Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

tiagopesantos

com certeza, LAN marcado.

marcelloc

Execute o squid -k parse como sugeri no outro tópico.

tiagopesantos

executei o squid -k parse,

[2.2-RELEASE][admin@pfSense.localdomain]/root: squid -k parse
2015/01/28 08:49:13| Startup: Initializing Authentication Schemes ...
2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'basic'
2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'digest'
2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'negotiate'
2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'ntlm'
2015/01/28 08:49:13| Startup: Initialized Authentication.
2015/01/28 08:49:13| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2015/01/28 08:49:13| Processing: http_port 192.168.1.1:3128
2015/01/28 08:49:13| Processing: http_port 127.0.0.1:3128 intercept
2015/01/28 08:49:13| Starting Authentication on port 127.0.0.1:3128
2015/01/28 08:49:13| Disabling Authentication on port 127.0.0.1:3128 (interception enabled)
2015/01/28 08:49:13| Processing: icp_port 0
2015/01/28 08:49:13| Processing: dns_v4_first off
2015/01/28 08:49:13| Processing: pid_filename /var/run/squid/squid.pid
2015/01/28 08:49:13| Processing: cache_effective_user proxy
2015/01/28 08:49:13| Processing: cache_effective_group proxy
2015/01/28 08:49:13| Processing: error_default_language en
2015/01/28 08:49:13| Processing: icon_directory /usr/pbi/squid-i386/local/etc/squid/icons
2015/01/28 08:49:13| Processing: visible_hostname localhost
2015/01/28 08:49:13| Processing: cache_mgr admin@localhost
2015/01/28 08:49:13| Processing: access_log /dev/null
2015/01/28 08:49:13| Processing: cache_log /var/squid/logs/cache.log
2015/01/28 08:49:13| Processing: cache_store_log none
2015/01/28 08:49:13| Processing: netdb_filename /var/squid/logs/netdb.state
2015/01/28 08:49:13| Processing: pinger_enable on
2015/01/28 08:49:13| Processing: pinger_program /usr/pbi/squid-i386/local/libexec/squid/pinger
2015/01/28 08:49:13| Processing: logfile_rotate 0
2015/01/28 08:49:13| Processing: debug_options rotate=0
2015/01/28 08:49:13| Processing: shutdown_lifetime 3 seconds
2015/01/28 08:49:13| Processing: acl localnet src  192.168.1.0/24
2015/01/28 08:49:13| Processing: uri_whitespace strip
2015/01/28 08:49:13| Processing: acl dynamic urlpath_regex cgi-bin \?
2015/01/28 08:49:13| Processing: cache deny dynamic
2015/01/28 08:49:13| Processing: cache_mem 8 MB
2015/01/28 08:49:13| Processing: maximum_object_size_in_memory 32 KB
2015/01/28 08:49:13| Processing: memory_replacement_policy heap GDSF
2015/01/28 08:49:13| Processing: cache_replacement_policy heap LFUDA
2015/01/28 08:49:13| Processing: minimum_object_size 0 KB
2015/01/28 08:49:13| Processing: maximum_object_size 10 KB
2015/01/28 08:49:13| Processing: offline_mode off
2015/01/28 08:49:13| Processing: cache allow all
2015/01/28 08:49:13| Processing: acl allsrc src all
2015/01/28 08:49:13| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3127 1025-65535
2015/01/28 08:49:13| Processing: acl sslports port 443 563
2015/01/28 08:49:13| Processing: acl purge method PURGE
2015/01/28 08:49:13| Processing: acl connect method CONNECT
2015/01/28 08:49:13| Processing: acl HTTP proto HTTP
2015/01/28 08:49:13| Processing: acl HTTPS proto HTTPS
2015/01/28 08:49:13| Processing: http_access allow manager localhost
2015/01/28 08:49:13| Processing: http_access deny manager
2015/01/28 08:49:13| Processing: http_access allow purge localhost
2015/01/28 08:49:13| Processing: http_access deny purge
2015/01/28 08:49:13| Processing: http_access deny !safeports
2015/01/28 08:49:13| Processing: http_access deny CONNECT !sslports
2015/01/28 08:49:13| Processing: request_body_max_size 0 KB
2015/01/28 08:49:13| Processing: delay_pools 1
2015/01/28 08:49:13| Processing: delay_class 1 2
2015/01/28 08:49:13| Processing: delay_parameters 1 -1/-1 -1/-1
2015/01/28 08:49:13| Processing: delay_initial_bucket_level 100
2015/01/28 08:49:13| Processing: delay_access 1 allow allsrc
2015/01/28 08:49:13| Processing: http_access allow localnet
2015/01/28 08:49:13| Processing: http_access deny allsrc
2015/01/28 08:49:13| Initializing https proxy context
[2.2-RELEASE][admin@pfSense.localdomain]/root:

marcelloc

aparentemente nenhum erro de configuração.

Consegue testar a versão 64bits?

Rodrigo1978

Boa tarde,

Gostaria de saber, baseado no que foi discutido nesse tópico, se consigo apenas registrar o log dos acessos https, sem a instalação de certificados nos clientes. Preciso implementar essa solução em um sistema de hotspot e ficaria inviável a instalação do certificado em cada usuári
Nesse caso não preciso filtrar nada, apenas registar.
Já uso proxy transparente com o captive portal registrando os acessos http normalmente.

Obrigado

marcelloc

Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

Rodrigo1978

@marcelloc:

Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

Valeu Marcelo!

tiagopesantos

farei a instalação com 64bits, mostrarei resultados aqui
obrigado.

rvl

Na versao 2.1.5 precisa instalar as bibliotecas?

tiagopesantos

não precisa adicionar as bibliotecas !
é Marcelo, meu computador não suporta 64 bits, porem instalei o 2.1.5 I386 e está funcionando normal o proxy transparente squid 3 - dev, na filtragem SSL também está normal, porem o Gmail e Facebook não aceita o certificado que criei, o que faço?
obrigado.  :(

marcelloc

Você provavelmente esta instalando o certificado no lugar errado.

tiagopesantos

em proxy server/general/transparent proxy.tem uma nota como diz abaixo:

To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp.

estas opções WPAD/PAC onde encontro em DNS e DHCP?

obrigado

tiagopesantos

Desculpas Marcelo, passei cego nas paginas 24 e 25 do forum, onde diz

#Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings

always_direct allow all
ssl_bump server-first all

• por isso que não dava certo o acesso a gmail e facebook.

Quanto ao acesso a dispositivos moveis whats app e outros consegui bypassar no proxy criando aliases, porem no caso da rede google, alguns aplicativos não conecta na internet, ai ponho a rede google que esta bloqueando no bypass do proxy, e tudo que passa pelo google em computadores desktop, para de ser monitorado claro, será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall  ???

obrigado.

marcelloc

@tiagopesantos:

será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall  ???

Com o que tem na interface web do pacote atual não. O bypass vai funcionar para 80 e 443.

Medeiros

Boa noite pessoal, tudo bem?

Em primeiro lugar, parabéns ao Marcello pelo excelente trabalho.

Fiz a instalação do Squid3 e também do SquidGuard direto pelos packages (minha versão é a nova 2.2).

Habilitei o proxy server transparente e também o filtro SSL. Criei uma CA no pfSense e exportei o certificado para uma estação de testes.

Antes de instalar o certificado, como foi dito, todos os sites SSL apresentavam erro. Após a instalação do certificado na pasta de Autoridades Certificadoras Confiáveis, os sites passaram a ser acessados, sem o erro de certificado, com exceção de um…

Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

Se eu acesso mail.google.com, aí sim ele acessa sem erros.

Tentei colocar na whitelist do Proxy Server os seguintes domínios:
*.gmail.com
*.gmail.com.br
.gmail.com
.gmail.com.br
gmail.com
gmail.com.br

Também tentei na CommonACL e no GroupACL do Proxy Filter

Todos sem sucesso, o site continua com erro de SSL. Não que isso seja um problema urgente, mas preciso saber como adicionar endereços de forma correta na whitelist para o caso de mais sites apresentarem esse comportamento.

Alguem já passou por algo parecido ou sabe a maneira correta de inserir domínios no Whitelist do Server ou do Filter?

Abraços e obrigado!

marcelloc

@Medeiros:

Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

se acessar o gmail.com sem ssl ele não redireciona para o site certo?

juninhoandrade

@marcelloc:

@Medeiros:

Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

se acessar o gmail.com sem ssl ele não redireciona para o site certo?

Tem uma solução ! alguns posts atrás tem dizendo !

tem um site do mail google (gmail) que entra sem passar pelo certificado!

só é colocar na blacklist o mail google padrão e mandar redirecionar para esse que não passa pelo certificado !

poem o gmail.com gmail.com.br na black e manda redirecionar para > mail.google.com

Ou Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br

Medeiros

@marcelloc:

Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

se acessar o gmail.com sem ssl ele não redireciona para o site certo?

É que as vezes, navegadores como o Chrome já entram direto no HTTPS. Mas isso nem é tão impeditivo. Vou informar os usuários a usar 'mail.google.com'.

@JuniorAndrade:

Tem uma solução ! alguns posts atrás tem dizendo !

tem um site do mail google (gmail) que entra sem passar pelo certificado!

só é colocar na blacklist o mail google padrão e mandar redirecionar para esse que não passa pelo certificado !

poem o gmail.com gmail.com.br na black e manda redirecionar para > mail.google.com

Ou Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br

Vou fazer esse teste.

Apenas para finalizar, qual o modo certo de colocar sites de banco na Whitelist? Pelo Server (na guia ACLs) ou pelo Filter (Criando um Target e selecionando Whitelist)?

Tentei pelo Server e mesmo com 'gmail.com' na whitelist, apresenta o erro.

Abraços

marcelloc

Acredito que o melhor é o bypass via alias de firewall.

juniorghr

Estou com problemas quanto ao acesso de dois sites…

Um deles é o Outlook.com onde após a digitação do usuário e senha, este fica com a tela branca e não mostra os emails, sem o firewall do pfsense acessa o site sem problemas...( obs.: não há nenhuma porta fechada e nenhuma regra de bloqueio)

E o outro é o site mega.co.nz que de um dia para o outro começou a dar erro de certificado e mesmo reinstalando o squid e squidguard o site não conecta, e isso somente ocorre com o gateway do pfsense.

Ficaria grato se pudessem me auxiliar a contornar essa situação.