Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelofjs

Bom dia

Pessoal lendo o post verifiquei que uma situação onde um colega colocou que o hoje não necessita da instalação das bibliotecas no squid3-dev, pois já esta vindo com ela e no dele funcionou perfeitamento, alguém testou ai?

Já fiz de tudo e nada.

Sobre a instalação ou não utilização do certificado teria como?

Marcelo

marcelloc

@marcelofjs:

Sobre a instalação ou não utilização do certificado teria como?

Para interceptação de ssl, você vai precisar do certificado (ca) instalado nas estações.

Sem isso, qualquer site vai dar erro de ssl.

tiagopesantos

olá pessoal, talvez aguem esteja passando a mesma situação que eu, instalei o Pfsense 2.2 do zero, adicionei o pacote squid 3.4.10_2 pkg 0.2.6, com o proxy transparente marcado em proxy server , saídas pela porta 80 sem navegador configurado proxy não conecta, fica syn_sent, só acessa 443 normal.
nesta instalação não adicionei as bibliotecas como mostra no primeiro post, é necessário? caso não seja isso o que pode ser?
também na versao pf 2.2 nao aparece mais o squid3-dev.
obrigado.

marcelloc

O squid3-dev é o squid3 na 2.2.

Marcou a lan nas interfaces do Proxy transparente?

tiagopesantos

com certeza, LAN marcado.

marcelloc

Execute o squid -k parse como sugeri no outro tópico.

tiagopesantos

executei o squid -k parse,


[2.2-RELEASE][admin@pfSense.localdomain]/root: squid -k parse
2015/01/28 08:49:13| Startup: Initializing Authentication Schemes ...
2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'basic'
2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'digest'
2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'negotiate'
2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'ntlm'
2015/01/28 08:49:13| Startup: Initialized Authentication.
2015/01/28 08:49:13| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2015/01/28 08:49:13| Processing: http_port 192.168.1.1:3128
2015/01/28 08:49:13| Processing: http_port 127.0.0.1:3128 intercept
2015/01/28 08:49:13| Starting Authentication on port 127.0.0.1:3128
2015/01/28 08:49:13| Disabling Authentication on port 127.0.0.1:3128 (interception enabled)
2015/01/28 08:49:13| Processing: icp_port 0
2015/01/28 08:49:13| Processing: dns_v4_first off
2015/01/28 08:49:13| Processing: pid_filename /var/run/squid/squid.pid
2015/01/28 08:49:13| Processing: cache_effective_user proxy
2015/01/28 08:49:13| Processing: cache_effective_group proxy
2015/01/28 08:49:13| Processing: error_default_language en
2015/01/28 08:49:13| Processing: icon_directory /usr/pbi/squid-i386/local/etc/squid/icons
2015/01/28 08:49:13| Processing: visible_hostname localhost
2015/01/28 08:49:13| Processing: cache_mgr admin@localhost
2015/01/28 08:49:13| Processing: access_log /dev/null
2015/01/28 08:49:13| Processing: cache_log /var/squid/logs/cache.log
2015/01/28 08:49:13| Processing: cache_store_log none
2015/01/28 08:49:13| Processing: netdb_filename /var/squid/logs/netdb.state
2015/01/28 08:49:13| Processing: pinger_enable on
2015/01/28 08:49:13| Processing: pinger_program /usr/pbi/squid-i386/local/libexec/squid/pinger
2015/01/28 08:49:13| Processing: logfile_rotate 0
2015/01/28 08:49:13| Processing: debug_options rotate=0
2015/01/28 08:49:13| Processing: shutdown_lifetime 3 seconds
2015/01/28 08:49:13| Processing: acl localnet src  192.168.1.0/24
2015/01/28 08:49:13| Processing: uri_whitespace strip
2015/01/28 08:49:13| Processing: acl dynamic urlpath_regex cgi-bin \?
2015/01/28 08:49:13| Processing: cache deny dynamic
2015/01/28 08:49:13| Processing: cache_mem 8 MB
2015/01/28 08:49:13| Processing: maximum_object_size_in_memory 32 KB
2015/01/28 08:49:13| Processing: memory_replacement_policy heap GDSF
2015/01/28 08:49:13| Processing: cache_replacement_policy heap LFUDA
2015/01/28 08:49:13| Processing: minimum_object_size 0 KB
2015/01/28 08:49:13| Processing: maximum_object_size 10 KB
2015/01/28 08:49:13| Processing: offline_mode off
2015/01/28 08:49:13| Processing: cache allow all
2015/01/28 08:49:13| Processing: acl allsrc src all
2015/01/28 08:49:13| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3127 1025-65535
2015/01/28 08:49:13| Processing: acl sslports port 443 563
2015/01/28 08:49:13| Processing: acl purge method PURGE
2015/01/28 08:49:13| Processing: acl connect method CONNECT
2015/01/28 08:49:13| Processing: acl HTTP proto HTTP
2015/01/28 08:49:13| Processing: acl HTTPS proto HTTPS
2015/01/28 08:49:13| Processing: http_access allow manager localhost
2015/01/28 08:49:13| Processing: http_access deny manager
2015/01/28 08:49:13| Processing: http_access allow purge localhost
2015/01/28 08:49:13| Processing: http_access deny purge
2015/01/28 08:49:13| Processing: http_access deny !safeports
2015/01/28 08:49:13| Processing: http_access deny CONNECT !sslports
2015/01/28 08:49:13| Processing: request_body_max_size 0 KB
2015/01/28 08:49:13| Processing: delay_pools 1
2015/01/28 08:49:13| Processing: delay_class 1 2
2015/01/28 08:49:13| Processing: delay_parameters 1 -1/-1 -1/-1
2015/01/28 08:49:13| Processing: delay_initial_bucket_level 100
2015/01/28 08:49:13| Processing: delay_access 1 allow allsrc
2015/01/28 08:49:13| Processing: http_access allow localnet
2015/01/28 08:49:13| Processing: http_access deny allsrc
2015/01/28 08:49:13| Initializing https proxy context
[2.2-RELEASE][admin@pfSense.localdomain]/root:

proxy.jpg_thumb

proxy2.jpg_thumb

marcelloc

aparentemente nenhum erro de configuração.

Consegue testar a versão 64bits?

Rodrigo1978

Boa tarde,

Gostaria de saber, baseado no que foi discutido nesse tópico, se consigo apenas registrar o log dos acessos https, sem a instalação de certificados nos clientes. Preciso implementar essa solução em um sistema de hotspot e ficaria inviável a instalação do certificado em cada usuári
Nesse caso não preciso filtrar nada, apenas registar.
Já uso proxy transparente com o captive portal registrando os acessos http normalmente.

Obrigado

marcelloc

Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

Rodrigo1978

@marcelloc:

Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

Valeu Marcelo!

tiagopesantos

farei a instalação com 64bits, mostrarei resultados aqui
obrigado.

rvl

Na versao 2.1.5 precisa instalar as bibliotecas?

tiagopesantos

não precisa adicionar as bibliotecas !
é Marcelo, meu computador não suporta 64 bits, porem instalei o 2.1.5 I386 e está funcionando normal o proxy transparente squid 3 - dev, na filtragem SSL também está normal, porem o Gmail e Facebook não aceita o certificado que criei, o que faço?
obrigado. :(

face.jpg_thumb

marcelloc

Você provavelmente esta instalando o certificado no lugar errado.

tiagopesantos

em proxy server/general/transparent proxy.tem uma nota como diz abaixo:

To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp.

estas opções WPAD/PAC onde encontro em DNS e DHCP?

obrigado

tiagopesantos

Desculpas Marcelo, passei cego nas paginas 24 e 25 do forum, onde diz

#Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings

always_direct allow all
ssl_bump server-first all

por isso que não dava certo o acesso a gmail e facebook.

Quanto ao acesso a dispositivos moveis whats app e outros consegui bypassar no proxy criando aliases, porem no caso da rede google, alguns aplicativos não conecta na internet, ai ponho a rede google que esta bloqueando no bypass do proxy, e tudo que passa pelo google em computadores desktop, para de ser monitorado claro, será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall ???

obrigado.

marcelloc

@tiagopesantos:

será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall ???

Com o que tem na interface web do pacote atual não. O bypass vai funcionar para 80 e 443.

Medeiros

Boa noite pessoal, tudo bem?

Em primeiro lugar, parabéns ao Marcello pelo excelente trabalho.

Fiz a instalação do Squid3 e também do SquidGuard direto pelos packages (minha versão é a nova 2.2).

Habilitei o proxy server transparente e também o filtro SSL. Criei uma CA no pfSense e exportei o certificado para uma estação de testes.

Antes de instalar o certificado, como foi dito, todos os sites SSL apresentavam erro. Após a instalação do certificado na pasta de Autoridades Certificadoras Confiáveis, os sites passaram a ser acessados, sem o erro de certificado, com exceção de um…

Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

Se eu acesso mail.google.com, aí sim ele acessa sem erros.

Tentei colocar na whitelist do Proxy Server os seguintes domínios:
*.gmail.com
*.gmail.com.br
.gmail.com
.gmail.com.br
gmail.com
gmail.com.br

Também tentei na CommonACL e no GroupACL do Proxy Filter

Todos sem sucesso, o site continua com erro de SSL. Não que isso seja um problema urgente, mas preciso saber como adicionar endereços de forma correta na whitelist para o caso de mais sites apresentarem esse comportamento.

Alguem já passou por algo parecido ou sabe a maneira correta de inserir domínios no Whitelist do Server ou do Filter?

Abraços e obrigado!

marcelloc

@Medeiros:

Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

se acessar o gmail.com sem ssl ele não redireciona para o site certo?