Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SquidGuard + Filtro SSL + Porta https diferente do padrão?

    Scheduled Pinned Locked Moved Portuguese
    11 Posts 5 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Darlon Oliveira
      last edited by

      Oi brunok,
      Ao ativar a interceptação SSL, você deve instalar o certificado CSR (da AC que você criou no PfSense) nas máquinas clientes como raiz certificadora válida, para que não haja problema na navegação nos sites HTTPS.

      1 Reply Last reply Reply Quote 0
      • B
        brunok
        last edited by

        @Darlon:

        Oi brunok,
        Ao ativar a interceptação SSL, você deve instalar o certificado CSR (da AC que você criou no PfSense) nas máquinas clientes como raiz certificadora válida, para que não haja problema na navegação nos sites HTTPS.

        Este processo já foi realizado. A navegação ocorre normal sem o squidGuard.

        O problema está no SquidGuard, quando ativado, apresenta diversos erros.

        Se alterar o webconfigurator pra HTTP, funciona!  ???

        Alguém com SG + Proxy transparete interceptando SSL + webConfigurator HTTPS funcionando 100 % ?

        1 Reply Last reply Reply Quote 0
        • W
          wwatanabe
          last edited by

          Sobre a parte de funcionar as mensagens de erro do SquidGuard com porta HTTPs diferente, tem alguns tutoriais sobre abrir nova instancia do Lighthttpd para PFSense 2.x.

          Para o 2.3 eu consegui ontem abrir nova instancia do NGINX e aproveitei para modificar o arquivo sgerror.php e hospedar o customizado na nova instancia.

          https://forum.pfsense.org/index.php?topic=115653.0

          –-----------------------

          Agora no seu caso, é só a mensagem do squidguard que passa a apresentar problema ou o serviço em si para de funcionar ? Se para, quais as mensagens de erro, versão, etc ?

          1 Reply Last reply Reply Quote 0
          • B
            brunok
            last edited by

            Para de funcionar.

            Sites http apresentam erro do squid

            "Página não pode ser carregada Http:\*"

            Sites https, apresentam erro 400

            nginx 400 The plain HTTP request was sent to HTTPS port.

            Achei uma postagem num site, onde comenta este assunto e aborda uma solução. Mas é para o lighttpd e não é o mesmo esquema do nginx:

            –---------------------------------------------------------------------------------------------------------------------------------------

            The solution

            You could disable SSL, but that’s dumb. Instead, you can set lighttpd to ignore sgerror.php when it redirects http requests to https.
            Go to “Diagnostics > Edit File” and load /etc/inc/system.inc
            Find the lines that modify your lighttpd config to redirect http to https, which should say:

            \$SERVER["socket"] == ":80" {
            \$HTTP["host"] =~ "(.*)" {
            url.redirect = ( "^/(.*)" => "https://%1{$redirectport}/$1" )
            }
            }
            

            Update them to NOT redirect the file beginning sgerror.php:

            \$SERVER["socket"] == ":80" {
            \$HTTP["host"] =~ "(.*)" {
            url.redirect = ( "^/^(sgerror)(.*)" => "https://%1{$redirectport}/$1" )
            }
            }
            

            Save.

            Restart your webConfigurator (shell option 11).

            Finally, set your Squidguard error page to point at http, not https by using an “external” error page.

            Under your ACL in squidguard, choose Redirect mode of “ext error page (enter url)”
            For redirect info, enter the path to your your pfSense error page, with http instead of https:

            http://192.168.1.1/sgerror.php?url=403%20Page%20Denied&a=%a&t=%t&u=%u
            

            (replace 192.168.1.1 with the internal IP of your pfsense machine)

            Save your settings, apply them (page 1 of Squidguard config), and then go back and save your Squid settings one more time for good measure.
            Profit!

            Read more: http://www.gopulls.com/blog/2014.08.13/squidguard-logging-with-pfsense-running-https

            –---------------------------------------------------------------------------------------------------------------------------------------

            1 Reply Last reply Reply Quote 0
            • W
              wwatanabe
              last edited by

              Ok Bruno,

              Pode passar mais dados da sua implementação ?

              Foi migrado ? Qual versão do PFSense ? Quando para de funcionar o proxy, consegue pingar para um IP externo (ex. 8.8.8.8)? Consegue pingar para um endereço valido para testar o DNS (ex. www.uol.com.br) ? Você tentou com mais de um navegador ? O erro é o mesmo ? Como não mandou muitas informações são perguntas que podem parecer menos pertinentes mas ajudarão a contextualizar.

              Se for o PFSense 2.3 tente seguir o passo a passo que está no link que postei para criar uma segunda instancia do NGINX em HTTP porta 81.

              Abs.

              1 Reply Last reply Reply Quote 0
              • B
                brunok
                last edited by

                É a versão mais recente: 2.3.1_5 64 bits

                Consigo pingar normalmente, só a navegação que apresenta problemas. Estive lendo seu tópico. de repente contorne o problema, mas de fato, há algum bug no squidGuard.

                Estou realizando mais testes aqui para depurar.

                1 Reply Last reply Reply Quote 0
                • W
                  wwatanabe
                  last edited by

                  Não diria que é um Bug, mas algo que pode ser melhorado.

                  Se acessar:

                  /usr/local/etc/squidGuard/squidGuard.conf

                  Verá que o squidGuard faz a chamada por padrão (quando página interna) para a porta 80 em http.

                  dest Bloqueados {
                          domainlist Bloqueados/domains
                          expressionlist Bloqueados/expressions
                          redirect http://192.168.10.252:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
                          log block.log

                  Fiz o tópico para tentar ajudar, porque fiquei o FDS estudando como resolver o meu problema. Já tinha visto o mesmo relato de erro e tem vários tutoriais mostrando como "corrigir" (workaround) o mesmo problema nas versões anteriores. Na anterior, não utilizei mas vi que tinha um package vHosts que ajudava com a abertura de instancia adicional, mas continuava sendo workaround.

                  Talvez em próximas versões o squidguard habilite uma forma do squidGuard se ajustar quando a porta padrão de acesso a WebGui for alterada.

                  Abs.

                  Wellington Watanabe

                  1 Reply Last reply Reply Quote 0
                  • C
                    cr1stt0f3r
                    last edited by

                    Eu tive o mesmo problema,
                    Faço uso de squid+squidguard+squid transparente+captura de SSL;

                    As regras funcionam de acordo, mas quando deveria aparecer a pagina de "proibido acesso" padrao do squidguard, ele abre essa mensagem de erro: "The plain HTTP request was sent to HTTPS port."

                    Como resolvi? Acredite se quiser: Desabilitei o https do GUI do pfsense.
                    System\Advanced\Admin Access.

                    1 Reply Last reply Reply Quote 0
                    • danilosv.03D
                      danilosv.03
                      last edited by

                      @cr1stt0f3r:

                      Eu tive o mesmo problema,
                      Faço uso de squid+squidguard+squid transparente+captura de SSL;

                      As regras funcionam de acordo, mas quando deveria aparecer a pagina de "proibido acesso" padrao do squidguard, ele abre essa mensagem de erro: "The plain HTTP request was sent to HTTPS port."

                      Como resolvi? Acredite se quiser: Desabilitei o https do GUI do pfsense.
                      System\Advanced\Admin Access.

                      Já tentou deixar desmarcado a opção LDA no squidguard?


                      :)
                      |E-mail: danilosv.03@gmail.com
                      |Skype: danilosv.03


                      1 Reply Last reply Reply Quote 0
                      • C
                        cr1stt0f3r
                        last edited by

                        Meu LDAP nao está ativo no squidguard…

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.