Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense 2.3.3 p1 + proxy http/https

    Scheduled Pinned Locked Moved Portuguese
    23 Posts 8 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • danilosv.03D
      danilosv.03
      last edited by

      De nada meu amigo.


      :)
      |E-mail: danilosv.03@gmail.com
      |Skype: danilosv.03


      1 Reply Last reply Reply Quote 0
      • D
        dbastos
        last edited by

        Estou testando o squid+squidguard num ambiente de homologação, e estou com uma situação quase igual ao do colega.

        A diferença na verdade é que no meu caso essa mensagem só é exibida em páginas que são bloqueadas pelo squidguard. As páginas HTTPS que não são bloqueadas consigo acessar normalmente.

        Então no meu caso, acho que não chega a ser um problema, mas tem algo que precisa ser feito?

        Estou usando proxy não transparente + interceptação SSL.

        1 Reply Last reply Reply Quote 0
        • danilosv.03D
          danilosv.03
          last edited by

          Tem vários post sobre isso. Tem como você falar mais um pouco sobre o seu ambiente? Configuraçao etc.


          :)
          |E-mail: danilosv.03@gmail.com
          |Skype: danilosv.03


          1 Reply Last reply Reply Quote 0
          • D
            dbastos
            last edited by

            @danilosv.03:

            Tem vários post sobre isso. Tem como você falar mais um pouco sobre o seu ambiente? Configuraçao etc.

            Estou usando proxy não transparente. Squid 0.4.35_3 + Squidguard 1.16.1 + Lightsquid 3.0.6_2

            Anexei alguns prints com as configurações do squid e squidguard.

            Meu objetivo é bloquear redes sociais, qualquer conteúdo de streaming de áudio/ vídeo, pornografia e download de executáveis.

            Tenho alguns endereços na Whitelist do Squid e algumas expressões regulares no bloqueio por Mime Types também no squid.

            No SquidGuard fiz o download de uma blacklist, e efetuei o bloqueio de algumas categorias.

            Em target categories criei duas, uma chamada "bloqueio" e outras "liberados", que por enquanto ambas estão vazias e estou mantendo reservada para adiocionar algo no futuro caso necessário.

            Eu acessar o spotify via HTTP, ocorre o bloqueio via squidguard, redirecionando para a tela de bloqueio padrão dele. Se for HTTPS, ocorre o que o colega postou acima.

            Squid1.PNG
            Squid1.PNG_thumb
            Squid2.PNG
            Squid2.PNG_thumb
            squid3.PNG
            squid3.PNG_thumb
            Cache1.PNG
            Cache1.PNG_thumb
            Cache2.PNG
            Cache2.PNG_thumb
            Cache3.PNG
            Cache3.PNG_thumb
            ACLs-Squid.PNG
            ACLs-Squid.PNG_thumb
            SquidGuard1.PNG
            SquidGuard1.PNG_thumb
            SquidGuard2.PNG
            SquidGuard2.PNG_thumb
            ACLs-SquidGuard-1.PNG
            ACLs-SquidGuard-1.PNG_thumb
            ACLs-SquidGuard-2.PNG
            ACLs-SquidGuard-2.PNG_thumb
            ACLs-SquidGuard-3.PNG
            ACLs-SquidGuard-3.PNG_thumb
            ![Squidguard - TargetCategories.PNG](/public/imported_attachments/1/Squidguard - TargetCategories.PNG)
            ![Squidguard - TargetCategories.PNG_thumb](/public/imported_attachments/1/Squidguard - TargetCategories.PNG_thumb)

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              @alexandroinfor:

              Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.

              Veja se esse post te ajuda
              https://forum.pfsense.org/index.php?topic=128173.msg707011#msg707011

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • D
                dbastos
                last edited by

                @marcelloc:

                @alexandroinfor:

                Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.

                Veja se esse post te ajuda
                https://forum.pfsense.org/index.php?topic=128173.msg707011#msg707011

                Cheguei a ver esse tópico, mas não resolveu no meu caso. Até cheguei a tentar pesquisar algo no forum gringo, teve até um usuário que reportou isso como sendo um BUG, mas a resposta é que era um comportamento normal do navegador ou algo assim (meu ingles é limitado  :( ). Aqui onde tem o report do "bug": https://redmine.pfsense.org/issues/6777 e aqui https://redmine.pfsense.org/issues/6740

                Menos mal que ao menos as páginas que deveriam ser bloqueadas estão sendo.

                Pensei em editar o arquivo ERR_DNS_FAIL, mas não sei se seria uma boa prática.

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  Tem outras soluções, umas comerciais via icap e outras gratuitas. Estou amadurecendo o pacote do e2guardian para ter uma alternativa ao conjunto squid+squidguard.

                  O pacote já funciona por si só mas penso em integrar a autenticação com o captive portal com já fiz no squid.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • T
                    tomaswaldow
                    last edited by

                    @marcelloc:

                    Tem outras soluções, umas comerciais via icap e outras gratuitas. Estou amadurecendo o pacote do e2guardian para ter uma alternativa ao conjunto squid+squidguard.

                    O pacote já funciona por si só mas penso em integrar a autenticação com o captive portal com já fiz no squid.

                    Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

                    Tomas @ 2W Consultoria

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @Tomas:

                      Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

                      Não faço ideia. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • L
                        loos Netgate
                        last edited by

                        @marcelloc:

                        @Tomas:

                        Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

                        Acho difícil. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas e dentro da nova política da Netgate, enquanto não tiverem um cliente precisando disso, esse pacote entra na categoria "trabalho a mais que eu não quero ter".

                        Marcello a Netgate não pratica esse tipo de política, por favor não cite 'políticas da Netgate' sem referencias, especialmente quando elas não condizem com a realidade.

                        Nunca recebemos e committamos tantos PRs como agora[1], fazemos o possível para atender a todos, agora se você não enviar sua contribuição não vamos poder saber.

                        1: https://github.com/pfsense/pfsense/graphs/contributors

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          Loos, já tinha corrigido o outro post mas esqueci desse.

                          Sei que mudanças aconteceram para a maior estabilidade do projeto.

                          Desculpe ter mantido esse desabafo aqui no fórum. Como contribuidor e entusiasta do projeto, preciso medir melhor minhas palavras e opiniões.

                          Pontos específicos nestas mudanças me mantiveram sem motivação para contribuir, mas isso são águas passadas. Vou manter minhas contribuições em caráter não oficial respeitando o documento sobre como referenciar código para o pfSense não oficial (política de compliance se não estiver enganado).

                          Mais uma vez esclareço que de forma alguma quis denegrir o projeto ou qualquer pessoa ligada a ele.

                          Sobre o envio da contribuição, de uma olhada no histórico dos pull requests. Elas estiveram por um bom tempo publicadas por lá.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • A
                            andrefreire
                            last edited by

                            Boa tarde !

                            Eu consegui fazer com que o squidguard funcionasse sem aparecer o erro mencionado adicionando nas configurações avançadas do squid na parte de integrations onde faz a chamada do squidguard a seguinte opção:

                            ssl_bump none all

                            coloque isso no inicio da linha de integração e o erro de DNS para de aparecer. A pagina de erro não irá aparecer para paginas HTTPS mas isso é outro problema do squidguard que não foi solucionado.

                            Em resumo com isso o Squid exibirá a pagina de erro tanto para HTTP e HTTPS e o squidguard exibirá a pagina de erro para o HTTP porém não para o HTTPS mas isso é um comportamento que está acontecendo em várias ferramentas que usam o squidguard, não é algo particular do PFSense.

                            Espero ter ajudado.
                            Att,

                            1 Reply Last reply Reply Quote 0
                            • G
                              germinoskull
                              last edited by

                              Esse problema ainda acontece…
                              Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

                              1 Reply Last reply Reply Quote 0
                              • marcellocM
                                marcelloc
                                last edited by

                                @germinoskull:

                                Esse problema ainda acontece…
                                Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

                                Utilizando o e2guardian no lugar do squidguard…

                                Treinamentos de Elite: http://sys-squad.com

                                Help a community developer! ;D

                                1 Reply Last reply Reply Quote 0
                                • G
                                  germinoskull
                                  last edited by

                                  @marcelloc:

                                  @germinoskull:

                                  Esse problema ainda acontece…
                                  Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

                                  Utilizando o e2guardian no lugar do squidguard…

                                  Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

                                  Tentei alguns tutoriais, mas não deu certo..
                                  Quando analiso real time do e2guardian e não retorna nada, só retorna quando deixou transparente ou aponto para porta 8080, preciso manter a autenticação com o AD.

                                  1.png
                                  1.png_thumb
                                  2.png
                                  2.png_thumb
                                  3.png
                                  3.png_thumb

                                  1 Reply Last reply Reply Quote 0
                                  • marcellocM
                                    marcelloc
                                    last edited by

                                    @germinoskull:

                                    Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

                                    desativa o squidguard
                                    Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
                                    seleciona a autenticação basic + ntlm na aba general do e2guardian
                                    salva e aplica.

                                    Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
                                    http://sys-squad.com/licao/259

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • G
                                      germinoskull
                                      last edited by

                                      @marcelloc:

                                      @germinoskull:

                                      Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

                                      desativa o squidguard
                                      Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
                                      seleciona a autenticação basic + ntlm na aba general do e2guardian
                                      salva e aplica.

                                      Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
                                      http://sys-squad.com/licao/259

                                      marcelloc obrigado pelo retorno…

                                      Efetuei as configurações e agora consigo visualizar em real time IP e username, mas vem ocorrendo problemas onde hora solicita autenticação e hora não, sendo assim muitas vezes não retorna o user na página Access Denied e em Realtime.
                                      Quando aponto o client diretamente para o squid a solicitação de credenciais ocorre sempre que o navegador é fechado ou aberto uma guia em modo anonimo.
                                      No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

                                      ConfigDaemon.png
                                      ConfigDaemon.png_thumb
                                      ConfigGeneral.png
                                      ConfigGeneral.png_thumb
                                      ConfigGroup.png
                                      ConfigGroup.png_thumb
                                      ReturnAccessDenied.JPG
                                      ReturnAccessDenied.JPG_thumb

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        @germinoskull:

                                        No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

                                        Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • G
                                          germinoskull
                                          last edited by

                                          @marcelloc:

                                          @germinoskull:

                                          No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

                                          Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.

                                          Consegui…
                                          O Grupo default não pode ter a opção Filter ssl sites forging SSL Certificates selecionada.
                                          Sendo assim, deixei habilitado em todos os outros grupos.

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.