Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SquidGuard + Proxy Transparente (SSL Interception)

    Scheduled Pinned Locked Moved Portuguese
    26 Posts 7 Posters 4.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      brunok
      last edited by

      @Rodrigo:

      Opção 01:
      Proxy Não-Transparente + Interceptação SSL + SquidGuard = Funciona 100%;

      Obs: Vai ter que setar o proxy nos navegadores dos usuários. O pessoal recomenda WPAD, eu fiz por GPO mesmo.

      Desse jeito, os bloqueios https caem na página sgerror.php do squidGuard?  ???

      Meio estranho isso, já que o browser "sabe" que as requisições vão passar pelo proxy, teoricamente, a interceptação SSL só traria "transtornos".  :P

      Via GPO, basicamente, só é possível ajustar para Chrome ou IE/EDGE;

      Firefox ou Opera, tem um outro esquema mais avançado para se fazer por GPO.

      Ou você contorna com WPAD via DHCP e DNS Forwarder, que aí, nenhum navegador escapa (exceto de aparelhos mobile - tablet/smartphone que não reconhecem por padrão o wpad).  :D

      1 Reply Last reply Reply Quote 0
      • R
        rodrigo.passini
        last edited by

        @brunok:

        Desse jeito, os bloqueios https caem na página sgerror.php do squidGuard?

        Infelizmente não. Ele bloqueia apenas o que está bloqueado no squidguard (http ou https), mas apenas as http caem no sgerror.php. As https caem em outra tela, mas pelo menos está bloqueado rs

        @brunok:

        Via GPO, basicamente, só é possível ajustar para Chrome ou IE/EDGE;

        Firefox ou Opera, tem um outro esquema mais avançado para se fazer por GPO.

        Ou você contorna com WPAD via DHCP e DNS Forwarder, que aí, nenhum navegador escapa (exceto de aparelhos mobile - tablet/smartphone que não reconhecem por padrão o wpad).

        Obrigado. Não tinha conhecimento disso, mas é bom saber. Aqui o Chrome é padrão para todos usuários e ninguém tem permissão para instalar outros navegadores, sendo assim eu nem havia chegado a testar no Firefox ou no Opera.

        1 Reply Last reply Reply Quote 0
        • B
          brunok
          last edited by

          Validei um ambiente de testes, fazendo com que funcione tudo de forma transparente, baseado no cenário comentado pelo Rodrigo.

          Vou restaurar de fábrica e configurar novamente este esquema.

          Se ficar 100%, vou publicar em um novo tópico, o manual para este cenário que apresenta muitas dúvidas pela galera (além de problemas).

          Ao navegar (se for bloqueado):

          HTTP, cai no sgerror.php porta 80, independente do protocolo e porta do seu WebGUI

          HTTPS, aparece mensagem do próprio navegador, avisando problema com o tunel ssl (pois foi bloqueado)

          Proxy ativo + Interceptação SSL + SquidGuard + WPAD via DHCP e DNS

          ** Sem a necessidade de instalar o certificado nos clientes!!!  8)

          1 Reply Last reply Reply Quote 0
          • danilosv.03D
            danilosv.03
            last edited by

            Caso você consiga fazer isso, nos avise por aqui também, para ficarmos sabendo de seu novo ambiente.
            Outra coisa que eu estou sofrendo aqui também é com a lentidão em meus download. Alguém poderia ajuda?


            :)
            |E-mail: danilosv.03@gmail.com
            |Skype: danilosv.03


            1 Reply Last reply Reply Quote 0
            • B
              brunok
              last edited by

              Está aí, o tão sonhado guia…

              https://forum.pfsense.org/index.php?topic=118346.msg655113#msg655113

              1 Reply Last reply Reply Quote 0
              • D
                Douglas Araujo
                last edited by

                Boa tarde,

                pelo que notei é apenas permissão na pagina de erro padrão do squid e faça o texte.

                a questão do ntb.br
                coloquei o s IP e dns caso queira escolher algumas da opções apenas isso.

                ou pode ser tbm que o certificado de autoridade de raiz confiável não está não está lá da uma olhada as vezes tem 2 certificados com mesmo nome lá.

                pq funcionou correto aqui até modifiquei a Page de erro do squid.
                versão 2.3.1

                Network Administrator Linux and Windows

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.