[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%
-
try_files $uri =404; # This line closes
a potential security holefastcgi_pass
unix:/var/run/php-fpm.socket;include
/usr/local/etc/nginx/fastcgi_params;Essas linha estão quebradas no seu código.
deveriam estar assim:
try_files $uri =404; # This line closes a potential security hole fastcgi_pass unix:/var/run/php-fpm.socket; include /usr/local/etc/nginx/fastcgi_params;Todas essas questões, o pacote faz sozinho. Sugiro deixar a configuração do nginx por conta dele e acertar pelo tutorial as configurações de dhcp, dns, etc…
Marcelo,
No exemplo que você deu, temos que incluir a interface loopback também?
-
No exemplo que você deu, temos que incluir a interface loopback também?
Não precisa. A configuração do loopback da imagem só está lá para demonstrar que você pode ter um pac para cada interface de rede (se quiser ou precisar).
-
Oi Brunok, obrigado pelo retorno. Porém acredito que marcar outras interfaces no squid não será suficiente. O cenário que penso é o seguinte:
Eth1 - LAN 192.168.28.0/22 - Gateway 192.168.28.1
Eth2 - LAN 192.168.50.0/24 - Gateway 192.168.50.1O que vc acha?
Irá funcionar com essas condições:
Regras na LAN A e B, pois o ip de redirecionamento do squidguard é da rede A e a rede B precisa encontrar. Apenas a porta 80.
No squid você marca as 2 interfaces e testa, pode também forçar as subnets lan liberadas no proxy na aba ACLS > "Allowed subnets".
-
Certo Brunok, estou testando e está funcionando, obrigado!
-
Bom dia galera!
segui igual receita de bolo, mas nao deu certo :-[
abraço
-
Efetuei a instalação aqui e estou com 2 problemas.
1 - Ao ser redirecionado para a pagina de erro o navegador efetua o download do sgerror.php ao invez de interpreta-lo.
2 - Mesmo configurando o certificado e habilitando a opção SSL as paginas https não são redirecionadas.
Duvidas:
Nas configurações do Squid
SSL/MITM Mode: qual deve ser informado?
SSL Proxy Compatibility Mode: qual deve ser informado?Grato!
-
Bom dia galera!
segui igual receita de bolo, mas nao deu certo :-[
abraço
[/quote]Poste aqui o que acontece, algum print.
-
Efetuei a instalação aqui e estou com 2 problemas.
1 - Ao ser redirecionado para a pagina de erro o navegador efetua o download do sgerror.php ao invez de interpreta-lo.
2 - Mesmo configurando o certificado e habilitando a opção SSL as paginas https não são redirecionadas.
Duvidas:
Nas configurações do Squid
SSL/MITM Mode: qual deve ser informado?
SSL Proxy Compatibility Mode: qual deve ser informado?Grato!
As configurações do squid, pode deixar as padrões, neste caso.
1 - Isso pode ser configuração do próprio navegador. Qual está usando?
2 - Páginas https não são redirecionadas para a página de erro. Eu ainda não consegui contornar isso. O bloqueio ocorre, só não aparece a página do sgerror.php.
-
Bom dia galera!
segui igual receita de bolo, mas nao deu certo :-[
abraço
[/quote]Poste aqui o que acontece, algum print.
Bruno,
bom dia!
segui o tutorial ao pe da letra, instalei em uma instalação limpa em um ambiente de teste.
alterei o domínio do arquivo para o meu, consigo fazer o download dos arquivos do wpad.
fiz os bloqueios das portas 80 e 443, e liberação do ip e porta do PF.
através da detecção automática de proxy não navega em nada, seu setar o proxy manual ai funfa tudo legal.
segue minhas regras…
-
Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?
-
Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?
Nada.
so segui o tutorial, ip e porta batendo.
-
após reiniciar o firewall para tentar identificar o motivo do download ao invés da interpretação do sgerror percebi que o wpad parou de funcionar.
identifiquei o problema, mas não a solução, ao tentar aplicar o wpad me retorna a mensagem de que já existe um serviço ativo na porta 80.
qual comando para listar qual serviço esta rodando nesta porta?
-
qual comando para listar qual serviço esta rodando nesta porta?
Desativou o redirecionamento automático da gui em system-> advanced?
-
Desativou o redirecionamento automático da gui em system-> advanced?
Sim, mesmo que alguém esqueça, eu fiz um teste aqui e o script do wpad não aceita aplicar esta configuração caso o redirecionamento esteja ativado.
-
Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?
Nada.
so segui o tutorial, ip e porta batendo.
Qual o IP configurado no alias "FIREWALL" ?
-
Desativou o redirecionamento automático da gui em system-> advanced?
Sim, mesmo que alguém esqueça, eu fiz um teste aqui e o script do wpad não aceita aplicar esta configuração caso o redirecionamento esteja ativado.
Tem contato com o Shell?
Me mostre a saída do comando:
cat /usr/local/etc/nginx/nginx_wpad*.conf -
parabéns ótimo tuto
-
Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?
Nada.
so segui o tutorial, ip e porta batendo.
Qual o IP configurado no alias "FIREWALL" ?
Bruno,
bom dia!
IP padrao do teste e do seu tutorial 192.168.1.1
abraço
-
Fiz aqui todo o procedimento e infelizmente não funcionou, uso a versão 2.3.2 amd64.
Consegui ter acesso normal a internet, ele não faz bloqueios, mesmo mexendo nas regras do SquidGuard, refiz toda a configuração e mesmo assim não foi.
Atualmente fiz uma configuração de PfSense que ficou boa aqui, ainda não está em produção, mas com os testes feitos em alguns setores, principalmente o financeiro, não tive nenhum problema, mas é aquela história, é preciso instalar o certificado no computador do usuário, deu para fazer bloqueio com sites HTTPS, e usar pesquisa segura no Google e outros buscadores.
Enfim, em casa tento novamente fazer essa configuração ;D -
Boa noite pessoal, talvez ajude alguém, para complementar as configurações até então feitas, relaciono abaixo um exemplo básico de regras de firewall. Se não estiverem adequadas peço que sugiram/efetuem alterações.
Ação - Protocolo - Source - Port - Destination - Port - Gateway - Queue - Description Pass IPv4 TCP - LAN net * 192.168.1.1 9443,22,80 * none - Libera WebGUI, SSH, WPAD (NGINX) Pass IPv4 UDP - LAN net * 192.168.1.1 53 (DNS) * none - Libera DNS Reject IPv4 TCP - LAN net * * 80 (HTTP) * none - Bloqueia HTTP Reject IPv4 TCP - LAN net * * 443 (HTTPS) * none - Bloqueia HTTPS Pass IPv4 TCP - LAN net * * 3128 * none - Libera Proxy
