PfSense 2.3.1 + squid. SquidGuard ERRO.
-
Amigo, isso ai não é um erro…veja que você está tentando acessar um site https (protocolo de segurança SSL com conexão saindo pela porta 443) e não tem um certificado instalado. Neste caso você terá que clicar no botão AVANÇADO para o navegador incluir a url na lista de sites confiáveis.
Leia em https://pt.wikipedia.org/wiki/Hyper_Text_Transfer_Protocol_Secure
https://pt.wikipedia.org/wiki/Transport_Layer_Security -
Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.
-
Salve pessoal.
Configurei o pfSense como proxy não transparente e entregando configuração por WPAD. Criei uma CA e instalei na máquina cliente e funcionou perfeitamente. Bloqueei as porta 80 e 443 no firewall para uso obrigatório do proxy, até ai tudo bem.
Instalei o SquidGuard, sem problemas. Quando eu ativo o Squidguard não funciona mais a navegação no cliente. Tenho que alterar as configurações do WPAD?? Já procurei em vários materiais e não encontrei o erro. Segue abaixo imagem do erro no cliente.
http://ap.imagensbrasil.org/image/g6dhj3
alguém já passou por algo parecido.
Patrik vc baixou o backlist ?
-
Amigo, isso ai não é um erro…veja que você está tentando acessar um site https (protocolo de segurança SSL com conexão saindo pela porta 443) e não tem um certificado instalado. Neste caso você terá que clicar no botão AVANÇADO para o navegador incluir a url na lista de sites confiáveis.
Leia em https://pt.wikipedia.org/wiki/Hyper_Text_Transfer_Protocol_Secure
https://pt.wikipedia.org/wiki/Transport_Layer_SecurityOk, todo site que eu digito ele está completando o url e apresentado erro, por mais que eu clique em avançado não vai.
-
Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.
Vou desabilitar a opção e testar.
-
Salve pessoal.
Configurei o pfSense como proxy não transparente e entregando configuração por WPAD. Criei uma CA e instalei na máquina cliente e funcionou perfeitamente. Bloqueei as porta 80 e 443 no firewall para uso obrigatório do proxy, até ai tudo bem.
Instalei o SquidGuard, sem problemas. Quando eu ativo o Squidguard não funciona mais a navegação no cliente. Tenho que alterar as configurações do WPAD?? Já procurei em vários materiais e não encontrei o erro. Segue abaixo imagem do erro no cliente.
http://ap.imagensbrasil.org/image/g6dhj3
alguém já passou por algo parecido.
Patrik vc baixou o backlist ?
Baixei, instalei e funciona tudo certinho se eu marcar o proxy como transparente. quando uso proxy setado não roda.
-
Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.
Se desabilitar o proxy https nem um site que roda em https vai ser acessado.
-
posta print dos erros.
-
Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.
Se desabilitar o proxy https nem um site que roda em https vai ser acessado.
Não entendi, poderia por favor explicar.
Pois estamos falando de interceptção SSL, e não de bloqueio de porta 443.
-
Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.
Se desabilitar o proxy https nem um site que roda em https vai ser acessado.
Não entendi, poderia por favor explicar.
Pois estamos falando de interceptação SSL, e não de bloqueio de porta 443.
Acho que também não entendi direito.
Achei que você estava aconselhando a desativação do proxy https.
Você estava desaconselhando a desativação do proxy transparente? -
Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.
Se desabilitar o proxy https nem um site que roda em https vai ser acessado.
Não entendi, poderia por favor explicar.
Pois estamos falando de interceptção SSL, e não de bloqueio de porta 443.
E eu não entendi você hehehe
Aqui não tenho proxy transparente, faço ele setado manualmente (na verdade, por GPO) e se eu não habilito a interceptação SSL, os usuários conseguem acessar sites que deveriam ser bloqueados e que usam HTTPS (ex: facebook).
Minha config esta errada então?
-
Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.
Se desabilitar o proxy https nem um site que roda em https vai ser acessado.
Não entendi, poderia por favor explicar.
Pois estamos falando de interceptção SSL, e não de bloqueio de porta 443.
E eu não entendi você hehehe
Aqui não tenho proxy transparente, faço ele setado manualmente (na verdade, por GPO) e se eu não habilito a interceptação SSL, os usuários conseguem acessar sites que deveriam ser bloqueados e que usam HTTPS (ex: facebook).
Minha config esta errada então?
Proxy ativo não precisa de interceptação.
\basta fazer os bloqueios, só não pode deixar portas abertas.
Tem que só liberar portas necessárias. -
Estranho, acabei de fazer o teste aqui na filial onde está funcionando…
Tentei acessar o facebook (http ou https, tanto faz, mas ele redireciona automatico para https) e ele bloqueou o acesso como deveria.
Fui no menu do SQUID, desmarquei a opção de interceptação SSL (man in the middle), salvei, fui no micro testar e BUM, acessou o facebook.Será que minha config esta diferente?
Instalei como sempre instalo a anos...Pfsense 2.3.1 + squid + squidguard + autenticacao no AD com pf2AD (NTLM transparente)
opção de proxy transparente desmarcada no squid, proxy setado manualmente nos navegadores
-
Cara, fiz uma pergunta parecida em outro post. https://forum.pfsense.org/index.php?topic=114436.0
Com o PROXY ATIVO ele assume a navegação do cliente 80/443 e é nele que ve ser feitos os bloqueios ou seja no SQUIDGUARD.
Com proxy ativo nao precisa de certificados.
Lembre de deixar as portas bloqueadas no firewall. -
Pessoal,
agora está funcionando corretamente, mas estou com duas dúvidas.
Nos sites https quero que aparece a mensagem de erro e não está aparecendo.
Estou tentando liberar alguns domínios específicos, que estão sendo bloqueados pelo squidguard. Fiz o procedimento abaixo:
Squidguard / Target categories
Adicionei categoria com o nome Liberados e coloquei os domínios que quero que passem.
Em Common ACL / Target marquei como Allow
Testei e não está passando.
Sugestões????
Obrigado
-
coloca essa categoria que voce criou como a primeira da lista e coloca como WHITELIST
faço assim aqui e funciona
-
bom dia galera, como faço para que o proxy carregue automático para as maquinas? é algum apk?
-
bom dia galera, como faço para que o proxy carregue automático para as maquinas? é algum apk?
Se eu entendi a pergunta pode ser feito via GPO ou WPAD;