Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

Rodrigo1978

Boa tarde,

Gostaria de saber, baseado no que foi discutido nesse tópico, se consigo apenas registrar o log dos acessos https, sem a instalação de certificados nos clientes. Preciso implementar essa solução em um sistema de hotspot e ficaria inviável a instalação do certificado em cada usuári
Nesse caso não preciso filtrar nada, apenas registar.
Já uso proxy transparente com o captive portal registrando os acessos http normalmente.

Obrigado

marcelloc

Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

Rodrigo1978

@marcelloc:

Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.

Valeu Marcelo!

tiagopesantos

farei a instalação com 64bits, mostrarei resultados aqui
obrigado.

rvl

Na versao 2.1.5 precisa instalar as bibliotecas?

tiagopesantos

não precisa adicionar as bibliotecas !
é Marcelo, meu computador não suporta 64 bits, porem instalei o 2.1.5 I386 e está funcionando normal o proxy transparente squid 3 - dev, na filtragem SSL também está normal, porem o Gmail e Facebook não aceita o certificado que criei, o que faço?
obrigado.  :(

marcelloc

Você provavelmente esta instalando o certificado no lugar errado.

tiagopesantos

em proxy server/general/transparent proxy.tem uma nota como diz abaixo:

To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp.

estas opções WPAD/PAC onde encontro em DNS e DHCP?

obrigado

tiagopesantos

Desculpas Marcelo, passei cego nas paginas 24 e 25 do forum, onde diz

#Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings

always_direct allow all
ssl_bump server-first all

• por isso que não dava certo o acesso a gmail e facebook.

Quanto ao acesso a dispositivos moveis whats app e outros consegui bypassar no proxy criando aliases, porem no caso da rede google, alguns aplicativos não conecta na internet, ai ponho a rede google que esta bloqueando no bypass do proxy, e tudo que passa pelo google em computadores desktop, para de ser monitorado claro, será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall  ???

obrigado.

marcelloc

@tiagopesantos:

será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall  ???

Com o que tem na interface web do pacote atual não. O bypass vai funcionar para 80 e 443.

Medeiros

Boa noite pessoal, tudo bem?

Em primeiro lugar, parabéns ao Marcello pelo excelente trabalho.

Fiz a instalação do Squid3 e também do SquidGuard direto pelos packages (minha versão é a nova 2.2).

Habilitei o proxy server transparente e também o filtro SSL. Criei uma CA no pfSense e exportei o certificado para uma estação de testes.

Antes de instalar o certificado, como foi dito, todos os sites SSL apresentavam erro. Após a instalação do certificado na pasta de Autoridades Certificadoras Confiáveis, os sites passaram a ser acessados, sem o erro de certificado, com exceção de um…

Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

Se eu acesso mail.google.com, aí sim ele acessa sem erros.

Tentei colocar na whitelist do Proxy Server os seguintes domínios:
*.gmail.com
*.gmail.com.br
.gmail.com
.gmail.com.br
gmail.com
gmail.com.br

Também tentei na CommonACL e no GroupACL do Proxy Filter

Todos sem sucesso, o site continua com erro de SSL. Não que isso seja um problema urgente, mas preciso saber como adicionar endereços de forma correta na whitelist para o caso de mais sites apresentarem esse comportamento.

Alguem já passou por algo parecido ou sabe a maneira correta de inserir domínios no Whitelist do Server ou do Filter?

Abraços e obrigado!

marcelloc

@Medeiros:

Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

se acessar o gmail.com sem ssl ele não redireciona para o site certo?

juninhoandrade

@marcelloc:

@Medeiros:

Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).

Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

se acessar o gmail.com sem ssl ele não redireciona para o site certo?

Tem uma solução ! alguns posts atrás tem dizendo !

tem um site do mail google (gmail) que entra sem passar pelo certificado!

só é colocar na blacklist o mail google padrão e mandar redirecionar para esse que não passa pelo certificado !

poem o gmail.com gmail.com.br na black e manda redirecionar para > mail.google.com

Ou Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br

Medeiros

@marcelloc:

Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".

se acessar o gmail.com sem ssl ele não redireciona para o site certo?

É que as vezes, navegadores como o Chrome já entram direto no HTTPS. Mas isso nem é tão impeditivo. Vou informar os usuários a usar 'mail.google.com'.

@JuniorAndrade:

Tem uma solução ! alguns posts atrás tem dizendo !

tem um site do mail google (gmail) que entra sem passar pelo certificado!

só é colocar na blacklist o mail google padrão e mandar redirecionar para esse que não passa pelo certificado !

poem o gmail.com gmail.com.br na black e manda redirecionar para > mail.google.com

Ou Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br

Vou fazer esse teste.

Apenas para finalizar, qual o modo certo de colocar sites de banco na Whitelist? Pelo Server (na guia ACLs) ou pelo Filter (Criando um Target e selecionando Whitelist)?

Tentei pelo Server e mesmo com 'gmail.com' na whitelist, apresenta o erro.

Abraços

marcelloc

Acredito que o melhor é o bypass via alias de firewall.

juniorghr

Estou com problemas quanto ao acesso de dois sites…

Um deles é o Outlook.com onde após a digitação do usuário e senha, este fica com a tela branca e não mostra os emails, sem o firewall do pfsense acessa o site sem problemas...( obs.: não há nenhuma porta fechada e nenhuma regra de bloqueio)

E o outro é o site mega.co.nz que de um dia para o outro começou a dar erro de certificado e mesmo reinstalando o squid e squidguard o site não conecta, e isso somente ocorre com o gateway do pfsense.

Ficaria grato se pudessem me auxiliar a contornar essa situação.


israeleo

Bom dia Pessoal.

Primeiro gostaria de parabenizar pelo belo trabalho. Sou analista de segurança e trabalho mais com a linha da CheckPoint e Cisco, surgiu um cliente que não gostaria de investir em appliances por seu custo elevado, então em pesquisas feitas optei por utilizar o pfsense, estou gostando muito da ferramenta não perde em nada para as ferramentas pagas.

Bom como em todas ferramentas que já trabalhei sempre ocorrem problemas, então gostaria de passar meu cenário abaixo:

Estou com problema com a navegação https via IE que está com a ultima versão nos windows 7 e chrome também última versão, no firefox a navegação https ocorre normalmente(instalei o certificado criado nos navegadores), neste mesmo cenário os windows 2012 server identificam o certificado criado certinho e a navegação ocorre 100%.

Gostaria de saber se alguém já teve este problema se é um erro do S.O ou tenho que fazer mais alguma coisa no pfsense.

Estou com os seguintes pacotes instalados:
2.2.2-RELEASE (amd64)
built on Mon Apr 13 20:10:22 CDT 2015
FreeBSD 10.1-RELEASE-p9
squid3 - 3.4.10_2 pkg 0.2.8
squidGuard - 1.4_7 pkg v.1.9.14

Desde já agradeço

secoloko

Olá!

Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?

Se o site não passa pelo squid, então o Certificado não é utilizado.

Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.

Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.

O resto está perfeito.

Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first all

Estou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14

holiveira

Olá você deve ter confundido o campo. Este campo que mencionou, só aceita endereços IP válidos, ou seja, se deseja que um determinado IP da sua rede não passe pelo proxy, você informa neste campo.

Para obter o efeito que deseja, vá em: Proxy Server > ACLs > Whitelist. Os domínios que informar neste campo não iram passar pelo proxy.

@secoloko:

Olá!

Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?

Se o site não passa pelo squid, então o Certificado não é utilizado.

Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.

Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.

O resto está perfeito.

Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first all

Estou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14

secoloko

holiveira

Eu já coloquei o gmail.com na whitelist, mas continua carregando o meu certificado ao invés do certificado do Google Inc.

No Bypass proxy for these destination IPs devo colocar a Range de IP's do gmail.com, certo? Mas se eu colocar a range de ip's do gmail não vou conseguir monitorar o youtube e o Google, certo?

@holiveira:

Olá você deve ter confundido o campo. Este campo que mencionou, só aceita endereços IP válidos, ou seja, se deseja que um determinado IP da sua rede não passe pelo proxy, você informa neste campo.

Para obter o efeito que deseja, vá em: Proxy Server > ACLs > Whitelist. Os domínios que informar neste campo não iram passar pelo proxy.

@secoloko:

Olá!

Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?

Se o site não passa pelo squid, então o Certificado não é utilizado.

Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.

Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.

O resto está perfeito.

Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first all

Estou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14