[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%

brunok

@marcelloc:

Primeira versão do pacote wpad já está no repositório.

Isso reduz bastante a quantidade de alterações e configurações de arquivos.  8)

Brunok, se achar interessante, podemos alterar o primeiro post incluindo a instalação do pacote e configuração via interface web desta parte.

Pacote WPAD não oficial para pfSense software(r) 2.3.x

Agora que vi o link do pacote… Vou validar aqui num ambiente CLEAN.

brunok

@diegovaz:

Na versao:

2.3.3-p1

Funcionou legal com o pacote!

bruno e Marcelo, paranebs novamente!

[DESCULPE CONFUSAO, A PLACA ESTA DO VIRTUALBOX ESTAVA EM NAT]

nesta versao tambem aparece o mesmo erro:

nginx: [emerg] unknown directive "a" in /usr/local/etc/nginx/nginx2.conf:24

Diego, poste aqui o seu nginx2.conf para análise.

diegovaz

# nginx configuration file
	worker_processes  1;
	events {
	    worker_connections  1024;
	}
	http {
	        include       /usr/local/etc/nginx/mime.types;
	        default_type  application/octet-stream;
	        sendfile        on;
	        keepalive_timeout 65;

	        server {
	                listen 192.168.1.1;
	                server_name wpad.localdomain
	                server name 127.0.0.1
	                client_max_body_size 200m;

	                root "/usr/local/www/nginx-dist/";

	                location ~ \.php$ {
	                        try_files $uri =404; #  This line closes 
a potential security hole
	                        fastcgi_pass   
unix:/var/run/php-fpm.socket;
	                        fastcgi_index  index.php;
	                        fastcgi_param  SCRIPT_FILENAME  
$document_root$fastcgi_script_name;
	                        fastcgi_read_timeout 180;
	                        include        
/usr/local/etc/nginx/fastcgi_params;
	                }
	        }
	}

So copiei e colei  ???

marcelloc

@diegovaz:

try_files $uri =404; #  This line closes
a potential security hole

fastcgi_pass 
unix:/var/run/php-fpm.socket;

include       
/usr/local/etc/nginx/fastcgi_params;

Essas linha estão quebradas no seu código.

deveriam estar assim:

try_files $uri =404; #  This line closes  a potential security hole

fastcgi_pass   unix:/var/run/php-fpm.socket;

include        /usr/local/etc/nginx/fastcgi_params;

Todas essas questões, o pacote faz sozinho. Sugiro deixar a configuração do nginx por conta dele e acertar pelo tutorial as configurações de dhcp, dns, etc…

leo_pfsense

Oi Brunok, obrigado pelo retorno. Porém acredito que marcar outras interfaces no squid não será suficiente. O cenário que penso é o seguinte:

Eth1 - LAN 192.168.28.0/22 - Gateway 192.168.28.1
Eth2 - LAN 192.168.50.0/24 - Gateway 192.168.50.1

O que vc acha?

diegovaz

@marcelloc:

@diegovaz:

try_files $uri =404; #  This line closes
a potential security hole

fastcgi_pass 
unix:/var/run/php-fpm.socket;

include       
/usr/local/etc/nginx/fastcgi_params;

Essas linha estão quebradas no seu código.

deveriam estar assim:

try_files $uri =404; #  This line closes  a potential security hole

fastcgi_pass   unix:/var/run/php-fpm.socket;

include        /usr/local/etc/nginx/fastcgi_params;

Todas essas questões, o pacote faz sozinho. Sugiro deixar a configuração do nginx por conta dele e acertar pelo tutorial as configurações de dhcp, dns, etc…

Marcelo,

No exemplo que você deu, temos que incluir a interface loopback também?

marcelloc

@diegovaz:

No exemplo que você deu, temos que incluir a interface loopback também?

Não precisa. A configuração do loopback da imagem só está lá para demonstrar que você pode ter um pac para cada interface de rede (se quiser ou precisar).

brunok

@leo_pfsense:

Oi Brunok, obrigado pelo retorno. Porém acredito que marcar outras interfaces no squid não será suficiente. O cenário que penso é o seguinte:

Eth1 - LAN 192.168.28.0/22 - Gateway 192.168.28.1
Eth2 - LAN 192.168.50.0/24 - Gateway 192.168.50.1

O que vc acha?

Irá funcionar com essas condições:

Regras na LAN A e B, pois o ip de redirecionamento do squidguard é da rede A e a rede B precisa encontrar. Apenas a porta 80.

No squid você marca as 2 interfaces e testa, pode também forçar as subnets lan liberadas no proxy na aba ACLS > "Allowed subnets".

leo_pfsense

Certo Brunok, estou testando e está funcionando, obrigado!

diegovaz

Bom dia galera!

segui igual receita de bolo, mas nao deu certo  :-[

abraço

guitarcleiton

Efetuei a instalação aqui e estou com 2 problemas.

1 - Ao ser redirecionado para a pagina de erro o navegador efetua o download do sgerror.php ao invez de interpreta-lo.

2 - Mesmo configurando o certificado e habilitando a opção  SSL as paginas https não são redirecionadas.

Duvidas:
Nas configurações do Squid
SSL/MITM Mode: qual deve ser informado?
SSL Proxy Compatibility Mode: qual deve ser informado?

Grato!

brunok

@diegovaz:

Bom dia galera!

segui igual receita de bolo, mas nao deu certo  :-[

abraço
[/quote]

Poste aqui o que acontece, algum print.

brunok

@guitarcleiton:

Efetuei a instalação aqui e estou com 2 problemas.

1 - Ao ser redirecionado para a pagina de erro o navegador efetua o download do sgerror.php ao invez de interpreta-lo.

2 - Mesmo configurando o certificado e habilitando a opção  SSL as paginas https não são redirecionadas.

Duvidas:
Nas configurações do Squid
SSL/MITM Mode: qual deve ser informado?
SSL Proxy Compatibility Mode: qual deve ser informado?

Grato!

As configurações do squid, pode deixar as padrões, neste caso.

1 - Isso pode ser configuração do próprio navegador. Qual está usando?

2 - Páginas https não são redirecionadas para a página de erro. Eu ainda não consegui contornar isso. O bloqueio ocorre, só não aparece a página do sgerror.php.

diegovaz

@brunok:

@diegovaz:

Bom dia galera!

segui igual receita de bolo, mas nao deu certo  :-[

abraço
[/quote]

Poste aqui o que acontece, algum print.

Bruno,

bom dia!

segui o tutorial ao pe da letra, instalei em uma instalação limpa em um ambiente de teste.
alterei o domínio do arquivo para o meu, consigo fazer o download dos arquivos do wpad.
fiz os bloqueios das portas 80 e 443, e liberação do ip e porta do PF.
através da detecção automática de proxy não navega em nada, seu setar o proxy manual ai funfa tudo legal.
segue minhas regras…

marcelloc

Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?

diegovaz

@marcelloc:

Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?

Nada.

so segui o tutorial, ip e porta batendo.

guitarcleiton

após reiniciar o firewall para tentar identificar o motivo do download ao invés da interpretação do sgerror percebi que o wpad parou de funcionar.

identifiquei o problema, mas não a solução, ao tentar aplicar o wpad me retorna a mensagem de que já existe um serviço ativo na porta 80.

qual comando para listar qual serviço esta rodando nesta porta?

marcelloc

@guitarcleiton:

qual comando para listar qual serviço esta rodando nesta porta?

Desativou o redirecionamento automático da gui em system-> advanced?

guitarcleiton

@marcelloc:

Desativou o redirecionamento automático da gui em system-> advanced?

Sim, mesmo que alguém esqueça, eu fiz um teste aqui e o script do wpad não aceita aplicar esta configuração caso o redirecionamento esteja ativado.

brunok

@diegovaz:

@marcelloc:

Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?

Nada.

so segui o tutorial, ip e porta batendo.

Qual o IP configurado no alias "FIREWALL" ?