Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 362.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • marcellocM
      marcelloc
      last edited by

      Execute o squid -k parse como sugeri no outro tópico.

      Treinamentos de Elite: http://sys-squad.com

      Help a community developer! ;D

      1 Reply Last reply Reply Quote 0
      • tiagopesantosT
        tiagopesantos
        last edited by

        executei o squid -k parse,

        
        [2.2-RELEASE][admin@pfSense.localdomain]/root: squid -k parse
        2015/01/28 08:49:13| Startup: Initializing Authentication Schemes ...
        2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'basic'
        2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'digest'
        2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'negotiate'
        2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'ntlm'
        2015/01/28 08:49:13| Startup: Initialized Authentication.
        2015/01/28 08:49:13| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
        2015/01/28 08:49:13| Processing: http_port 192.168.1.1:3128
        2015/01/28 08:49:13| Processing: http_port 127.0.0.1:3128 intercept
        2015/01/28 08:49:13| Starting Authentication on port 127.0.0.1:3128
        2015/01/28 08:49:13| Disabling Authentication on port 127.0.0.1:3128 (interception enabled)
        2015/01/28 08:49:13| Processing: icp_port 0
        2015/01/28 08:49:13| Processing: dns_v4_first off
        2015/01/28 08:49:13| Processing: pid_filename /var/run/squid/squid.pid
        2015/01/28 08:49:13| Processing: cache_effective_user proxy
        2015/01/28 08:49:13| Processing: cache_effective_group proxy
        2015/01/28 08:49:13| Processing: error_default_language en
        2015/01/28 08:49:13| Processing: icon_directory /usr/pbi/squid-i386/local/etc/squid/icons
        2015/01/28 08:49:13| Processing: visible_hostname localhost
        2015/01/28 08:49:13| Processing: cache_mgr admin@localhost
        2015/01/28 08:49:13| Processing: access_log /dev/null
        2015/01/28 08:49:13| Processing: cache_log /var/squid/logs/cache.log
        2015/01/28 08:49:13| Processing: cache_store_log none
        2015/01/28 08:49:13| Processing: netdb_filename /var/squid/logs/netdb.state
        2015/01/28 08:49:13| Processing: pinger_enable on
        2015/01/28 08:49:13| Processing: pinger_program /usr/pbi/squid-i386/local/libexec/squid/pinger
        2015/01/28 08:49:13| Processing: logfile_rotate 0
        2015/01/28 08:49:13| Processing: debug_options rotate=0
        2015/01/28 08:49:13| Processing: shutdown_lifetime 3 seconds
        2015/01/28 08:49:13| Processing: acl localnet src  192.168.1.0/24
        2015/01/28 08:49:13| Processing: uri_whitespace strip
        2015/01/28 08:49:13| Processing: acl dynamic urlpath_regex cgi-bin \?
        2015/01/28 08:49:13| Processing: cache deny dynamic
        2015/01/28 08:49:13| Processing: cache_mem 8 MB
        2015/01/28 08:49:13| Processing: maximum_object_size_in_memory 32 KB
        2015/01/28 08:49:13| Processing: memory_replacement_policy heap GDSF
        2015/01/28 08:49:13| Processing: cache_replacement_policy heap LFUDA
        2015/01/28 08:49:13| Processing: minimum_object_size 0 KB
        2015/01/28 08:49:13| Processing: maximum_object_size 10 KB
        2015/01/28 08:49:13| Processing: offline_mode off
        2015/01/28 08:49:13| Processing: cache allow all
        2015/01/28 08:49:13| Processing: acl allsrc src all
        2015/01/28 08:49:13| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3127 1025-65535
        2015/01/28 08:49:13| Processing: acl sslports port 443 563
        2015/01/28 08:49:13| Processing: acl purge method PURGE
        2015/01/28 08:49:13| Processing: acl connect method CONNECT
        2015/01/28 08:49:13| Processing: acl HTTP proto HTTP
        2015/01/28 08:49:13| Processing: acl HTTPS proto HTTPS
        2015/01/28 08:49:13| Processing: http_access allow manager localhost
        2015/01/28 08:49:13| Processing: http_access deny manager
        2015/01/28 08:49:13| Processing: http_access allow purge localhost
        2015/01/28 08:49:13| Processing: http_access deny purge
        2015/01/28 08:49:13| Processing: http_access deny !safeports
        2015/01/28 08:49:13| Processing: http_access deny CONNECT !sslports
        2015/01/28 08:49:13| Processing: request_body_max_size 0 KB
        2015/01/28 08:49:13| Processing: delay_pools 1
        2015/01/28 08:49:13| Processing: delay_class 1 2
        2015/01/28 08:49:13| Processing: delay_parameters 1 -1/-1 -1/-1
        2015/01/28 08:49:13| Processing: delay_initial_bucket_level 100
        2015/01/28 08:49:13| Processing: delay_access 1 allow allsrc
        2015/01/28 08:49:13| Processing: http_access allow localnet
        2015/01/28 08:49:13| Processing: http_access deny allsrc
        2015/01/28 08:49:13| Initializing https proxy context
        [2.2-RELEASE][admin@pfSense.localdomain]/root:
        
        

        proxy.jpg
        proxy.jpg_thumb
        proxy2.jpg
        proxy2.jpg_thumb

        1 Reply Last reply Reply Quote 0
        • marcellocM
          marcelloc
          last edited by

          aparentemente nenhum erro de configuração.

          Consegue testar a versão 64bits?

          Treinamentos de Elite: http://sys-squad.com

          Help a community developer! ;D

          1 Reply Last reply Reply Quote 0
          • R
            Rodrigo1978
            last edited by

            Boa tarde,

            Gostaria de saber, baseado no que foi discutido nesse tópico, se consigo apenas registrar o log dos acessos https, sem a instalação de certificados nos clientes. Preciso implementar essa solução em um sistema de hotspot e ficaria inviável a instalação do certificado em cada usuári
            Nesse caso não preciso filtrar nada, apenas registar.
            Já uso proxy transparente com o captive portal registrando os acessos http normalmente.

            Obrigado

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • R
                Rodrigo1978
                last edited by

                @marcelloc:

                Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

                Valeu Marcelo!

                1 Reply Last reply Reply Quote 0
                • tiagopesantosT
                  tiagopesantos
                  last edited by

                  farei a instalação com 64bits, mostrarei resultados aqui
                  obrigado.

                  1 Reply Last reply Reply Quote 0
                  • R
                    rvl
                    last edited by

                    Na versao 2.1.5 precisa instalar as bibliotecas?

                    1 Reply Last reply Reply Quote 0
                    • tiagopesantosT
                      tiagopesantos
                      last edited by

                      não precisa adicionar as bibliotecas !
                      é Marcelo, meu computador não suporta 64 bits, porem instalei o 2.1.5 I386 e está funcionando normal o proxy transparente squid 3 - dev, na filtragem SSL também está normal, porem o Gmail e Facebook não aceita o certificado que criei, o que faço?
                      obrigado.  :(

                      face.jpg
                      face.jpg_thumb

                      1 Reply Last reply Reply Quote 0
                      • marcellocM
                        marcelloc
                        last edited by

                        Você provavelmente esta instalando o certificado no lugar errado.

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • tiagopesantosT
                          tiagopesantos
                          last edited by

                          em proxy server/general/transparent proxy.tem uma nota como diz abaixo:

                          To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp.

                          estas opções WPAD/PAC onde encontro em DNS e DHCP?

                          obrigado

                          1 Reply Last reply Reply Quote 0
                          • tiagopesantosT
                            tiagopesantos
                            last edited by

                            Desculpas Marcelo, passei cego nas paginas 24 e 25 do forum, onde diz

                            #Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings

                            always_direct allow all
                            ssl_bump server-first all

                            • por isso que não dava certo o acesso a gmail e facebook.

                            Quanto ao acesso a dispositivos moveis whats app e outros consegui bypassar no proxy criando aliases, porem no caso da rede google, alguns aplicativos não conecta na internet, ai ponho a rede google que esta bloqueando no bypass do proxy, e tudo que passa pelo google em computadores desktop, para de ser monitorado claro, será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall  ???

                            obrigado.

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              @tiagopesantos:

                              será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall  ???

                              Com o que tem na interface web do pacote atual não. O bypass vai funcionar para 80 e 443.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • M
                                Medeiros
                                last edited by

                                Boa noite pessoal, tudo bem?

                                Em primeiro lugar, parabéns ao Marcello pelo excelente trabalho.

                                Fiz a instalação do Squid3 e também do SquidGuard direto pelos packages (minha versão é a nova 2.2).

                                Habilitei o proxy server transparente e também o filtro SSL. Criei uma CA no pfSense e exportei o certificado para uma estação de testes.

                                Antes de instalar o certificado, como foi dito, todos os sites SSL apresentavam erro. Após a instalação do certificado na pasta de Autoridades Certificadoras Confiáveis, os sites passaram a ser acessados, sem o erro de certificado, com exceção de um…

                                Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

                                Se eu acesso mail.google.com, aí sim ele acessa sem erros.

                                Tentei colocar na whitelist do Proxy Server os seguintes domínios:
                                *.gmail.com
                                *.gmail.com.br
                                .gmail.com
                                .gmail.com.br
                                gmail.com
                                gmail.com.br

                                Também tentei na CommonACL e no GroupACL do Proxy Filter

                                Todos sem sucesso, o site continua com erro de SSL. Não que isso seja um problema urgente, mas preciso saber como adicionar endereços de forma correta na whitelist para o caso de mais sites apresentarem esse comportamento.

                                Alguem já passou por algo parecido ou sabe a maneira correta de inserir domínios no Whitelist do Server ou do Filter?

                                Abraços e obrigado!

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  @Medeiros:

                                  Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

                                  Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

                                  se acessar o gmail.com sem ssl ele não redireciona para o site certo?

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    juninhoandrade
                                    last edited by

                                    @marcelloc:

                                    @Medeiros:

                                    Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

                                    Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

                                    se acessar o gmail.com sem ssl ele não redireciona para o site certo?

                                    Tem uma solução ! alguns posts atrás tem dizendo !

                                    tem um site do mail google (gmail) que entra sem passar pelo certificado!

                                    só é colocar na blacklist o mail google padrão e mandar redirecionar para esse que não passa pelo certificado !

                                    poem o gmail.com gmail.com.br na black e manda redirecionar para > mail.google.com

                                    Ou Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      Medeiros
                                      last edited by

                                      @marcelloc:

                                      Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

                                      se acessar o gmail.com sem ssl ele não redireciona para o site certo?

                                      É que as vezes, navegadores como o Chrome já entram direto no HTTPS. Mas isso nem é tão impeditivo. Vou informar os usuários a usar 'mail.google.com'.

                                      @JuniorAndrade:

                                      Tem uma solução ! alguns posts atrás tem dizendo !

                                      tem um site do mail google (gmail) que entra sem passar pelo certificado!

                                      só é colocar na blacklist o mail google padrão e mandar redirecionar para esse que não passa pelo certificado !

                                      poem o gmail.com gmail.com.br na black e manda redirecionar para > mail.google.com

                                      Ou Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br

                                      Vou fazer esse teste.

                                      Apenas para finalizar, qual o modo certo de colocar sites de banco na Whitelist? Pelo Server (na guia ACLs) ou pelo Filter (Criando um Target e selecionando Whitelist)?

                                      Tentei pelo Server e mesmo com 'gmail.com' na whitelist, apresenta o erro.

                                      Abraços

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        Acredito que o melhor é o bypass via alias de firewall.

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • J
                                          juniorghr
                                          last edited by

                                          Estou com problemas quanto ao acesso de dois sites…

                                          Um deles é o Outlook.com onde após a digitação do usuário e senha, este fica com a tela branca e não mostra os emails, sem o firewall do pfsense acessa o site sem problemas...( obs.: não há nenhuma porta fechada e nenhuma regra de bloqueio)

                                          E o outro é o site mega.co.nz que de um dia para o outro começou a dar erro de certificado e mesmo reinstalando o squid e squidguard o site não conecta, e isso somente ocorre com o gateway do pfsense.

                                          Ficaria grato se pudessem me auxiliar a contornar essa situação.

                                          ![Captura de tela - 18-03-2015 - 15:24:52.png](/public/imported_attachments/1/Captura de tela - 18-03-2015 - 15:24:52.png)
                                          ![Captura de tela - 18-03-2015 - 15:24:52.png_thumb](/public/imported_attachments/1/Captura de tela - 18-03-2015 - 15:24:52.png_thumb)

                                          1 Reply Last reply Reply Quote 0
                                          • I
                                            israeleo
                                            last edited by

                                            Bom dia Pessoal.

                                            Primeiro gostaria de parabenizar pelo belo trabalho. Sou analista de segurança e trabalho mais com a linha da CheckPoint e Cisco, surgiu um cliente que não gostaria de investir em appliances por seu custo elevado, então em pesquisas feitas optei por utilizar o pfsense, estou gostando muito da ferramenta não perde em nada para as ferramentas pagas.

                                            Bom como em todas ferramentas que já trabalhei sempre ocorrem problemas, então gostaria de passar meu cenário abaixo:

                                            Estou com problema com a navegação https via IE que está com a ultima versão nos windows 7 e chrome também última versão, no firefox a navegação https ocorre normalmente(instalei o certificado criado nos navegadores), neste mesmo cenário os windows 2012 server identificam o certificado criado certinho e a navegação ocorre 100%.

                                            Gostaria de saber se alguém já teve este problema se é um erro do S.O ou tenho que fazer mais alguma coisa no pfsense.

                                            Estou com os seguintes pacotes instalados:
                                            2.2.2-RELEASE (amd64)
                                            built on Mon Apr 13 20:10:22 CDT 2015
                                            FreeBSD 10.1-RELEASE-p9
                                            squid3 - 3.4.10_2 pkg 0.2.8
                                            squidGuard - 1.4_7 pkg v.1.9.14

                                            Desde já agradeço

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.