Liberar Skype no Squid 3 com Filtro SSL [RESOLVIDO]
-
Bom dia a todos.
Esta é meu primeiro post no fórum.
Já pesquisei sobre o meu problema mas ainda não obtive uma solução funcional.Tenho uma instalação do pfSense 2.2.2 e Squid 3 com filtro SSL ativado (HTTPS/SSL Interception).
Está tudo funcionando (Certificados, estações, squidguard e etc).
Preciso Liberar o Skype em algumas máquinas.Por porta/Firewall eu já descartei já que o Skype conecta mas não envia mensagens. (Ele usa uma rede P2P entre os usuários o que torna difícil mapear todos os IPs)
Permitindo o tráfego apenas pelo proxy o Skype não conecta se o filtro SSL estiver ativado. Se desativar funciona normalmente. Aparentemente o Skype não negocia certificados com o proxy…
O problema é que não posso desativar o filtro SSL no momento.
Alguém já passou por esse problema?
-
Parceiro, acho que precisamos de mais informações, ex.:
Está utilizando proxy transparente ?
Vc mencionou o squidguard, porém diz que a exceção vem do quid, existem ACLs de controle de conteúdo nos dois ?
Vc fala por por/Firewall, mas o quid está encapsulado ou não (pelo proxy) ?
Está autenticando ?
Sobre liberar em máquinas acredito que seu controle é por IP (respondendo parte da pergunta acima kkkk), sendo assim tanto controle (SSL etc) e controlar por IP não é o melhor caminho!
Se puder explicar melhor podemos tentar ajudar.
-
Olá nio!
Estou usando proxy não-transparente (os clientes pegam o proxy via WPAD). Já configurei o proxy internamente no Skype também.
O firewall não possui nenhuma regra de permissões para IPs externos.
Obs: eu fiz uma instalação de testes em uma máquina Virtual somente com o pfSense + Squid 3 (SEM Squidguard e nenhuma ACL de bloqueio no Squid - acesso liberado a qualquer site/IP via proxy).
Nessas condições a única saída dos pacotes do Skype é pelo proxy (já que o Firewall está fechado para conexões a ips externos). Acompanho os logs do firewall e o realtime do squid para verificar.
O Skype conecta somente se eu DESLIGAR o filtro SSL do Squid. Mas eu não quero abrir mão desta funcionalidade.
-
Já tentou um bypass no squid para o destino ?
-
anderberin, está usando WPAD e filtro SSL?
-
@nio:
Já tentou um bypass no squid para o destino ?
Bypass para os IPs do Skype? Teria que ser via regra de firewall, ja que meu proxy é não-transparente? O problema é que o Skype usa muitos IPs, além de conexões P2P entre os usuários. Já tentei várias listas de IPs do Skype disponíveis na net para colocar em um Alias no Firewall sem sucesso (o Skype conecta mas não envia ou recebe mensagens).
Ser fosse possível detectar o user agent do Skype e criar uma regra baseada nisso ou Layer 7 sei lá talvez resolveria. Vou pesquisar mais um pouco…
anderberin, está usando WPAD e filtro SSL?
Sim Tomas, estou. Tem algum problema nessa combinação?
Eu criei um script shell / php que lê o arquivo /cf/conf/config.xml e gera um wpad.dat com base no IP e porta do proxy e em um Alias específico para sites alérgicos ao proxy… Pena que isso não funciona para o skype... -
Eu acho que neste caso vai ser um problema para o Skype, ele não vai confiar no certificado.
E fazer um bypass no firewall é complexo pois ele usa outras redes além da MS, como por exemplo Akamai, etc…Só achei estranho, precisa fazer a interceptação do trafego HTTPs por algum motivo em particular?
Uso Skype com proxy ativo, com WPAD e conecta tranquilo, mas sem interceptar.
Que sites "alérgicos"? pois o pessoal que atendo acesso receita, bancos, etc tudo normal passando pelo proxy.
Pode me passar quais tem problema para eu testar? -
Sim Tomas, vc tem razão.
Estava filtrando https mas acho que estava restritivo demais.
Resolvi desativar o filtro SSL do Squid mesmo.
Criei uma Group ACL no SquidGuard permitindo ao host acesso a endereço IP na URL. Assim o Skype funciona.
Vou deixar com essa configuração mesmo que está Ok.
Quanto a sites com problemas no proxy também creio que era por causa do filtro SSL, que apesar de estar com os certificados Ok nos navegadores, apresentavam problemas quando o usuário utilizava Tolken ou cartão e-CNPJ… A maioria deles utiliza o plugin Java.
[OFF]
O sites que eu tinha no meu Alias de acesso direto pelo firewall (que era replicado para meu wpad) eram:www.caixa.gov.br
pje.trt15.jus.br (peticionamento eletrônico utilizado pelos advogados)
cav.receita.fazenda.gov.br
pubnet.imprensaoficial.com.br
siconfi.tesouro.gov.brmas eu desativei esse Alias agora que tirei o filtro SSL para ver como os sites irão se comportar…
Muito obrigado pelo retorno. Creio que posso colocar [RESOLVIDO] no tópico?
-
quando está em modo transparente da pra fazer bypass via proxy, no seu caso não.
Do jeito que está agora aí, funciona muito bem comigo.Muda o assunto e coloca na frente [RESOLVIDO]
-
blz.
Obrigado pelo retorno.
[]'s