Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

juniorghr

Estou com problemas quanto ao acesso de dois sites…

Um deles é o Outlook.com onde após a digitação do usuário e senha, este fica com a tela branca e não mostra os emails, sem o firewall do pfsense acessa o site sem problemas...( obs.: não há nenhuma porta fechada e nenhuma regra de bloqueio)

E o outro é o site mega.co.nz que de um dia para o outro começou a dar erro de certificado e mesmo reinstalando o squid e squidguard o site não conecta, e isso somente ocorre com o gateway do pfsense.

Ficaria grato se pudessem me auxiliar a contornar essa situação.


israeleo

Bom dia Pessoal.

Primeiro gostaria de parabenizar pelo belo trabalho. Sou analista de segurança e trabalho mais com a linha da CheckPoint e Cisco, surgiu um cliente que não gostaria de investir em appliances por seu custo elevado, então em pesquisas feitas optei por utilizar o pfsense, estou gostando muito da ferramenta não perde em nada para as ferramentas pagas.

Bom como em todas ferramentas que já trabalhei sempre ocorrem problemas, então gostaria de passar meu cenário abaixo:

Estou com problema com a navegação https via IE que está com a ultima versão nos windows 7 e chrome também última versão, no firefox a navegação https ocorre normalmente(instalei o certificado criado nos navegadores), neste mesmo cenário os windows 2012 server identificam o certificado criado certinho e a navegação ocorre 100%.

Gostaria de saber se alguém já teve este problema se é um erro do S.O ou tenho que fazer mais alguma coisa no pfsense.

Estou com os seguintes pacotes instalados:
2.2.2-RELEASE (amd64)
built on Mon Apr 13 20:10:22 CDT 2015
FreeBSD 10.1-RELEASE-p9
squid3 - 3.4.10_2 pkg 0.2.8
squidGuard - 1.4_7 pkg v.1.9.14

Desde já agradeço

secoloko

Olá!

Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?

Se o site não passa pelo squid, então o Certificado não é utilizado.

Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.

Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.

O resto está perfeito.

Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first all

Estou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14

holiveira

Olá você deve ter confundido o campo. Este campo que mencionou, só aceita endereços IP válidos, ou seja, se deseja que um determinado IP da sua rede não passe pelo proxy, você informa neste campo.

Para obter o efeito que deseja, vá em: Proxy Server > ACLs > Whitelist. Os domínios que informar neste campo não iram passar pelo proxy.

@secoloko:

Olá!

Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?

Se o site não passa pelo squid, então o Certificado não é utilizado.

Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.

Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.

O resto está perfeito.

Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first all

Estou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14

secoloko

holiveira

Eu já coloquei o gmail.com na whitelist, mas continua carregando o meu certificado ao invés do certificado do Google Inc.

No Bypass proxy for these destination IPs devo colocar a Range de IP's do gmail.com, certo? Mas se eu colocar a range de ip's do gmail não vou conseguir monitorar o youtube e o Google, certo?

@holiveira:

Olá você deve ter confundido o campo. Este campo que mencionou, só aceita endereços IP válidos, ou seja, se deseja que um determinado IP da sua rede não passe pelo proxy, você informa neste campo.

Para obter o efeito que deseja, vá em: Proxy Server > ACLs > Whitelist. Os domínios que informar neste campo não iram passar pelo proxy.

@secoloko:

Olá!

Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?

Se o site não passa pelo squid, então o Certificado não é utilizado.

Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.

Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.

O resto está perfeito.

Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first all

Estou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14

marcelloc

@secoloko:

Olá!

Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?

@holiveira:

Olá você deve ter confundido o campo. Este campo que mencionou, só aceita endereços IP válidos, ou seja, se deseja que um determinado IP da sua rede não passe pelo proxy, você informa neste campo.

Para obter o efeito que deseja, vá em: Proxy Server > ACLs > Whitelist. Os domínios que informar neste campo não iram passar pelo proxy.

@secoloko:

holiveira

Eu já coloquei o gmail.com na whitelist, mas continua carregando o meu certificado ao invés do certificado do Google Inc.

No Bypass proxy for these destination IPs devo colocar a Range de IP's do gmail.com, certo? Mas se eu colocar a range de ip's do gmail não vou conseguir monitorar o youtube e o Google, certo?

O campo Bypass proxy for these destination IPs aceita hosts, ips ou alias de firewall mas não domínios. Para incluir o domínio gmail.com na  whitelist, você precisa usar o wildcard do squid para especificar que é qualquer host dentro dele, tente colocar um ponto na frente do gmail.com nessa whitelist e testa novamente.

secoloko

@marcelloc:

O campo Bypass proxy for these destination IPs aceita hosts, ips ou alias de firewall mas não domínios. Para incluir o domínio gmail.com na  whitelist, você precisa usar o wildcard do squid para especificar que é qualquer host dentro dele, tente colocar um ponto na frente do gmail.com nessa whitelist e testa novamente.

Obrigado primeiramente pela atenção.
Não faço ideia do que seja o wildcard do squid e muito menos como fazer isso.  ;D

Colocando somente um (.) na frente dos domínios, não deu certo. A whitelist do squid3 não está funcionando e continua carregando o meu certificado.

.gmail.com
.facebook.com
.itau.com.br

secoloko

@JuniorAndrade:

Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br

A solução estava na minha frente. Caiu a ficha. :D

Agora o Gmail tá bombando!!!!

tiagopesantos

Olá pessoal, atualizei o Pfsense aqui da versao 2.1.5 para 2.2.2, percebi que o squid 3 e squidguard ficam com o serviço parado, ambos funcionam por demanda nesta nova versão do PF ?
obrigado.

eumesmoluiz

Pessoal, a partir de qual versão nao precisa instalar as bibliotecas ???

marcelloc

@eumesmoluiz:

Pessoal, a partir de qual versão nao precisa instalar as bibliotecas ???

A partir do pfsense 2.2

josafar

ainda precisar preencher before auth ??

erick.denner

Tenho que configurar algum repositório para conseguir instalar essa versão do squid?

marcelloc

@erick.denner:

Tenho que configurar algum repositório para conseguir instalar essa versão do squid?

Não.

eumesmoluiz

Grato pela resposta Marcelo

josafar

Marcelloc ainda precisar preencher before auth ??

marcelloc

@josafar:

Marcelloc ainda precisar preencher before auth ??

De configuração de patch, nada. Para alguns métodos de autenticação e acls personalizadas sim.

josafar

marcelooc vc poderia fazer algumas explicaçoes para ssl baseada nas versoes 2.2.2

os procedimentos que mudaram por favor

marcelloc

@josafar:

marcelooc vc poderia fazer algumas explicaçoes para ssl baseada nas versoes 2.2.2

Simples:

• Instale o pacote

• Crie o certificado CA

• Habilite o serviço

• Instale o certificado nas estações / navegadores

• Use

gilles.villeneuve

Olá Marcelo, boa tarde.
Fiz exatamente esse procedimento mas não rolou, o pacote é o squid3?
Fica com Deus.
Att.,