[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%
-
Obs3: Não funciona para dispositivos mobiles (Android / iOS / WindowsPhone), a não ser que você configure manualmente nos aparelhos,
o que torna inviável. Neste caso, a solução seria isolar a rede wifi com um Captive Portalcomo eu poderia fazer esse isolamento?
Existe algum tutorial para habilitar isso? -
Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.
Marcelo, eu segui todo o tutorial do bruno e marquei a opção te interceptação de ssl conforme mostrado no tutorial e mesmo assim dá o erro.
-
ssl_bump none all
Esta opção segundo a documentação do squid (http://www.squid-cache.org/Doc/config/ssl_bump/) tem o mesmo efeito do splice all, que analisa o certificado mas não intercepta o ssl.
-
Muito obrigado mesmo pelo guia!
No chrome e no IE/EDGE, funciona perfeitamente, contudo, pelo firefox, consigo passar pelo bloqueio, já tentei todas as opções na configuração de conexão do mozilla, mas ele só bloqueia se eu colocar o endereço do proxy lá.
Mas como o usuário pode mudar…
-
Pelo Firefox tambem funciona porem vc tem que ir em opçoes depois em Rede e ticar em Auto Detectar. para que os usuarios nao consigam acessar as opçoes de internet do windows tem um arquivo que mudas os acessos de adm do usurio assim ele nao consegue acessar e tirar a opções de detectar as conf do proxy automatico. Por que se o usuario tirar esta opção ele tem acesso a TUDO. Porem o firefox tem conf independente e nao é integrado com as opçoes de internet do windows ou seja o usuario tem facil acesso as conf do firefox. É mais facil nao utilizar o firefox. ate mais.
-
Ola, realizei todo o procedimento do tutorial e esta funcionado perfeitamente na empresa em que trabalho, parabéns ao autor e demais envolvidos. porem estou com uma duvida.
Aqui na empresa alguns funcionários necessitam utilizar um site que ao entrar na "área do cliente" a url passa a ser acessada por um ip, coisa que o squidguard bloqueia devido a opção "do not allow ip addresses in URL" estar marcada, quando desativo essa opção o site funciona normalmente, porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem. tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
-
Ola, realizei todo o procedimento do tutorial e esta funcionado perfeitamente na empresa em que trabalho, parabéns ao autor e demais envolvidos. porem estou com uma duvida.
Aqui na empresa alguns funcionários necessitam utilizar um site que ao entrar na "área do cliente" a url passa a ser acessada por um ip, coisa que o squidguard bloqueia devido a opção "do not allow ip addresses in URL" estar marcada, quando desativo essa opção o site funciona normalmente, porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem. tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
Você pode tentar criar uma Regra de saída (LAN) no firewall liberando um ou alguns IPs ou até mesmo toda sua 'Lan Net' para saída ao IP do site em questão.
Ou ainda, você pode tentar criar um Group ACL com a opção 'do not allow ip addresses in URL' desmarcada e com uma faixa de IPs determinada (sugiro que fora do DHCP) e vincular os mac adress desses computadores à estes IPs.
Espero que uma das opções funcione. Boa sorte!
-
porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem.
Com certeza farão…
tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
Já tentou criar uma entrada dns local para usar no lugar do acesso direto ao ip?
-
Ou ainda, você pode tentar criar um Group ACL com a opção 'do not allow ip addresses in URL' desmarcada e com uma faixa de IPs determinada (sugiro que fora do DHCP) e vincular os mac adress desses computadores à estes IPs.
Espero que uma das opções funcione. Boa sorte!
Criei esta ACL e fiz conforme descrito, como é só 1 maquina e uma pessoa de confiança da empresa q tem acesso a ela… de toda forma irei verificar no lightsquid ao final da tarde para ver se teve algum acesso indevido, caso sim, tentarei a opção descrita pelo Marcelloc.
desde já agradeço pela ajuda!!!
-
Bom dia! estou com problema no certificado o navegador fala que não e seguro ai vou em avançado e noa tem opção para continuar como faço para resolver esse problema ??
-
Boa tarde, Pessoal.
Fiz as configurações e funcionou perfeitamente.
Fico agradecido pela ajuda do colega.Agora estou com dois problemas:
1º Não consigo acessar o relatório do lightsquid (Dou um refresh, mas a página não abre e o endereço dos logs está correto. Está marcado loopback no squid como pede tb.
2º Tenho duas interfaces de rede com classe de IPs diferentes, gostaria que funcionasse nas duas, mas não deu certo aqui. Instalei o pacote wpad do marcelo, criei uma outra instancia para a outra placa de rede. Configurei o serviço de dhcp dessa placa buscando os arquivos, mas não deu certo. Quando tento da outra rede acessar o arquivo proxy.pac da outra rede que já funcona não encontra.
Alguém pode me ajudar?
Fico agradecido desde entao.
-
Bom dia! estou com problema no certificado o navegador fala que não e seguro ai vou em avançado e noa tem opção para continuar como faço para resolver esse problema ??
Amigo, já tentou em outro navegador?
-
Boa tarde, Pessoal.
Fiz as configurações e funcionou perfeitamente.
Fico agradecido pela ajuda do colega.Agora estou com dois problemas:
1º Não consigo acessar o relatório do lightsquid (Dou um refresh, mas a página não abre e o endereço dos logs está correto. Está marcado loopback no squid como pede tb.
2º Tenho duas interfaces de rede com classe de IPs diferentes, gostaria que funcionasse nas duas, mas não deu certo aqui. Instalei o pacote wpad do marcelo, criei uma outra instancia para a outra placa de rede. Configurei o serviço de dhcp dessa placa buscando os arquivos, mas não deu certo. Quando tento da outra rede acessar o arquivo proxy.pac da outra rede que já funcona não encontra.
Alguém pode me ajudar?
Fico agradecido desde entao.
Resolvi o 1º problema criando uma regra no firewall da segunda placa para se comunicar com o ip do pfsense (outra placa).
Resolvi o lightsquid depois de muito tentar… Desinstalei o pacote, instalei novamente, instalei alguns outros pacotes... Já estava quase desistindo, quando resolvi mais uma vez desinstalar e instalar novamente, ai funcionou... Não sei o que aconteceu. -
Bruno,
blz cara!
consegue colocar pra funcionar aqui, valeu meu amigo pela contribuiçao e pela ajuda.
Boa noite..
Muito legal bem detalhado ..
porem existem algumas duvidas até pq ja utilizei por muito tempo wpad
quais foram os problemas encontrados no decorrer..1 parou de funcionar no firefox devido a alguma atualização.
quando eu consegui faze funciona no firefox dava erro no internet….
o seu funciona no firefox e no internet explorer e chrome (apesar no chrome ser espelho do internet)
2 . Infelismente Macs e Celulares como android IOS tinha que fazer algumas configurações mais avançadas para que funcionasse...
Mais estou meio correria pretendo testa suas configs..
Fico no aguardo do seu retorno.Alguns navegadores tentam capturar proxy.pac e outros wpad.dat. Por isso, criamos links do proxy.pac para não ocorrer nenhum problema.
Realmente para aparelhos mobile, os navegadores vem configurados sem a instrução de buscar por wpad/proxy.pac.
Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal. Ou ainda, uma segunda instância do squid em modo transparente.
agora mais uma duvida kkkkk
como seria esta soluçao para resolver o problema dos celulares?
Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal.
Teria como me dar uma explicaçao?
Vlw
-
Senhores,
Configurei do zero uma máquina com pfSense e segui este tutorial (como em outras vezes) passo-a-passo e no ambiente de testes aqui tudo ok pelos testes que eu havia feito. Porém implantei no cliente e o bloqueio não funcionou corretamente.Já refiz todos os passos, conferi as opções no DHCP para a entrega do arquivo wpad;
Testei e o arquivo está acessível aos PCs da Lan (fiz download pelo navegador);
Conferi o conteúdo do arquivo wpad (já tentei até reescrevê-lo), sem sucesso;O cenário é:
SE nas opções de internet não há nenhuma opção setada, o PC navega sem bloqueios
SE nas opções de internet eu habilito 'detectar automaticamente..', o PC navega sem bloqueios
SE nas opções de internet eu coloco manualmente o caminho do arquivo wpad, bloqueios OK
SE nas opções de internet eu coloco o endereço do proxy manualmente, bloqueios OKJá revisei a configuração do squid e o Enable SSL filtering está marcado, com as configurações exatamente iguais a do tutorial. Não faço idéia de onde esteja meu erro… Alguém pode me dar uma luz? To ficando maluco já... :o
-
Porém implantei no cliente e o bloqueio não funcionou corretamente.
As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp
-
Porém implantei no cliente e o bloqueio não funcionou corretamente.
As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp
cheguei a dar comando 'ipconfig /release' e 'ipconfig /renew' mas não tinha dado efeito…
Hoje pela manhã fiz um novo servidor, dessa vez com a versão 2.3.3 (e não a 2.3.4 como de costume) e segui este tutorial aqui e o resultado, inicialmente foi o mesmo = sem a configuração automatica nas 'opções de internet' o PC navegava sem bloqueios.
Porém nesta versão inclui agora regras de LAN para bloquear os PCs da LAN NET para trafegar dados diretamente pela 80 (HTTP) e 443 (HTTPS)... Em princípio pelos testes que fiz agora sim funcionou e os PCS nao navegam se a configuração automática de rede não estiver marcada.Portanto nos testes que fiz até agora somente o tutorial não deixa 100% funcionando, tive que incluir bloqueios da Lan Net para a 80/443.
Caso alguem puder testar também e o autor do tópico incluir essa instrução, se for o caso, agradeço. -
Cairo Augusto,
eu passei pelo mesmo problema e consegui achar uma solução, porém não sei responder a relação das minhas ações com o problema resolvido!!! mas vamos lá.
Nas Opções de Internet \ Conexões \ Configurações da Lan \ deixe marcado a opção "Detectar Automaticamente as Configurações"
No Mozilla (caso vc utilize) Vá até Menu de configurações \ Opções \ Avançado \ Na Aba "Rede" \ Clique em "Configurar Conexões" e Marque a opção "Autodetectar as Configurações de Proxy para esta Rede"No PfSense vá até o SquidGuard e Desabilite-o (se vc usar o SquidGuard). Depois vá até o Squid Proxy Server e desabilite-o também. Agora habilite o Squid Proxy Server e habilite o SquidGuard clicando em Save e depois clique em "Apply".
Feche o Navegado e abra novamente, faça os teste que todos os bloqueios vão funcionar. Como você já bloqueou as portas 443 e 80, assim ficou implícito que os usuários não conseguiram navegar fora do proxy mesmo.Espero que tenha ajudado.
-
Eu tb segui o tutorial certinho e tudo funciona perfeitamente exceto a página sgerror.php quando o site bloqueado é https. Neste caso a página é exibida como na imagem anexada. Alguém sabe como deixar fazer com o PfSense possa redirecionar sites https para o sgerror.php ?
Já olhei em diversos lugares e achei que esse tutorial além de realizar o proxy autodetectavel, corrigiria este problema também.Uso o PfSense 2.3.4-RELEASE-p1, Squid Proxy Server e bloqueios com o SquidGuard. Conforme recomenda no tutorial.
Agradeço se alguém puder ajudar.
-
Alguém sabe como deixar fazer com o PfSense possa redirecionar sites https para o sgerror.php ?
Já olhei em diversos lugares e achei que esse tutorial além de realizar o proxy autodetectavel, corrigiria este problema também.Em paginas https não irá funcionar o redirecionador. Veja o porque no link abaixo.
https://wiki.squid-cache.org/Features/CustomErrors?highlight=%2528faqlisted.yes%2529#Custom_error_pages_not_displayed_for_HTTPS
