Duvida: Squid+SquidGuard com Access Point
-
Pessoal, tudo bem?
Estou com uma dúvida e ainda não consegui pensar em algo que possa solucionar o meu problema. Aqui no trampo temos um Access Point configurado permitindo acesso de visitantes. Configurei o Squid+SquidGuard e ele tem filtrado, para todos os clientes do AP, o tráfego da porta 80.
A dúvida é: Como faço para filtrar a porta 443??
Se eu fizer um nat/Port Forward mas o tráfego 443 para de funcionar (natural isso até).
-
Habilita a interceptação de ssl no squid ou instala o e2guardian.
-
marcelloc, eu tenho duas LANs distintas. A LAN-01 o acesso é restrito ao funcionários e aos computadores da empresa. Já a LAN-02 é destinada ao laboratório e wireless.
As regras no Squid são distintas para cada uma dessas LANs, pois a LAN-02 precisa ter mais conteúdo bloqueado, mas a LAN-01 precisa de acesso a diversos sistemas do governo, ficando com um tráfego mais livre.
Eu sei que posso escolher qual interface ativar a interceptação SSL, que no caso ficaria para a LAN-02, mas a minha dúvida é: Como tornar transparente para o usuário, principalmente aquele que usar o celular, a questão do certificado (CA - Certificate Authority)?
Que configuração você me sugeria?
-
Que configuração você me sugeria?
No squid a opção é splice all para verificar as acls baseado no conteúdo dos certificados.
No e2guardian, você habilita a verificação de ssl na aba daemon mas no grupo não habilita o mitm.
-
marcelloc, meu proxy é transparente, ativando a interceptação ssl na LAN-02 ficará "transparente" ao usuário? Vou ser sincero, no período noturno existe registro de acesso a sites pornográficos tipo xvideos, que são https. Atualmente não filtra isso, mas ativando o ssl ficará transparente o filtro https (443) para os usuários?
Fiz vários testes aqui e aparentemente está funcionando corretamente conforme você falou do ssl no squid. Está interceptando corretamente, inclusive nos celulares. Mas como estou sempre aprendendo sobre o pfSense, fiquei na dúvida conforme falei anteriormente.
-
Bom, após alguns dias de testes e análise percebi que a interceptação começou a travar a conexão dos dispositivos que não estavam com proxy configurado no sistema/navegador. Isso aconteceu após reboot do pfsense.
Alguma ideia do que pode ser isso?Obs.: Estou utilizando Access Point e Roteador Wifi para distribuir o sinal, todos estes equipamentos estão configurados com o dhcp deles mesmos, sem pegar nada do pfsense.
-
Agende um reload das configurações uma vez por dia por exemplo. Se olhar os tópicos do projeto, os próprios desenvolvedores do E2guardian recomendam um "refresh" no processo a cada x tempos.
-
Você diz criar um refresh/reload das configurações do squid, mas isso é feito usando o cron ou tem alguma configuração no próprio squid? Pergunto pois nunca fiz isso.
-
Você diz criar um refresh/reload das configurações do squid, mas isso é feito usando o cron ou tem alguma configuração no próprio squid? Pergunto pois nunca fiz isso.
via cron mesmo.