[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%
-
Oi pessoal descobri o meu problema.
Seguinte eu configurei o squid para autenticação local certo e fazendo isto automaticamente as chamadas do skype nao funciona quando eu tirei a autenticação volto a funcionar as chamadas do skype.
Por que eu fiz isso por que eu quero que no relatorio do ligthsquid quero que saia os nomes dos usuarios autenticados no squid.
Entao o que eu fiz foi add os dominios que tinha na base de dados do squid Guard da Black list que baixei no caso da Shalla. e add em ACLs -> Whitelist estes domnios e entao funciono agora consigo fazer chamadas e video chamadas com usuarios autenticados no squid e funcionando as acls e bloqueios do Squid Guard. ;) ;) ;D ;D -
Ola Tenho uma outra duvida.
Sabe se tem alguma previsão para que a pagina de bloqueio do squid "sgerror" apareça também para paginas HTTPS? A principio ela so funciona para paginas http.
-
Eu sinceramente acho que não vai. O squidguard é muito antigo e tem limitações. Pra você ter uma ideia, a forma com que ele responde ao squid gera alerta no cache.log.
A alternativa que estou trabalhando forte para superar o squidguard em performance e funcionalidade é o e2guardian.
Se utiliza o wpad, da uma olhada no pacote.
-
Bom dia !
Como personalizo o proxy.pac para a realidade das minhas redes?
Alterei diretamente o arquivo mas após o reboot do pfsense ele volta ao padrão.
Obrigado.
-
Alterei diretamente o arquivo mas após o reboot do pfsense ele volta ao padrão.
Se está usando o pacote WPAD, você edita pela interface gráfica em services -> WPAD.
-
Estou usando este cenário em 6 locais e está rodando 100%! 8) :D
Funcionando 100%, obrigado por compartilhar com todos.
Abraços. -
Boa tarde a todos !
Aqui também funcionando 100% em 10 empresas.
Não entendi a mágica de não precisar instalar o certificado nas estações mas enfim, ajudou bastante.
-
Oi pessoal descobri o meu problema.
Seguinte eu configurei o squid para autenticação local certo e fazendo isto automaticamente as chamadas do skype nao funciona quando eu tirei a autenticação volto a funcionar as chamadas do skype.
Por que eu fiz isso por que eu quero que no relatorio do ligthsquid quero que saia os nomes dos usuarios autenticados no squid.
Entao o que eu fiz foi add os dominios que tinha na base de dados do squid Guard da Black list que baixei no caso da Shalla. e add em ACLs -> Whitelist estes domnios e entao funciono agora consigo fazer chamadas e video chamadas com usuarios autenticados no squid e funcionando as acls e bloqueios do Squid Guard. ;) ;) ;D ;DPorque nao configurou o proxy nas conf do Skype?
-
Bruno meus parabéns pelo tutorial, fiz em meu ambiente de teste e ficou show de bola.
No entanto, a página de erro não aparece ou não redireciona, ele bloqueia mais vai para a página de erro do navegador.
Como faço para ele ir para a página de erro correta?Alguém está tendo o mesmo problema?
-
ele bloqueia mais vai para a página de erro do navegador.
Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.
-
Obs3: Não funciona para dispositivos mobiles (Android / iOS / WindowsPhone), a não ser que você configure manualmente nos aparelhos,
o que torna inviável. Neste caso, a solução seria isolar a rede wifi com um Captive Portalcomo eu poderia fazer esse isolamento?
Existe algum tutorial para habilitar isso? -
Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.
Marcelo, eu segui todo o tutorial do bruno e marquei a opção te interceptação de ssl conforme mostrado no tutorial e mesmo assim dá o erro.
-
ssl_bump none all
Esta opção segundo a documentação do squid (http://www.squid-cache.org/Doc/config/ssl_bump/) tem o mesmo efeito do splice all, que analisa o certificado mas não intercepta o ssl.
-
Muito obrigado mesmo pelo guia!
No chrome e no IE/EDGE, funciona perfeitamente, contudo, pelo firefox, consigo passar pelo bloqueio, já tentei todas as opções na configuração de conexão do mozilla, mas ele só bloqueia se eu colocar o endereço do proxy lá.
Mas como o usuário pode mudar…
-
Pelo Firefox tambem funciona porem vc tem que ir em opçoes depois em Rede e ticar em Auto Detectar. para que os usuarios nao consigam acessar as opçoes de internet do windows tem um arquivo que mudas os acessos de adm do usurio assim ele nao consegue acessar e tirar a opções de detectar as conf do proxy automatico. Por que se o usuario tirar esta opção ele tem acesso a TUDO. Porem o firefox tem conf independente e nao é integrado com as opçoes de internet do windows ou seja o usuario tem facil acesso as conf do firefox. É mais facil nao utilizar o firefox. ate mais.
-
Ola, realizei todo o procedimento do tutorial e esta funcionado perfeitamente na empresa em que trabalho, parabéns ao autor e demais envolvidos. porem estou com uma duvida.
Aqui na empresa alguns funcionários necessitam utilizar um site que ao entrar na "área do cliente" a url passa a ser acessada por um ip, coisa que o squidguard bloqueia devido a opção "do not allow ip addresses in URL" estar marcada, quando desativo essa opção o site funciona normalmente, porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem. tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
-
Ola, realizei todo o procedimento do tutorial e esta funcionado perfeitamente na empresa em que trabalho, parabéns ao autor e demais envolvidos. porem estou com uma duvida.
Aqui na empresa alguns funcionários necessitam utilizar um site que ao entrar na "área do cliente" a url passa a ser acessada por um ip, coisa que o squidguard bloqueia devido a opção "do not allow ip addresses in URL" estar marcada, quando desativo essa opção o site funciona normalmente, porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem. tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
Você pode tentar criar uma Regra de saída (LAN) no firewall liberando um ou alguns IPs ou até mesmo toda sua 'Lan Net' para saída ao IP do site em questão.
Ou ainda, você pode tentar criar um Group ACL com a opção 'do not allow ip addresses in URL' desmarcada e com uma faixa de IPs determinada (sugiro que fora do DHCP) e vincular os mac adress desses computadores à estes IPs.
Espero que uma das opções funcione. Boa sorte!
-
porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem.
Com certeza farão…
tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
Já tentou criar uma entrada dns local para usar no lugar do acesso direto ao ip?
-
Ou ainda, você pode tentar criar um Group ACL com a opção 'do not allow ip addresses in URL' desmarcada e com uma faixa de IPs determinada (sugiro que fora do DHCP) e vincular os mac adress desses computadores à estes IPs.
Espero que uma das opções funcione. Boa sorte!
Criei esta ACL e fiz conforme descrito, como é só 1 maquina e uma pessoa de confiança da empresa q tem acesso a ela… de toda forma irei verificar no lightsquid ao final da tarde para ver se teve algum acesso indevido, caso sim, tentarei a opção descrita pelo Marcelloc.
desde já agradeço pela ajuda!!!
-
Bom dia! estou com problema no certificado o navegador fala que não e seguro ai vou em avançado e noa tem opção para continuar como faço para resolver esse problema ??
