PfSense 2.3.1 + squid. SquidGuard ERRO.



  • Salve pessoal.

    Configurei o pfSense como proxy não transparente e entregando configuração por WPAD. Criei uma CA e instalei na máquina cliente e funcionou perfeitamente. Bloqueei as porta 80 e 443 no firewall para uso obrigatório do proxy, até ai tudo bem.

    Instalei o SquidGuard, sem problemas. Quando eu ativo o Squidguard não funciona mais a navegação no cliente. Tenho que alterar as configurações do WPAD?? Já procurei em vários materiais e não encontrei o erro. Segue abaixo imagem do erro no cliente.

    http://ap.imagensbrasil.org/image/g6dhj3

    alguém já passou por algo parecido.



  • Amigo, isso ai não é um erro…veja que você está tentando acessar um site https (protocolo de segurança SSL com conexão saindo pela porta 443) e não tem um certificado instalado. Neste caso você terá que clicar no botão AVANÇADO para o navegador incluir a url na lista de sites confiáveis.

    Leia em https://pt.wikipedia.org/wiki/Hyper_Text_Transfer_Protocol_Secure
    https://pt.wikipedia.org/wiki/Transport_Layer_Security



  • Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.



  • @patrickjcardoso:

    Salve pessoal.

    Configurei o pfSense como proxy não transparente e entregando configuração por WPAD. Criei uma CA e instalei na máquina cliente e funcionou perfeitamente. Bloqueei as porta 80 e 443 no firewall para uso obrigatório do proxy, até ai tudo bem.

    Instalei o SquidGuard, sem problemas. Quando eu ativo o Squidguard não funciona mais a navegação no cliente. Tenho que alterar as configurações do WPAD?? Já procurei em vários materiais e não encontrei o erro. Segue abaixo imagem do erro no cliente.

    http://ap.imagensbrasil.org/image/g6dhj3

    alguém já passou por algo parecido.

    Patrik vc baixou o backlist ?



  • @vazjunior:

    Amigo, isso ai não é um erro…veja que você está tentando acessar um site https (protocolo de segurança SSL com conexão saindo pela porta 443) e não tem um certificado instalado. Neste caso você terá que clicar no botão AVANÇADO para o navegador incluir a url na lista de sites confiáveis.

    Leia em https://pt.wikipedia.org/wiki/Hyper_Text_Transfer_Protocol_Secure
    https://pt.wikipedia.org/wiki/Transport_Layer_Security

    Ok, todo site que eu digito ele  está completando o url e apresentado erro, por mais  que eu clique em avançado não vai.



  • @Tomas:

    Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.

    Vou desabilitar a opção e testar.



  • @McLaw:

    @patrickjcardoso:

    Salve pessoal.

    Configurei o pfSense como proxy não transparente e entregando configuração por WPAD. Criei uma CA e instalei na máquina cliente e funcionou perfeitamente. Bloqueei as porta 80 e 443 no firewall para uso obrigatório do proxy, até ai tudo bem.

    Instalei o SquidGuard, sem problemas. Quando eu ativo o Squidguard não funciona mais a navegação no cliente. Tenho que alterar as configurações do WPAD?? Já procurei em vários materiais e não encontrei o erro. Segue abaixo imagem do erro no cliente.

    http://ap.imagensbrasil.org/image/g6dhj3

    alguém já passou por algo parecido.

    Patrik vc baixou o backlist ?

    Baixei, instalei e funciona tudo certinho se eu marcar o proxy como transparente. quando uso proxy setado não roda.



  • @Tomas:

    Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.

    Se desabilitar o proxy https nem um site que roda em https vai ser acessado.



  • posta print dos erros.



  • @aroldobossoni:

    @Tomas:

    Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.

    Se desabilitar o proxy https nem um site que roda em https vai ser acessado.

    Não entendi, poderia por favor explicar.

    Pois estamos falando de interceptção SSL, e não de bloqueio de porta 443.



  • @Tomas:

    @aroldobossoni:

    @Tomas:

    Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.

    Se desabilitar o proxy https nem um site que roda em https vai ser acessado.

    Não entendi, poderia por favor explicar.

    Pois estamos falando de interceptação SSL, e não de bloqueio de porta 443.

    Acho que também não entendi direito.
    Achei que você estava aconselhando a desativação do proxy https.
    Você estava desaconselhando a desativação do proxy transparente?



  • @Tomas:

    @aroldobossoni:

    @Tomas:

    Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.

    Se desabilitar o proxy https nem um site que roda em https vai ser acessado.

    Não entendi, poderia por favor explicar.

    Pois estamos falando de interceptção SSL, e não de bloqueio de porta 443.

    E eu não entendi você hehehe

    Aqui não tenho proxy transparente, faço ele setado manualmente (na verdade, por GPO) e se eu não habilito a interceptação SSL, os usuários conseguem acessar sites que deveriam ser bloqueados e que usam HTTPS (ex: facebook).

    Minha config esta errada então?



  • @chipbr:

    @Tomas:

    @aroldobossoni:

    @Tomas:

    Se está usando proxy ativo (não transparente) não faz sentido habilitar interceptação SSL.

    Se desabilitar o proxy https nem um site que roda em https vai ser acessado.

    Não entendi, poderia por favor explicar.

    Pois estamos falando de interceptção SSL, e não de bloqueio de porta 443.

    E eu não entendi você hehehe

    Aqui não tenho proxy transparente, faço ele setado manualmente (na verdade, por GPO) e se eu não habilito a interceptação SSL, os usuários conseguem acessar sites que deveriam ser bloqueados e que usam HTTPS (ex: facebook).

    Minha config esta errada então?

    Proxy ativo não precisa de interceptação.
    \basta fazer os bloqueios, só não pode deixar portas abertas.
    Tem que só liberar portas necessárias.



  • Estranho, acabei de fazer o teste aqui na filial onde está funcionando…

    Tentei acessar o facebook (http ou https, tanto faz, mas ele redireciona automatico para https) e ele bloqueou o acesso como deveria.
    Fui no menu do SQUID, desmarquei a opção de interceptação SSL (man in the middle), salvei, fui no micro testar e BUM, acessou o facebook.

    Será que minha config esta diferente?
    Instalei como sempre instalo a anos...

    Pfsense 2.3.1 + squid + squidguard + autenticacao no AD com pf2AD (NTLM transparente)

    opção de proxy transparente desmarcada no squid, proxy setado manualmente nos navegadores



  • Cara, fiz uma pergunta parecida em outro post. https://forum.pfsense.org/index.php?topic=114436.0

    Com o PROXY ATIVO ele assume a navegação do cliente 80/443 e é nele que ve ser feitos os bloqueios ou seja no SQUIDGUARD.
    Com proxy ativo nao precisa de certificados.
    Lembre de deixar as portas bloqueadas no firewall.



  • Pessoal,

    agora está funcionando corretamente, mas estou com duas dúvidas.

    Nos sites https quero que aparece a mensagem de erro e não está aparecendo.

    Estou tentando liberar alguns domínios específicos, que estão sendo bloqueados pelo squidguard. Fiz o procedimento abaixo:

    Squidguard / Target categories

    Adicionei categoria com o nome Liberados e coloquei os domínios que quero que passem.

    Em Common ACL / Target marquei como Allow

    Testei e não está passando.

    Sugestões????

    Obrigado



  • coloca essa categoria que voce criou como a primeira da lista e coloca como WHITELIST

    faço assim aqui e funciona



  • bom dia galera, como faço para que o proxy carregue automático para as maquinas? é algum apk?



  • @dnascimento86:

    bom dia galera, como faço para que o proxy carregue automático para as maquinas? é algum apk?

    Se eu entendi a pergunta pode ser feito via GPO ou WPAD;