, alguns aplicativos não conecta na internet, ai ponho a rede google que esta bloqueando no bypass do proxy, e tudo que passa pelo google em computadores desktop, para de ser monitorado claro, será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall  ???

                                            obrigado.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.