Squid/SquidGuard - Filtragem SSL bloqueando serviços NF-e [RESOLVIDO]
-
Bom dia pessoal,
Tenho um servidor com squid e squidguard em modo transparente, consigo filtrar todo o conteúdo SSL sem problemas com o certificado que foi criado para o pf-sense, porem, ao habilitar esse recurso de "man-in-the-middle" meu monitor de serviços da NF-e para de responder(o servidor que o serviço esta, possui o certificado que criei instalado).
A respeito das regras do firewall esta tudo ok, pois a NF-e funciona corretamente.
Realizei testes liberando todos os endereços do meu proxy com a filtragem SSL habilitada ainda, e mesmo assim os recursos NF-e perdem conexão.
Gostaria de saber se alguém já enfrentou este problema, e o que poderia fazer para corrigi-lo?
Agradeço.
Att, Kaio Fellipe
-
Bom dia…
Provavelmente alguma conexão https\ssl estão sendo usadas para sua aplicação.
Você precisa verificar os endereços que a aplicação conecta e colocá-los na whitelist de seu Squid.
Para verificar os endereços bloqueados você pode verificar no arquivo "access.log" do Squid.
Faça o seguinte, fixe um ip no micro que roda o monitor nfe (para facilitar a coleta de informações). Em seguida acesse seu pfSense via putty, selecione a opção "8", Shell, e digite o seguinte comando.
tail -f /var/squid/logs/access.log |grep 10.10.10.10
Aonde "10.10.10.10" você coloca o ip fixado no computador.
Com esse comando ativo no putty, vá no computador e realize o processo da NF. Verifique tudo o que está com "DENIED".
Abraços.
-
Provavelmente você vai pegar a url exata, no log do squidGuard,
Serviços > SquidGuard > Log
Quando achar, crie uma categoria custom com a url e coloque como whitelist na conf do squidguard. Depois, dê um Apply.
-
Bom dia…
Provavelmente alguma conexão https\ssl estão sendo usadas para sua aplicação.
Você precisa verificar os endereços que a aplicação conecta e colocá-los na whitelist de seu Squid.
Para verificar os endereços bloqueados você pode verificar no arquivo "access.log" do Squid.
Faça o seguinte, fixe um ip no micro que roda o monitor nfe (para facilitar a coleta de informações). Em seguida acesse seu pfSense via putty, selecione a opção "8", Shell, e digite o seguinte comando.
tail -f /var/squid/logs/access.log |grep 10.10.10.10
Aonde "10.10.10.10" você coloca o ip fixado no computador.
Com esse comando ativo no putty, vá no computador e realize o processo da NF. Verifique tudo o que está com "DENIED".
Abraços.
Executei os comandos no Shell porem não aparece nada, tem outra forma de verificar estes dados de log?
Segue imagem…
-
Melhor forma é com o tcpdump.
tcpdump -i ethX src host 10.10.10.10 and dst port 443Claro que tu pode modificar o comando de acordo com o que tu precisa.
http://www.tcpdump.org/tcpdump_man.html
-
Melhor forma é com o tcpdump.
tcpdump -i ethX src host 10.10.10.10 and dst port 443Claro que tu pode modificar o comando de acordo com o que tu precisa.
http://www.tcpdump.org/tcpdump_man.html
Agradeço a ajuda, consegui verificar os pacotes que passavam para a emissão das NFs e libera-los em uma categoria da minha black list.
-
posta ai como resolveu pq estou tendo o mesmo problema com um proxy autenticado.
-
posta ai como resolveu pq estou tendo o mesmo problema com um proxy autenticado.
Liberei a conexão com estas duas redes :
1º 201.55.0.0/24
2º 201.55.62.0/24Logo após isto a conexão foi estabelecida sem nenhum problema.