[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%

marcelloc

O nginx.conf é da interface web do pfSense.
Provavelmente você não passou ela pra https.

guitarcleiton

@marcelloc:

O nginx.conf é da interface web do pfSense.
Provavelmente você não passou ela pra https.

Sim, correto, não sei se alterando na interface web ele deveria alterar ali, mas ajustando manualmente para uma porta alternativa funcionou.

Trabalhar sem https é correr riscos desnecessários.

Minha base é antiga já passou por diversos upgrades, também não sei se isso pode influenciar em algo.

Agora estou tentando entender o código para saber o motivo da 2º instancia não interpretar o PHP.

brunok

@guitarcleiton:

@marcelloc:

O nginx.conf é da interface web do pfSense.
Provavelmente você não passou ela pra https.

Sim, correto, não sei se alterando na interface web ele deveria alterar ali, mas ajustando manualmente para uma porta alternativa funcionou.

Trabalhar sem https é correr riscos desnecessários.

Minha base é antiga já passou por diversos upgrades, também não sei se isso pode influenciar em algo.

Agora estou tentando entender o código para saber o motivo da 2º instancia não interpretar o PHP.

Poste aqui o conteúdo do seu nginx_wpad.conf. Deve ter alguma quebra de linha.

Rene_Probst

Boa tarde pessoal;

Tava quase terminando de testar meu pfsense com essa conf muito boa. Porem o ultimo teste que eu fiz foi testar ligações do Skype tanto vídeo chamada como so chamada padrão. Porem ele nao conecta. Coloquei nas expressoes regulares a palavra Skype no target BRADESCO onde em todos os grupos estão setadas como whitlist. mas memso assim nao consigo realizar chamadas alguém pode me ajudar.

brunok

@Rene_Probst:

Boa tarde pessoal;

Tava quase terminando de testar meu pfsense com essa conf muito boa. Porem o ultimo teste que eu fiz foi testar ligações do Skype tanto vídeo chamada como so chamada padrão. Porem ele nao conecta. Coloquei nas expressoes regulares a palavra Skype no target BRADESCO onde em todos os grupos estão setadas como whitlist. mas memso assim nao consigo realizar chamadas alguém pode me ajudar.

Provavelmente você está bloqueando tudo no SquidGuard. No caso do skype, ele utiliza diversos DNS e precisaria verificar no log todos e ir liberando.

Por enquanto, pode liberar a categoria "webphone" que vai funcionar.

Rene_Probst

@brunok:

@Rene_Probst:

Boa tarde pessoal;

Tava quase terminando de testar meu pfsense com essa conf muito boa. Porem o ultimo teste que eu fiz foi testar ligações do Skype tanto vídeo chamada como so chamada padrão. Porem ele nao conecta. Coloquei nas expressoes regulares a palavra Skype no target BRADESCO onde em todos os grupos estão setadas como whitlist. mas memso assim nao consigo realizar chamadas alguém pode me ajudar.

Provavelmente você está bloqueando tudo no SquidGuard. No caso do skype, ele utiliza diversos DNS e precisaria verificar no log todos e ir liberando.

Por enquanto, pode liberar a categoria "webphone" que vai funcionar.

Ola Bruno obrigado pela ajuda mas esta categoria nao esta bloqueado no squid guard,  na realidade a minha politica esta da seguinte forma. no squid guard esta td liberado e vou bloqueando manualmente o que preciso. E o que acontece no skype a pessoa loga normalmente o chat e transferencia de arquivos funciona tambem normal porem somente chamadas e video chamadas que nao funciona meu firewall esta any full liberado na Lan. O que sera que pode ser. Sera que ainda e no Squid guard.

Fiz um teste aqui agora de transferencia de arquivos por exemplo seu eu mandar um arquivo txt ele nao deixa evniar da erro agora seu eu mandar um arquivo Winrar ele aceita e envia que estranho.  E outra eu tirei meu ip dos grupo do squid e deixa no grupo full liberado mas mesmo assim as chamadas nao funcionam.

brunok

@Rene_Probst:

@brunok:

@Rene_Probst:

Boa tarde pessoal;

Tava quase terminando de testar meu pfsense com essa conf muito boa. Porem o ultimo teste que eu fiz foi testar ligações do Skype tanto vídeo chamada como so chamada padrão. Porem ele nao conecta. Coloquei nas expressoes regulares a palavra Skype no target BRADESCO onde em todos os grupos estão setadas como whitlist. mas memso assim nao consigo realizar chamadas alguém pode me ajudar.

Provavelmente você está bloqueando tudo no SquidGuard. No caso do skype, ele utiliza diversos DNS e precisaria verificar no log todos e ir liberando.

Por enquanto, pode liberar a categoria "webphone" que vai funcionar.

Ola Bruno obrigado pela ajuda mas esta categoria nao esta bloqueado no squid guard,  na realidade a minha politica esta da seguinte forma. no squid guard esta td liberado e vou bloqueando manualmente o que preciso. E o que acontece no skype a pessoa loga normalmente o chat e transferencia de arquivos funciona tambem normal porem somente chamadas e video chamadas que nao funciona meu firewall esta any full liberado na Lan. O que sera que pode ser. Sera que ainda e no Squid guard.

Fiz um teste aqui agora de transferencia de arquivos por exemplo seu eu mandar um arquivo txt ele nao deixa evniar da erro agora seu eu mandar um arquivo Winrar ele aceita e envia que estranho.  E outra eu tirei meu ip dos grupo do squid e deixa no grupo full liberado mas mesmo assim as chamadas nao funcionam.

Desta maneira que eu ensinei no tópico, não é feito nenhum controle no SQUID. Somente no SQUIDGUARD.

Você precisa ver o log dos bloqueios no squidguard em tempo real e tentar fazer ligação no skype. Vai aparecer o bloqueio na lista e aí você libera.

Rene_Probst

Oi pessoal descobri o meu problema.

Seguinte eu configurei o squid para autenticação local certo e fazendo isto automaticamente as chamadas do skype nao funciona quando eu tirei a autenticação volto a funcionar as chamadas do skype.
Por que eu fiz isso por que eu quero que no relatorio do ligthsquid quero que saia os nomes dos usuarios autenticados no squid.
Entao o que eu fiz foi add os dominios que tinha na base de dados do squid Guard da Black list que baixei no caso da Shalla. e add em ACLs -> Whitelist estes domnios e entao funciono agora consigo fazer chamadas e video chamadas com usuarios autenticados no squid e funcionando as acls e bloqueios do Squid Guard.  ;) ;) ;D ;D

Rene_Probst

Ola Tenho uma outra duvida.

Sabe se tem alguma previsão para que a pagina de bloqueio do squid "sgerror" apareça também para paginas HTTPS?  A principio ela so funciona para paginas http.

marcelloc

Eu sinceramente acho que não vai. O squidguard é muito antigo e tem limitações. Pra você ter uma ideia, a forma com que ele responde ao squid gera alerta no cache.log.

A alternativa que estou trabalhando forte para superar o squidguard em performance e funcionalidade é o e2guardian.

Se utiliza o wpad, da uma olhada no pacote.

andrefreire

Bom dia !

Como personalizo o proxy.pac para a realidade das minhas redes?

Alterei diretamente o arquivo mas após o reboot do pfsense ele volta ao padrão.

Obrigado.

marcelloc

@andrefreire:

Alterei diretamente o arquivo mas após o reboot do pfsense ele volta ao padrão.

Se está usando o pacote WPAD, você edita pela interface gráfica em services -> WPAD.

hunterjn

@brunok:

Estou usando este cenário em 6 locais e está rodando 100%!  8) :D

Funcionando 100%, obrigado por compartilhar com todos.
Abraços.

andrefreire

Boa tarde a todos !

Aqui também funcionando 100% em 10 empresas.

Não entendi a mágica de não precisar instalar o certificado nas estações mas enfim, ajudou bastante.

roxton85

@Rene_Probst:

Oi pessoal descobri o meu problema.

Seguinte eu configurei o squid para autenticação local certo e fazendo isto automaticamente as chamadas do skype nao funciona quando eu tirei a autenticação volto a funcionar as chamadas do skype.
Por que eu fiz isso por que eu quero que no relatorio do ligthsquid quero que saia os nomes dos usuarios autenticados no squid.
Entao o que eu fiz foi add os dominios que tinha na base de dados do squid Guard da Black list que baixei no caso da Shalla. e add em ACLs -> Whitelist estes domnios e entao funciono agora consigo fazer chamadas e video chamadas com usuarios autenticados no squid e funcionando as acls e bloqueios do Squid Guard.  ;) ;) ;D ;D

Porque nao configurou o proxy nas conf do Skype?

baesoares

Bruno meus parabéns pelo tutorial, fiz em meu ambiente de teste e ficou show de bola.

No entanto, a página de erro não aparece ou não redireciona, ele bloqueia mais vai para a página de erro do navegador.
Como faço para ele ir para a página de erro correta?

Alguém está tendo o mesmo problema?

marcelloc

@baesoares:

ele bloqueia mais vai para a página de erro do navegador.

Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.

baesoares

Obs3: Não funciona para dispositivos mobiles (Android / iOS / WindowsPhone), a não ser que você configure manualmente nos aparelhos,
o que torna inviável. Neste caso, a solução seria isolar a rede wifi com um Captive Portal

como eu poderia fazer esse isolamento?
Existe algum tutorial para habilitar isso?

baesoares

Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.

Marcelo, eu segui todo o tutorial do bruno e marquei a opção te interceptação de ssl conforme mostrado no tutorial e mesmo assim dá o erro.

marcelloc

ssl_bump none all

Esta opção segundo a documentação do squid (http://www.squid-cache.org/Doc/config/ssl_bump/) tem o mesmo efeito do splice all, que analisa o certificado mas não intercepta o ssl.