SquidGuard + Filtro SSL + Porta https diferente do padrão?



  • Boa tarde,

    Estou levantando uma questão que não encontrei informações sobre o caso.

    Tenho algumas ideias, mas queria opinião de vocês também.

    CENÁRIO:

    Squid Transparente + Interceptação SSL + SquidGuard

    Problema de navegação quando ativado o SquidGuard. Não navega em nada e apresenta diversos erros nas páginas.

    Minha webGUI é HTTPS, porém usa uma porta custom (diferente da 443). Seria esse o problema? O SG não consegue redirecionar?

    Se sim, poderia ser uma melhoria para o SG, quando ativado, verificar se o webGUI está como http ou https e também validar a porta configurada em System > Advanced.

    Opiniões?



  • Oi brunok,
    Ao ativar a interceptação SSL, você deve instalar o certificado CSR (da AC que você criou no PfSense) nas máquinas clientes como raiz certificadora válida, para que não haja problema na navegação nos sites HTTPS.



  • @Darlon:

    Oi brunok,
    Ao ativar a interceptação SSL, você deve instalar o certificado CSR (da AC que você criou no PfSense) nas máquinas clientes como raiz certificadora válida, para que não haja problema na navegação nos sites HTTPS.

    Este processo já foi realizado. A navegação ocorre normal sem o squidGuard.

    O problema está no SquidGuard, quando ativado, apresenta diversos erros.

    Se alterar o webconfigurator pra HTTP, funciona!  ???

    Alguém com SG + Proxy transparete interceptando SSL + webConfigurator HTTPS funcionando 100 % ?



  • Sobre a parte de funcionar as mensagens de erro do SquidGuard com porta HTTPs diferente, tem alguns tutoriais sobre abrir nova instancia do Lighthttpd para PFSense 2.x.

    Para o 2.3 eu consegui ontem abrir nova instancia do NGINX e aproveitei para modificar o arquivo sgerror.php e hospedar o customizado na nova instancia.

    https://forum.pfsense.org/index.php?topic=115653.0

    –-----------------------

    Agora no seu caso, é só a mensagem do squidguard que passa a apresentar problema ou o serviço em si para de funcionar ? Se para, quais as mensagens de erro, versão, etc ?



  • Para de funcionar.

    Sites http apresentam erro do squid

    "Página não pode ser carregada Http:\*"

    Sites https, apresentam erro 400

    nginx 400 The plain HTTP request was sent to HTTPS port.

    Achei uma postagem num site, onde comenta este assunto e aborda uma solução. Mas é para o lighttpd e não é o mesmo esquema do nginx:

    –---------------------------------------------------------------------------------------------------------------------------------------

    The solution

    You could disable SSL, but that’s dumb. Instead, you can set lighttpd to ignore sgerror.php when it redirects http requests to https.
    Go to “Diagnostics > Edit File” and load /etc/inc/system.inc
    Find the lines that modify your lighttpd config to redirect http to https, which should say:

    \$SERVER["socket"] == ":80" {
    \$HTTP["host"] =~ "(.*)" {
    url.redirect = ( "^/(.*)" => "https://%1{$redirectport}/$1" )
    }
    }
    

    Update them to NOT redirect the file beginning sgerror.php:

    \$SERVER["socket"] == ":80" {
    \$HTTP["host"] =~ "(.*)" {
    url.redirect = ( "^/^(sgerror)(.*)" => "https://%1{$redirectport}/$1" )
    }
    }
    

    Save.

    Restart your webConfigurator (shell option 11).

    Finally, set your Squidguard error page to point at http, not https by using an “external” error page.

    Under your ACL in squidguard, choose Redirect mode of “ext error page (enter url)”
    For redirect info, enter the path to your your pfSense error page, with http instead of https:

    http://192.168.1.1/sgerror.php?url=403%20Page%20Denied&a=%a&t=%t&u=%u
    

    (replace 192.168.1.1 with the internal IP of your pfsense machine)

    Save your settings, apply them (page 1 of Squidguard config), and then go back and save your Squid settings one more time for good measure.
    Profit!

    Read more: http://www.gopulls.com/blog/2014.08.13/squidguard-logging-with-pfsense-running-https

    –---------------------------------------------------------------------------------------------------------------------------------------



  • Ok Bruno,

    Pode passar mais dados da sua implementação ?

    Foi migrado ? Qual versão do PFSense ? Quando para de funcionar o proxy, consegue pingar para um IP externo (ex. 8.8.8.8)? Consegue pingar para um endereço valido para testar o DNS (ex. www.uol.com.br) ? Você tentou com mais de um navegador ? O erro é o mesmo ? Como não mandou muitas informações são perguntas que podem parecer menos pertinentes mas ajudarão a contextualizar.

    Se for o PFSense 2.3 tente seguir o passo a passo que está no link que postei para criar uma segunda instancia do NGINX em HTTP porta 81.

    Abs.



  • É a versão mais recente: 2.3.1_5 64 bits

    Consigo pingar normalmente, só a navegação que apresenta problemas. Estive lendo seu tópico. de repente contorne o problema, mas de fato, há algum bug no squidGuard.

    Estou realizando mais testes aqui para depurar.



  • Não diria que é um Bug, mas algo que pode ser melhorado.

    Se acessar:

    /usr/local/etc/squidGuard/squidGuard.conf

    Verá que o squidGuard faz a chamada por padrão (quando página interna) para a porta 80 em http.

    dest Bloqueados {
            domainlist Bloqueados/domains
            expressionlist Bloqueados/expressions
            redirect http://192.168.10.252:80/sgerror.php?url=403 &a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
            log block.log

    Fiz o tópico para tentar ajudar, porque fiquei o FDS estudando como resolver o meu problema. Já tinha visto o mesmo relato de erro e tem vários tutoriais mostrando como "corrigir" (workaround) o mesmo problema nas versões anteriores. Na anterior, não utilizei mas vi que tinha um package vHosts que ajudava com a abertura de instancia adicional, mas continuava sendo workaround.

    Talvez em próximas versões o squidguard habilite uma forma do squidGuard se ajustar quando a porta padrão de acesso a WebGui for alterada.

    Abs.

    Wellington Watanabe



  • Eu tive o mesmo problema,
    Faço uso de squid+squidguard+squid transparente+captura de SSL;

    As regras funcionam de acordo, mas quando deveria aparecer a pagina de "proibido acesso" padrao do squidguard, ele abre essa mensagem de erro: "The plain HTTP request was sent to HTTPS port."

    Como resolvi? Acredite se quiser: Desabilitei o https do GUI do pfsense.
    System\Advanced\Admin Access.



  • @cr1stt0f3r:

    Eu tive o mesmo problema,
    Faço uso de squid+squidguard+squid transparente+captura de SSL;

    As regras funcionam de acordo, mas quando deveria aparecer a pagina de "proibido acesso" padrao do squidguard, ele abre essa mensagem de erro: "The plain HTTP request was sent to HTTPS port."

    Como resolvi? Acredite se quiser: Desabilitei o https do GUI do pfsense.
    System\Advanced\Admin Access.

    Já tentou deixar desmarcado a opção LDA no squidguard?



  • Meu LDAP nao está ativo no squidguard…