[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%
-
Bruno para essa aplicação que funcione tenho é necessario ativa o dhcp do pfsense? no meu caso quem gerar dhcp eo windows server 2008 rc2.
me tire essa duvida.
Um grande abraço
Editei o tópico, apenas para informar que o ambiente está validado nestas versões:
2.3.1
2.3.1_5
2.3.2
2.3.2_1 -
Bruno tudo bom?
Olha, estou testando essa funcionalidade aqui com o Virtual box +PFsense 2.3.2+Win7.
Seguinte, reproduzir os passos de acordo com o seu tutorial, porém meu PFsense não está bloqueando as paginas que defini nas regras do squidguard, o bloqueio somente acontece quando seto o proxy na maquina.
Refiz todos os passos, verifiquei todos os arquivos, consigo baixar todos os arquivos de diferentes maneiras, meu Dominio também é o localhost, mas mesmo assim os bloqueios não funcionam, estou usando o pfsense na porta que você mencionou 9443 ele acessa normal, quando entro no navegador e digito 192.168.1.1 ele cai na pagina do nxing normal, minhas configurações de DHCP e DNS estão exatamente como vc mandou, DNS Forward etc….
O que pode estar acontecendo ?
Obrigado.
-
Bruno parabens pelo tutorial, segui o passo a passo da instalação, mais o squid não inicia.
Eu já pesquisei o erro, fiz a questão do target categories, reinstalei squid, reinstalei squidguard e nada…
O que eu tenho de log na interface do pfsense é essa:/rc.start_packages: The command '/usr/local/sbin/squid -f /usr/local/etc/squid/squid.conf' returned exit code '1', the output was 'FATAL: Bungled /usr/local/etc/squid/squid.conf line 4: http_port 192.168.0.1:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=-50MB cert=/usr/local/etc/squid/serverkey.pem capath=/usr/local/share/certs/ cipher=EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:HIGH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS dhparams=/etc/dh-parameters.2048 options=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE Squid Cache (Version 3.5.19): Terminated abnormally. CPU Usage: 0.006 seconds = 0.000 user + 0.006 sys Maximum Resident Size: 880 KB Page faults with physical i/o: 110'
Versão do SquidGuard:
[2.3.2-RELEASE][admin@pfSense.localdomain]/root: squidGuard -v
SquidGuard: 1.4 Berkeley DB 5.3.28: (September 9, 2013)na GUI do pfsense: squidGuard www 1.14_4
Versão do Squiq:
[2.3.2-RELEASE][admin@pfSense.localdomain]/root: squid -v
Squid Cache: Version 3.5.19na GUI do pfsense: squid www 0.4.23_1
Nos logs do /var/log/squid/cache.log tem o seguinte, só que foi as 20:00, hr que eu tava instalando/configurando:
2016/11/30 20:00:38 kid1| ERROR: No forward-proxy ports configured. FATAL: No HTTP, HTTPS, or FTP ports configured Squid Cache (Version 3.5.19): Terminated abnormally. CPU Usage: 0.084 seconds = 0.061 user + 0.023 sys Maximum Resident Size: 208784 KB Page faults with physical i/o: 0 2016/11/30 20:00:43 kid1| Creating missing swap directories
Ja li muito aqui sobre… mais nada que tenha resolvido.
Alguem sabe o que pode estar acontecendo? -
Fiz um teste, desabilitei o:
HTTPS/SSL Interception Enable SSL filtering.
Dai ele inicia…
-
Bruno para essa aplicação que funcione tenho é necessario ativa o dhcp do pfsense? no meu caso quem gerar dhcp eo windows server 2008 rc2.
me tire essa duvida.
Um grande abraço
Editei o tópico, apenas para informar que o ambiente está validado nestas versões:
2.3.1
2.3.1_5
2.3.2
2.3.2_1Você pode utilizar o DNS do Windows Server. Basta configurar as opções do wpad nele (de uma olhada na net, que você encontra).
Outra dica, o windows bloqueia por padrão o nome wpad (por questões de segurança), mas tem um procedimento para liberar isto e aí vai funcionar normalmente.
http://ajuda.uniconet.com.br/index.php/Configura%C3%A7%C3%A3o_do_WPAD_no_DNS_do_Windows_Server
-
Bruno tudo bom?
Olha, estou testando essa funcionalidade aqui com o Virtual box +PFsense 2.3.2+Win7.
Seguinte, reproduzir os passos de acordo com o seu tutorial, porém meu PFsense não está bloqueando as paginas que defini nas regras do squidguard, o bloqueio somente acontece quando seto o proxy na maquina.
Refiz todos os passos, verifiquei todos os arquivos, consigo baixar todos os arquivos de diferentes maneiras, meu Dominio também é o localhost, mas mesmo assim os bloqueios não funcionam, estou usando o pfsense na porta que você mencionou 9443 ele acessa normal, quando entro no navegador e digito 192.168.1.1 ele cai na pagina do nxing normal, minhas configurações de DHCP e DNS estão exatamente como vc mandou, DNS Forward etc….
O que pode estar acontecendo ?
Obrigado.
Parece que o WPAD não está sendo entregue, ou o navegador não está marcado para reconhecer proxy automaticamente.
Qual navegador está usando?
Chrome usa a mesma configuração do IE.
Firefox, tem uma configuração à parte, no próprio navegador.
-
Fiz um teste, desabilitei o:
HTTPS/SSL Interception Enable SSL filtering.
Dai ele inicia…
Já tentou fazer uma instalação clean, somente para testes?
Neste caso, pode ter relação com a tag nas opções custom do squid.
ssl_bump none all
Da uma conferida nos parâmetros.
-
Cara, parabéns pelo tutorial, só uma dúvida, não está sendo feito nenhum tipo de bloqueio das portas 80 e 443, então se o usuário optar por navegar sem proxy, vai passar normalmente, certo?
-
Cara, parabéns pelo tutorial, só uma dúvida, não está sendo feito nenhum tipo de bloqueio das portas 80 e 443, então se o usuário optar por navegar sem proxy, vai passar normalmente, certo?
Teoricamente, sim.
Mas como o proxy está amarrado pelo DHCP e DNS (não setado no navegador), não tem pra onde ele fugir**.
** A não ser que o ip seja setado manualmente, com DNS do google por exemplo. Mas estas configurações, você consegue bloquear.
-
Na verdade, por exemplo no Firefox, é só marcar a opção "Sem proxy". Minha sugestão, bloqueie o acesso das portas 80 e 443 externo e libere apenas a porta 80 para rede local, ai o arquivo WPAD será servido e ninguém irá trafegar sem ele. Segue exemplo:
-
brunok,
Parabéns pelo belo tutorial. Talvez tu queira adicionar um pequeno adendo ao teu tutorial. A questão de deixar a Default access [all] em allow, pois por padrão vem em deny. Para os usuários com maior experiencia talvez essa mudança seja trivial, mas para usuários com pouca experiencia possa ser uma dificuldade em saber o porque esta tudo bloqueado.
Mais uma vez, obrigado pelo conhecimento disseminado. :D
-
Bruno,
Novamente parabenizo-lhe pelo tutorial!
Fiz aqui, funcionou tudo certo! wpad sendo entregue e bloqueios acontecendo..Porém uma dúvida: na máquina que estou usando para testes, se eu desabilito a opção 'detectar automaticamente' nas configurações de conexão os bloqueios deixam de acontecer…. :-\
Está correto? Haveria algum modo de, caso a máquina não esteja passando pelo proxy, rejeitar todos os pacotes dela para 80 e 443?
Agradeço novamente! :D
-
Bruno,
Novamente parabenizo-lhe pelo tutorial!
Fiz aqui, funcionou tudo certo! wpad sendo entregue e bloqueios acontecendo..Porém uma dúvida: na máquina que estou usando para testes, se eu desabilito a opção 'detectar automaticamente' nas configurações de conexão os bloqueios deixam de acontecer…. :-\
Está correto? Haveria algum modo de, caso a máquina não esteja passando pelo proxy, rejeitar todos os pacotes dela para 80 e 443?
Agradeço novamente! :D
Posted by: itsl3v1s: https://forum.pfsense.org/index.php?topic=118346.msg675496#msg675496
-
Na verdade, por exemplo no Firefox, é só marcar a opção "Sem proxy". Minha sugestão, bloqueie o acesso das portas 80 e 443 externo e libere apenas a porta 80 para rede local, ai o arquivo WPAD será servido e ninguém irá trafegar sem ele. Segue exemplo:
itsl3v1s,
Obrigado pela pronta resposta! Nem tinha visto sua postagem acima da minha..
Mas, por favor, me tire uma dúvida: na sua regra nº2 teoricamente você está permitindo acesso total ao seu firewall de qualquer origem/porta certo?
Isto não representaria uma boa brecha de segurança? -
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
-
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
[/quote]Tenta da forma abaixo.
Squid Proxy Server > General > Bypass Proxy for These Source IPs: 192.168.7.0/24;192.168.7.1; (os ips são exemplos) kkk
-
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
[/quote]Tenta da forma abaixo.
Squid Proxy Server > General > Bypass Proxy for These Source IPs: 192.168.7.0/24;192.168.7.1; (os ips são exemplos) kkk
Amigo, obrigado pela dica mas infelizmente não é possível… Só dá para aplicar este campo caso o squid estivesse em modo transparente..
"Applies only to transparent mode" :-\
-
Pessoal, só pra repassar um report à todos:
Consegui fazer a liberação por faixa de IPs através do SquidGuard Proxy Filter > Groups ACLSinceramente, não sei o que de fato havia feito antes que agora fiz de novo e funcionou.. Mas, enfim, funcionou! hahaha
Um dos detalhes é que selecionei um-a-um como whitelist na 'Target Rule List' testei em bancada com 3 computadores, sendo um deles com IP fixado por MAC Adress dentro da faixa de liberação e funcionou certinho!Novamente obrigado e sucesso à todos! :)
-
Ola
Fiz todos os procedimentos conforme mencionado, inclusive troquei a porta do WebGUI para 9443…
Os sites http estão redirecionando para a página de erro, mas não tem jeito de funcionar os sites https.
Obs: uso o pfSense 2.3.3 integrado ao ad com script pf2ad.
Obrigado desde já, abraços.
-
Boa tarde,
O redirecionamento não funciona para sites HTTPS. :-\