Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Bom dia Pessoal.
Primeiro gostaria de parabenizar pelo belo trabalho. Sou analista de segurança e trabalho mais com a linha da CheckPoint e Cisco, surgiu um cliente que não gostaria de investir em appliances por seu custo elevado, então em pesquisas feitas optei por utilizar o pfsense, estou gostando muito da ferramenta não perde em nada para as ferramentas pagas.
Bom como em todas ferramentas que já trabalhei sempre ocorrem problemas, então gostaria de passar meu cenário abaixo:
Estou com problema com a navegação https via IE que está com a ultima versão nos windows 7 e chrome também última versão, no firefox a navegação https ocorre normalmente(instalei o certificado criado nos navegadores), neste mesmo cenário os windows 2012 server identificam o certificado criado certinho e a navegação ocorre 100%.
Gostaria de saber se alguém já teve este problema se é um erro do S.O ou tenho que fazer mais alguma coisa no pfsense.
Estou com os seguintes pacotes instalados:
2.2.2-RELEASE (amd64)
built on Mon Apr 13 20:10:22 CDT 2015
FreeBSD 10.1-RELEASE-p9
squid3 - 3.4.10_2 pkg 0.2.8
squidGuard - 1.4_7 pkg v.1.9.14Desde já agradeço
-
Olá!
Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?
Se o site não passa pelo squid, então o Certificado não é utilizado.
Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.
O resto está perfeito.
Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first allEstou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14 -
Olá você deve ter confundido o campo. Este campo que mencionou, só aceita endereços IP válidos, ou seja, se deseja que um determinado IP da sua rede não passe pelo proxy, você informa neste campo.
Para obter o efeito que deseja, vá em: Proxy Server > ACLs > Whitelist. Os domínios que informar neste campo não iram passar pelo proxy.
Olá!
Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?
Se o site não passa pelo squid, então o Certificado não é utilizado.
Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.
O resto está perfeito.
Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first allEstou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14 -
holiveira
Eu já coloquei o gmail.com na whitelist, mas continua carregando o meu certificado ao invés do certificado do Google Inc.
No Bypass proxy for these destination IPs devo colocar a Range de IP's do gmail.com, certo? Mas se eu colocar a range de ip's do gmail não vou conseguir monitorar o youtube e o Google, certo?
Olá você deve ter confundido o campo. Este campo que mencionou, só aceita endereços IP válidos, ou seja, se deseja que um determinado IP da sua rede não passe pelo proxy, você informa neste campo.
Para obter o efeito que deseja, vá em: Proxy Server > ACLs > Whitelist. Os domínios que informar neste campo não iram passar pelo proxy.
Olá!
Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?
Se o site não passa pelo squid, então o Certificado não é utilizado.
Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.
O resto está perfeito.
Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first allEstou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14 -
Olá!
Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?
Olá você deve ter confundido o campo. Este campo que mencionou, só aceita endereços IP válidos, ou seja, se deseja que um determinado IP da sua rede não passe pelo proxy, você informa neste campo.
Para obter o efeito que deseja, vá em: Proxy Server > ACLs > Whitelist. Os domínios que informar neste campo não iram passar pelo proxy.
holiveira
Eu já coloquei o gmail.com na whitelist, mas continua carregando o meu certificado ao invés do certificado do Google Inc.
No Bypass proxy for these destination IPs devo colocar a Range de IP's do gmail.com, certo? Mas se eu colocar a range de ip's do gmail não vou conseguir monitorar o youtube e o Google, certo?
O campo Bypass proxy for these destination IPs aceita hosts, ips ou alias de firewall mas não domínios. Para incluir o domínio gmail.com na whitelist, você precisa usar o wildcard do squid para especificar que é qualquer host dentro dele, tente colocar um ponto na frente do gmail.com nessa whitelist e testa novamente.
-
O campo Bypass proxy for these destination IPs aceita hosts, ips ou alias de firewall mas não domínios. Para incluir o domínio gmail.com na whitelist, você precisa usar o wildcard do squid para especificar que é qualquer host dentro dele, tente colocar um ponto na frente do gmail.com nessa whitelist e testa novamente.
Obrigado primeiramente pela atenção.
Não faço ideia do que seja o wildcard do squid e muito menos como fazer isso. ;DColocando somente um (.) na frente dos domínios, não deu certo. A whitelist do squid3 não está funcionando e continua carregando o meu certificado.
.gmail.com
.facebook.com
.itau.com.br -
@JuniorAndrade:
Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br
A solução estava na minha frente. Caiu a ficha. :D
Agora o Gmail tá bombando!!!!
-
Olá pessoal, atualizei o Pfsense aqui da versao 2.1.5 para 2.2.2, percebi que o squid 3 e squidguard ficam com o serviço parado, ambos funcionam por demanda nesta nova versão do PF ?
obrigado. -
Pessoal, a partir de qual versão nao precisa instalar as bibliotecas ???
-
Pessoal, a partir de qual versão nao precisa instalar as bibliotecas ???
A partir do pfsense 2.2
-
ainda precisar preencher before auth ??
-
Tenho que configurar algum repositório para conseguir instalar essa versão do squid?
-
Tenho que configurar algum repositório para conseguir instalar essa versão do squid?
Não.
-
Grato pela resposta Marcelo
-
Marcelloc ainda precisar preencher before auth ??
-
Marcelloc ainda precisar preencher before auth ??
De configuração de patch, nada. Para alguns métodos de autenticação e acls personalizadas sim.
-
marcelooc vc poderia fazer algumas explicaçoes para ssl baseada nas versoes 2.2.2
os procedimentos que mudaram por favor
-
marcelooc vc poderia fazer algumas explicaçoes para ssl baseada nas versoes 2.2.2
Simples:
-
Instale o pacote
-
Crie o certificado CA
-
Habilite o serviço
-
Instale o certificado nas estações / navegadores
-
Use
-
-
Olá Marcelo, boa tarde.
Fiz exatamente esse procedimento mas não rolou, o pacote é o squid3?
Fica com Deus.
Att., -
