PfSense 2.3.3 p1 + proxy http/https
-
Estou testando o squid+squidguard num ambiente de homologação, e estou com uma situação quase igual ao do colega.
A diferença na verdade é que no meu caso essa mensagem só é exibida em páginas que são bloqueadas pelo squidguard. As páginas HTTPS que não são bloqueadas consigo acessar normalmente.
Então no meu caso, acho que não chega a ser um problema, mas tem algo que precisa ser feito?
Estou usando proxy não transparente + interceptação SSL.
-
Tem vários post sobre isso. Tem como você falar mais um pouco sobre o seu ambiente? Configuraçao etc.
-
Tem vários post sobre isso. Tem como você falar mais um pouco sobre o seu ambiente? Configuraçao etc.
Estou usando proxy não transparente. Squid 0.4.35_3 + Squidguard 1.16.1 + Lightsquid 3.0.6_2
Anexei alguns prints com as configurações do squid e squidguard.
Meu objetivo é bloquear redes sociais, qualquer conteúdo de streaming de áudio/ vídeo, pornografia e download de executáveis.
Tenho alguns endereços na Whitelist do Squid e algumas expressões regulares no bloqueio por Mime Types também no squid.
No SquidGuard fiz o download de uma blacklist, e efetuei o bloqueio de algumas categorias.
Em target categories criei duas, uma chamada "bloqueio" e outras "liberados", que por enquanto ambas estão vazias e estou mantendo reservada para adiocionar algo no futuro caso necessário.
Eu acessar o spotify via HTTP, ocorre o bloqueio via squidguard, redirecionando para a tela de bloqueio padrão dele. Se for HTTPS, ocorre o que o colega postou acima.
 -
Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.
Veja se esse post te ajuda
https://forum.pfsense.org/index.php?topic=128173.msg707011#msg707011 -
Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.
Veja se esse post te ajuda
https://forum.pfsense.org/index.php?topic=128173.msg707011#msg707011Cheguei a ver esse tópico, mas não resolveu no meu caso. Até cheguei a tentar pesquisar algo no forum gringo, teve até um usuário que reportou isso como sendo um BUG, mas a resposta é que era um comportamento normal do navegador ou algo assim (meu ingles é limitado :( ). Aqui onde tem o report do "bug": https://redmine.pfsense.org/issues/6777 e aqui https://redmine.pfsense.org/issues/6740
Menos mal que ao menos as páginas que deveriam ser bloqueadas estão sendo.
Pensei em editar o arquivo ERR_DNS_FAIL, mas não sei se seria uma boa prática.
-
Tem outras soluções, umas comerciais via icap e outras gratuitas. Estou amadurecendo o pacote do e2guardian para ter uma alternativa ao conjunto squid+squidguard.
O pacote já funciona por si só mas penso em integrar a autenticação com o captive portal com já fiz no squid.
-
Tem outras soluções, umas comerciais via icap e outras gratuitas. Estou amadurecendo o pacote do e2guardian para ter uma alternativa ao conjunto squid+squidguard.
O pacote já funciona por si só mas penso em integrar a autenticação com o captive portal com já fiz no squid.
Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?
-
Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?
Não faço ideia. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas.
-
Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?
Acho difícil. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas e dentro da nova política da Netgate, enquanto não tiverem um cliente precisando disso, esse pacote entra na categoria "trabalho a mais que eu não quero ter".
Marcello a Netgate não pratica esse tipo de política, por favor não cite 'políticas da Netgate' sem referencias, especialmente quando elas não condizem com a realidade.
Nunca recebemos e committamos tantos PRs como agora[1], fazemos o possível para atender a todos, agora se você não enviar sua contribuição não vamos poder saber.
1: https://github.com/pfsense/pfsense/graphs/contributors
-
Loos, já tinha corrigido o outro post mas esqueci desse.
Sei que mudanças aconteceram para a maior estabilidade do projeto.
Desculpe ter mantido esse desabafo aqui no fórum. Como contribuidor e entusiasta do projeto, preciso medir melhor minhas palavras e opiniões.
Pontos específicos nestas mudanças me mantiveram sem motivação para contribuir, mas isso são águas passadas. Vou manter minhas contribuições em caráter não oficial respeitando o documento sobre como referenciar código para o pfSense não oficial (política de compliance se não estiver enganado).
Mais uma vez esclareço que de forma alguma quis denegrir o projeto ou qualquer pessoa ligada a ele.
Sobre o envio da contribuição, de uma olhada no histórico dos pull requests. Elas estiveram por um bom tempo publicadas por lá.
-
Boa tarde !
Eu consegui fazer com que o squidguard funcionasse sem aparecer o erro mencionado adicionando nas configurações avançadas do squid na parte de integrations onde faz a chamada do squidguard a seguinte opção:
ssl_bump none all
coloque isso no inicio da linha de integração e o erro de DNS para de aparecer. A pagina de erro não irá aparecer para paginas HTTPS mas isso é outro problema do squidguard que não foi solucionado.
Em resumo com isso o Squid exibirá a pagina de erro tanto para HTTP e HTTPS e o squidguard exibirá a pagina de erro para o HTTP porém não para o HTTPS mas isso é um comportamento que está acontecendo em várias ferramentas que usam o squidguard, não é algo particular do PFSense.
Espero ter ajudado.
Att, -
Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http? -
Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?Utilizando o e2guardian no lugar do squidguard…
-
Esse problema ainda acontece…
Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?Utilizando o e2guardian no lugar do squidguard…
Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?
Tentei alguns tutoriais, mas não deu certo..
Quando analiso real time do e2guardian e não retorna nada, só retorna quando deixou transparente ou aponto para porta 8080, preciso manter a autenticação com o AD.
-
Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?
desativa o squidguard
Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
seleciona a autenticação basic + ntlm na aba general do e2guardian
salva e aplica.Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
http://sys-squad.com/licao/259 -
Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?
desativa o squidguard
Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
seleciona a autenticação basic + ntlm na aba general do e2guardian
salva e aplica.Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
http://sys-squad.com/licao/259marcelloc obrigado pelo retorno…
Efetuei as configurações e agora consigo visualizar em real time IP e username, mas vem ocorrendo problemas onde hora solicita autenticação e hora não, sendo assim muitas vezes não retorna o user na página Access Denied e em Realtime.
Quando aponto o client diretamente para o squid a solicitação de credenciais ocorre sempre que o navegador é fechado ou aberto uma guia em modo anonimo.
No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?
-
No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?
Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.
-
No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?
Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.
Consegui…
O Grupo default não pode ter a opção Filter ssl sites forging SSL Certificates selecionada.
Sendo assim, deixei habilitado em todos os outros grupos.
