SSL + SQUID E PROXY TRANSPARENTE

danilosv.03

Pessoal,

Estou fazendo um teste com SSL + SQUID E PROXY TRANSPARENTE. Por recomendação do danilosv.03 do proprio forum, iniciei esse teste pois não conseguia controlar corretamente o protocolo HTTPS e quando conseguia bloquear, acabava afetando algum outro serviço como por exemplo rejeitava o https do YouTube afetava os serviços do google.

Quando comecei o teste, atendeu bastante a minha necessidade utilizando o certificado configurado no proxy via SSL e o SQUID. Bastava eu bloquear uma categoria que não importa se digitar o protocolo na frente. Não Abre….. Exatamente como precisava.

A única dúvida que estou é que alguns sites com protocolo https ainda não abrem apresentando aquela tela de erro do PFSENSE.

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: https://104.24.105.49/*

Failed to establish a secure connection to 104.24.105.49

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

Handshake with SSL server failed: error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error

This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.

Your cache administrator is admin@localhost.

Nesses casos, como devo proceder?

Alguém poderia me ajudar?

Primeiro antes de tudo você aumentou a capacidade do seu cache? Depois personalize a sua página de erro, esse seu erro está sendo barrado no seu squid. Tu colocou algum bloqueio em ACL no squid
Tu tem alguma regra de bloqueio em Rules?

no seu squid configure sua página de erro:
Headers Handling, Language and Other Customizations
Visible Hostname: "coloque o nome da sua empresa" (fica a critério)
Administrator's Email: coloque o seu e-mail (isso facilitará na comunicação com você).
Error Language: pt-br
X-Forwarded Header Mode: on (selecione on)
Suppress Squid Version: marque essa opção para ocultar a versão do squid para o usuário.

Depois mande print da configuração do seu squid e nos diga quais são os bloqueios e a página que tu ta tentando acessar que deu esse erro.
;)

ricardo.duarte

Danilo

Obrigado pela ajuda e vamos lá. Respondendo sua perguntas, nas regras do firewall não tenho nada que interfira nesse caso, tenho apenas a regra que libera acesso a uma lista de ips. No Squid, estou usando a black list http://www.shallalist.de/Downloads/shallalist.tar.gz e apliquei algumas configurações de bloqueio a uma grupo com 1 IP de Teste. Como mostra abaixo.

[blk_BL_recreation_travel] access :allow
[blk_BL_recreation_wellness] access :allow
[blk_BL_recreation_wellness] access :allow
[blk_BL_redirector] access :allow
[blk_BL_redirector] access :allow
[blk_BL_religion] access :allow
[blk_BL_religion] access :allow
[blk_BL_remotecontrol] access :allow
[blk_BL_remotecontrol] access :allow
[blk_BL_ringtones] access :allow
[blk_BL_ringtones] access :allow
[blk_BL_science_astronomy] access :allow
[blk_BL_science_astronomy] access :allow
[blk_BL_science_chemistry] access :allow
[blk_BL_science_chemistry] access :allow
[blk_BL_searchengines] access :allow
[blk_BL_searchengines] access :allow
[blk_BL_sex_education] access :denny
[blk_BL_sex_education] access :denny
[blk_BL_sex_lingerie] access :denny
[blk_BL_sex_lingerie] access :denny
[blk_BL_shopping] access :allow
[blk_BL_shopping] access :allow
[blk_BL_socialnet] access :denny
[blk_BL_socialnet] access :denny
[blk_BL_spyware] access :denny
[blk_BL_spyware] access :denny
[blk_BL_tracker] access :allow
[blk_BL_tracker] access :allow
[blk_BL_updatesites] access :allow
[blk_BL_updatesites] access :allow
[blk_BL_urlshortener] access :allow
[blk_BL_urlshortener] access :allow
[blk_BL_violence] access :denny
[blk_BL_violence] access :denny
[blk_BL_warez] access :allow
[blk_BL_warez] access :allow
[blk_BL_weapons] access :denny
[blk_BL_weapons] access :denny
[blk_BL_webmail] access :allow
[blk_BL_webmail] access :allow
[blk_BL_webphone] access :denny
[blk_BL_webphone] access :denny
[blk_BL_webradio] access :denny
[blk_BL_webradio] access :denny
[blk_BL_webtv] access :denny
[blk_BL_webtv] access :denny
Default access [all] access
Default access [all] access

Página de Erro configurei da seguinte informa. Eu tenho uma página de Intranet que move para uma mensagem de erro(pagina interna) que fica na Intranet.

Com relação ao Cache, não fiz isso. Como faço esse procedimento?

Estava fazendo teste com essa página: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/ que apresentou o erro. Porém é meio que aleatório. Estou fazendo o teste do SSL em um servidor de teste antes de aplicar ao servidor de produção.

danilosv.03

Sevices/squid
Depois em: Squid Hard Disk Cache Settings
Eu coloquei: 1024.

Qual o site você está tentando acessar?

ricardo.duarte

O site que estou usando de teste é esse.

https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/

ricardo.duarte

Danilo.

A versão que estou usando do pfsense é a 2.3.2.

danilosv.03

@ricardo.duarte:

O site que estou usando de teste é esse.

https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/

Independente da versão não é pra ter esse problema. O teu squid ta vendo esse site como um site de bloqueio que tu colocou dentro do ACL.
Tira um print do ACL do seu squid e não do seu squidguard. (foto)

SQUID.jpg_thumb