PfSense 2.3.3 p1 + proxy http/https

alexandroinfor

Oi, estou seguindo as orientações do marcelo, removi o squidGuard e estou testando somento com o squid, aparentemente esta funcionando, agora estou vendo uma forma de relacinar usuários a perfil de acesso.

Danivo, obrigado pela ajuda, eu ja dei uma olhada no forum e não encontrei esse problema, que aparentemente é algum redirectme que está sendo feito de https para http. Vou fazer o teste acima e posto o resultado aqui. Como eu já removi a instalação do SquidGuard não consigo te passar o print, dependendo do resultado, eu volto a instalação do pacote e mando o print pra vc. Obrigado!

danilosv.03

De nada meu amigo.

dbastos

Estou testando o squid+squidguard num ambiente de homologação, e estou com uma situação quase igual ao do colega.

A diferença na verdade é que no meu caso essa mensagem só é exibida em páginas que são bloqueadas pelo squidguard. As páginas HTTPS que não são bloqueadas consigo acessar normalmente.

Então no meu caso, acho que não chega a ser um problema, mas tem algo que precisa ser feito?

Estou usando proxy não transparente + interceptação SSL.

danilosv.03

Tem vários post sobre isso. Tem como você falar mais um pouco sobre o seu ambiente? Configuraçao etc.

dbastos

@danilosv.03:

Tem vários post sobre isso. Tem como você falar mais um pouco sobre o seu ambiente? Configuraçao etc.

Estou usando proxy não transparente. Squid 0.4.35_3 + Squidguard 1.16.1 + Lightsquid 3.0.6_2

Anexei alguns prints com as configurações do squid e squidguard.

Meu objetivo é bloquear redes sociais, qualquer conteúdo de streaming de áudio/ vídeo, pornografia e download de executáveis.

Tenho alguns endereços na Whitelist do Squid e algumas expressões regulares no bloqueio por Mime Types também no squid.

No SquidGuard fiz o download de uma blacklist, e efetuei o bloqueio de algumas categorias.

Em target categories criei duas, uma chamada "bloqueio" e outras "liberados", que por enquanto ambas estão vazias e estou mantendo reservada para adiocionar algo no futuro caso necessário.

Eu acessar o spotify via HTTP, ocorre o bloqueio via squidguard, redirecionando para a tela de bloqueio padrão dele. Se for HTTPS, ocorre o que o colega postou acima.


marcelloc

@alexandroinfor:

Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.

Veja se esse post te ajuda
https://forum.pfsense.org/index.php?topic=128173.msg707011#msg707011

dbastos

@marcelloc:

@alexandroinfor:

Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.

Veja se esse post te ajuda
https://forum.pfsense.org/index.php?topic=128173.msg707011#msg707011

Cheguei a ver esse tópico, mas não resolveu no meu caso. Até cheguei a tentar pesquisar algo no forum gringo, teve até um usuário que reportou isso como sendo um BUG, mas a resposta é que era um comportamento normal do navegador ou algo assim (meu ingles é limitado  :( ). Aqui onde tem o report do "bug": https://redmine.pfsense.org/issues/6777 e aqui https://redmine.pfsense.org/issues/6740

Menos mal que ao menos as páginas que deveriam ser bloqueadas estão sendo.

Pensei em editar o arquivo ERR_DNS_FAIL, mas não sei se seria uma boa prática.

marcelloc

Tem outras soluções, umas comerciais via icap e outras gratuitas. Estou amadurecendo o pacote do e2guardian para ter uma alternativa ao conjunto squid+squidguard.

O pacote já funciona por si só mas penso em integrar a autenticação com o captive portal com já fiz no squid.

tomaswaldow

@marcelloc:

Tem outras soluções, umas comerciais via icap e outras gratuitas. Estou amadurecendo o pacote do e2guardian para ter uma alternativa ao conjunto squid+squidguard.

O pacote já funciona por si só mas penso em integrar a autenticação com o captive portal com já fiz no squid.

Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

marcelloc

@Tomas:

Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

Não faço ideia. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas.

loos

@marcelloc:

@Tomas:

Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

Acho difícil. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas e dentro da nova política da Netgate, enquanto não tiverem um cliente precisando disso, esse pacote entra na categoria "trabalho a mais que eu não quero ter".

Marcello a Netgate não pratica esse tipo de política, por favor não cite 'políticas da Netgate' sem referencias, especialmente quando elas não condizem com a realidade.

Nunca recebemos e committamos tantos PRs como agora[1], fazemos o possível para atender a todos, agora se você não enviar sua contribuição não vamos poder saber.

1: https://github.com/pfsense/pfsense/graphs/contributors

marcelloc

Loos, já tinha corrigido o outro post mas esqueci desse.

Sei que mudanças aconteceram para a maior estabilidade do projeto.

Desculpe ter mantido esse desabafo aqui no fórum. Como contribuidor e entusiasta do projeto, preciso medir melhor minhas palavras e opiniões.

Pontos específicos nestas mudanças me mantiveram sem motivação para contribuir, mas isso são águas passadas. Vou manter minhas contribuições em caráter não oficial respeitando o documento sobre como referenciar código para o pfSense não oficial (política de compliance se não estiver enganado).

Mais uma vez esclareço que de forma alguma quis denegrir o projeto ou qualquer pessoa ligada a ele.

Sobre o envio da contribuição, de uma olhada no histórico dos pull requests. Elas estiveram por um bom tempo publicadas por lá.

andrefreire

Boa tarde !

Eu consegui fazer com que o squidguard funcionasse sem aparecer o erro mencionado adicionando nas configurações avançadas do squid na parte de integrations onde faz a chamada do squidguard a seguinte opção:

ssl_bump none all

coloque isso no inicio da linha de integração e o erro de DNS para de aparecer. A pagina de erro não irá aparecer para paginas HTTPS mas isso é outro problema do squidguard que não foi solucionado.

Em resumo com isso o Squid exibirá a pagina de erro tanto para HTTP e HTTPS e o squidguard exibirá a pagina de erro para o HTTP porém não para o HTTPS mas isso é um comportamento que está acontecendo em várias ferramentas que usam o squidguard, não é algo particular do PFSense.

Espero ter ajudado.
Att,

germinoskull

Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

marcelloc

@germinoskull:

Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

Utilizando o e2guardian no lugar do squidguard…

germinoskull

@marcelloc:

@germinoskull:

Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

Utilizando o e2guardian no lugar do squidguard…

Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

Tentei alguns tutoriais, mas não deu certo..
Quando analiso real time do e2guardian e não retorna nada, só retorna quando deixou transparente ou aponto para porta 8080, preciso manter a autenticação com o AD.

marcelloc

@germinoskull:

Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

desativa o squidguard
Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
seleciona a autenticação basic + ntlm na aba general do e2guardian
salva e aplica.

Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
http://sys-squad.com/licao/259

germinoskull

@marcelloc:

@germinoskull:

Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

desativa o squidguard
Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
seleciona a autenticação basic + ntlm na aba general do e2guardian
salva e aplica.

Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
http://sys-squad.com/licao/259

marcelloc obrigado pelo retorno…

Efetuei as configurações e agora consigo visualizar em real time IP e username, mas vem ocorrendo problemas onde hora solicita autenticação e hora não, sendo assim muitas vezes não retorna o user na página Access Denied e em Realtime.
Quando aponto o client diretamente para o squid a solicitação de credenciais ocorre sempre que o navegador é fechado ou aberto uma guia em modo anonimo.
No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

marcelloc

@germinoskull:

No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.

germinoskull

@marcelloc:

@germinoskull:

No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.

Consegui…
O Grupo default não pode ter a opção Filter ssl sites forging SSL Certificates selecionada.
Sendo assim, deixei habilitado em todos os outros grupos.