Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 402.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sandrosls
      last edited by

      Boa tarde pessoal.

      Estou com o PfSense 2.3.1 + Squid + SquidGuard autenticando no AD. Tudo funcionando. Agora estou querendo filtrar os acessos via SSL. Tentei fazer habilitando o "SSL Man In the Middle Filtering" seguindo os tutorias disponíveis porém não funcionou. Vi que funciona no proxy transparente.

      Não tem como funcionar no proxy autenticado?

      Grato desde já.

      1 Reply Last reply Reply Quote 0
      • danilosv.03D
        danilosv.03
        last edited by

        Galera,
        Estou usando o squid e o squidguard ambos trabalhando juntos. E estou querendo bloqueia páginas HTTPS conforme minha black list no squidguard e na ACLS no squid. Já tentei fazer com certificado, só que eu tenho mais de 60 máquinas aqui e fiz a instalação do certificado pelo a GPO também, porém não foi muito sucesso assim. Estou interessado em usar o não transparente também e bloqueia as páginas https. Alguém poderia me ajudar?

        Muito obrigado pfsenses.


        :)
        |E-mail: danilosv.03@gmail.com
        |Skype: danilosv.03


        1 Reply Last reply Reply Quote 0
        • T
          tomaswaldow
          last edited by

          Desabilite o proxy automático tanto para 3128 e 3129.
          No navegador informe a porta 3128, e somente ermita portas/serviços necessários.
          Não tem segredo.

          Tomas @ 2W Consultoria

          1 Reply Last reply Reply Quote 0
          • danilosv.03D
            danilosv.03
            last edited by

            Eu tenho 60 destk, terei que fazer isso máquina por máquina?


            :)
            |E-mail: danilosv.03@gmail.com
            |Skype: danilosv.03


            1 Reply Last reply Reply Quote 0
            • T
              tomaswaldow
              last edited by

              Sim. Pode automatizar o processo via AD/GPO ou WPAD.

              Tomas @ 2W Consultoria

              1 Reply Last reply Reply Quote 0
              • danilosv.03D
                danilosv.03
                last edited by

                Existe algum passo a passo para fazermos via GPO?


                :)
                |E-mail: danilosv.03@gmail.com
                |Skype: danilosv.03


                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  @danilosv.03:

                  Existe algum passo a passo para fazermos via GPO?

                  Para marcar o proxy no ie/chrome, com certeza…

                  Para o firefox, precisa de um script para configurar. Não tenho ele por aqui agora.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • machadomallM
                    machadomall
                    last edited by

                    Danilosv.03,

                    Dê uma olhada nesse link que vai lhe ajudar configurar o Firefox via GPO.

                    http://social.technet.microsoft.com/wiki/pt-br/contents/articles/10385.aspx?goback=.gde_2795949_member_277878575

                    Márcio Machado
                    Analista de Suporte Técnico
                    Brasília-DF

                    1 Reply Last reply Reply Quote 0
                    • J
                      joaopaulobiesek
                      last edited by

                      Boa noite! estou tentando fazer o procedimento porem estou a usar pfSense-CE-2.3.2-RELEASE-i386 e la tem o squid 3.5 posso usar a mesma bibliotecas? consigo usar método transparent com autenticação?

                      1 Reply Last reply Reply Quote 0
                      • T
                        tomaswaldow
                        last edited by

                        Na versão atual só instalar o Squid e habilitar a interceptação, o pacote já está pronto.

                        Tomas @ 2W Consultoria

                        1 Reply Last reply Reply Quote 0
                        • J
                          joaopaulobiesek
                          last edited by

                          amigo me da uma mão ja fiz tudo isso. ja instalei com as bibliotecas testei sem as mesma. ja coloquei Custom ACLS (Before_Auth)"
                          always_direct allow all
                          ssl_bump server-first all
                          so que se colocar na blacklist ele bloqueia o site porem se nao estiver la da erro de certificado. ja fiz diversos certificado mudei a hora do servidor para UTC ja mexi em tudo porem empaquei da sempre o mesmo erro "ERR_CERT_AUTHORITY_INVALID". estou quase para desiti, ja fiz isso
                          https://forum.pfsense.org/index.php?topic=113307.0
                          se puder me da uma luz
                          configurei igual a este video tambem
                          https://www.youtube.com/watch?v=neXcYtFDRLA
                          e tambem ja fiz assim
                          https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense

                          se tiver algum link de explicações que funcione agradeço…

                          Att Joao Paulo

                          1 Reply Last reply Reply Quote 0
                          • T
                            tomaswaldow
                            last edited by

                            Fico te devendo, não trabalho com proxy transparente, só com proxy ativo.

                            Tomas @ 2W Consultoria

                            1 Reply Last reply Reply Quote 0
                            • danilosv.03D
                              danilosv.03
                              last edited by

                              Amigo joaopaulobiesek,
                              Eu tenho esse mesmo problema que esse seu. Eu também uso o proxy transparente com certificação, porém quando eu habilito o SSL ele bloqueia uma porrada de coisa fora os erros de HTTPS que aparece em algumas máquinas. O engraçado é que quando a gente faz  essa aplicação em uma cenário virtual, o SSL com proxy transparente funciona perfeitamente, agora quando tu parte pra produção ele gera esse erro de certificado, mesmo tu instalando todos os certificados manual ou via GPO.

                              Solução:
                              O que eu fiz, amarrei os bloqueios com Aliases + Rules. Instalei Squid e SquiGuard (proxy transparente), porém não uso o SSL. A única coisa que acontece é que ele não aparece a página personalizada, a página simplesmente da erro e também não bloqueia algumas redes sociais. Coisa que você pode resolver criando as regras.


                              :)
                              |E-mail: danilosv.03@gmail.com
                              |Skype: danilosv.03


                              1 Reply Last reply Reply Quote 0
                              • K
                                kazimates
                                last edited by

                                If you change pFSense / Services / Squid Proxy Server / GEneral tab Then check the SSL Man In The Middle Filtering area and change the SSL/MITM Mode from Splice WhiteList, Bumb OtherWise to the Splice ALL

                                the problem can be solve with a this shape.

                                OR

                                With a default value of the SSL/MITM Mode with Splice WhiteList, Bumb OtherWise you can goto ACLs atb and add desıred web site url to the WhiteList area ie: online.kktcmaliye.com

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.