[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%
-
Boa tarde pessoal;
Tava quase terminando de testar meu pfsense com essa conf muito boa. Porem o ultimo teste que eu fiz foi testar ligações do Skype tanto vídeo chamada como so chamada padrão. Porem ele nao conecta. Coloquei nas expressoes regulares a palavra Skype no target BRADESCO onde em todos os grupos estão setadas como whitlist. mas memso assim nao consigo realizar chamadas alguém pode me ajudar.
Provavelmente você está bloqueando tudo no SquidGuard. No caso do skype, ele utiliza diversos DNS e precisaria verificar no log todos e ir liberando.
Por enquanto, pode liberar a categoria "webphone" que vai funcionar.
Ola Bruno obrigado pela ajuda mas esta categoria nao esta bloqueado no squid guard, na realidade a minha politica esta da seguinte forma. no squid guard esta td liberado e vou bloqueando manualmente o que preciso. E o que acontece no skype a pessoa loga normalmente o chat e transferencia de arquivos funciona tambem normal porem somente chamadas e video chamadas que nao funciona meu firewall esta any full liberado na Lan. O que sera que pode ser. Sera que ainda e no Squid guard.
Fiz um teste aqui agora de transferencia de arquivos por exemplo seu eu mandar um arquivo txt ele nao deixa evniar da erro agora seu eu mandar um arquivo Winrar ele aceita e envia que estranho. E outra eu tirei meu ip dos grupo do squid e deixa no grupo full liberado mas mesmo assim as chamadas nao funcionam.
Desta maneira que eu ensinei no tópico, não é feito nenhum controle no SQUID. Somente no SQUIDGUARD.
Você precisa ver o log dos bloqueios no squidguard em tempo real e tentar fazer ligação no skype. Vai aparecer o bloqueio na lista e aí você libera.
-
Oi pessoal descobri o meu problema.
Seguinte eu configurei o squid para autenticação local certo e fazendo isto automaticamente as chamadas do skype nao funciona quando eu tirei a autenticação volto a funcionar as chamadas do skype.
Por que eu fiz isso por que eu quero que no relatorio do ligthsquid quero que saia os nomes dos usuarios autenticados no squid.
Entao o que eu fiz foi add os dominios que tinha na base de dados do squid Guard da Black list que baixei no caso da Shalla. e add em ACLs -> Whitelist estes domnios e entao funciono agora consigo fazer chamadas e video chamadas com usuarios autenticados no squid e funcionando as acls e bloqueios do Squid Guard. ;) ;) ;D ;D -
Ola Tenho uma outra duvida.
Sabe se tem alguma previsão para que a pagina de bloqueio do squid "sgerror" apareça também para paginas HTTPS? A principio ela so funciona para paginas http.
-
Eu sinceramente acho que não vai. O squidguard é muito antigo e tem limitações. Pra você ter uma ideia, a forma com que ele responde ao squid gera alerta no cache.log.
A alternativa que estou trabalhando forte para superar o squidguard em performance e funcionalidade é o e2guardian.
Se utiliza o wpad, da uma olhada no pacote.
-
Bom dia !
Como personalizo o proxy.pac para a realidade das minhas redes?
Alterei diretamente o arquivo mas após o reboot do pfsense ele volta ao padrão.
Obrigado.
-
Alterei diretamente o arquivo mas após o reboot do pfsense ele volta ao padrão.
Se está usando o pacote WPAD, você edita pela interface gráfica em services -> WPAD.
-
Estou usando este cenário em 6 locais e está rodando 100%! 8) :D
Funcionando 100%, obrigado por compartilhar com todos.
Abraços. -
Boa tarde a todos !
Aqui também funcionando 100% em 10 empresas.
Não entendi a mágica de não precisar instalar o certificado nas estações mas enfim, ajudou bastante.
-
Oi pessoal descobri o meu problema.
Seguinte eu configurei o squid para autenticação local certo e fazendo isto automaticamente as chamadas do skype nao funciona quando eu tirei a autenticação volto a funcionar as chamadas do skype.
Por que eu fiz isso por que eu quero que no relatorio do ligthsquid quero que saia os nomes dos usuarios autenticados no squid.
Entao o que eu fiz foi add os dominios que tinha na base de dados do squid Guard da Black list que baixei no caso da Shalla. e add em ACLs -> Whitelist estes domnios e entao funciono agora consigo fazer chamadas e video chamadas com usuarios autenticados no squid e funcionando as acls e bloqueios do Squid Guard. ;) ;) ;D ;DPorque nao configurou o proxy nas conf do Skype?
-
Bruno meus parabéns pelo tutorial, fiz em meu ambiente de teste e ficou show de bola.
No entanto, a página de erro não aparece ou não redireciona, ele bloqueia mais vai para a página de erro do navegador.
Como faço para ele ir para a página de erro correta?Alguém está tendo o mesmo problema?
-
ele bloqueia mais vai para a página de erro do navegador.
Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.
-
Obs3: Não funciona para dispositivos mobiles (Android / iOS / WindowsPhone), a não ser que você configure manualmente nos aparelhos,
o que torna inviável. Neste caso, a solução seria isolar a rede wifi com um Captive Portalcomo eu poderia fazer esse isolamento?
Existe algum tutorial para habilitar isso? -
Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.
Marcelo, eu segui todo o tutorial do bruno e marquei a opção te interceptação de ssl conforme mostrado no tutorial e mesmo assim dá o erro.
-
ssl_bump none all
Esta opção segundo a documentação do squid (http://www.squid-cache.org/Doc/config/ssl_bump/) tem o mesmo efeito do splice all, que analisa o certificado mas não intercepta o ssl.
-
Muito obrigado mesmo pelo guia!
No chrome e no IE/EDGE, funciona perfeitamente, contudo, pelo firefox, consigo passar pelo bloqueio, já tentei todas as opções na configuração de conexão do mozilla, mas ele só bloqueia se eu colocar o endereço do proxy lá.
Mas como o usuário pode mudar…
-
Pelo Firefox tambem funciona porem vc tem que ir em opçoes depois em Rede e ticar em Auto Detectar. para que os usuarios nao consigam acessar as opçoes de internet do windows tem um arquivo que mudas os acessos de adm do usurio assim ele nao consegue acessar e tirar a opções de detectar as conf do proxy automatico. Por que se o usuario tirar esta opção ele tem acesso a TUDO. Porem o firefox tem conf independente e nao é integrado com as opçoes de internet do windows ou seja o usuario tem facil acesso as conf do firefox. É mais facil nao utilizar o firefox. ate mais.
-
Ola, realizei todo o procedimento do tutorial e esta funcionado perfeitamente na empresa em que trabalho, parabéns ao autor e demais envolvidos. porem estou com uma duvida.
Aqui na empresa alguns funcionários necessitam utilizar um site que ao entrar na "área do cliente" a url passa a ser acessada por um ip, coisa que o squidguard bloqueia devido a opção "do not allow ip addresses in URL" estar marcada, quando desativo essa opção o site funciona normalmente, porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem. tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
-
Ola, realizei todo o procedimento do tutorial e esta funcionado perfeitamente na empresa em que trabalho, parabéns ao autor e demais envolvidos. porem estou com uma duvida.
Aqui na empresa alguns funcionários necessitam utilizar um site que ao entrar na "área do cliente" a url passa a ser acessada por um ip, coisa que o squidguard bloqueia devido a opção "do not allow ip addresses in URL" estar marcada, quando desativo essa opção o site funciona normalmente, porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem. tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
Você pode tentar criar uma Regra de saída (LAN) no firewall liberando um ou alguns IPs ou até mesmo toda sua 'Lan Net' para saída ao IP do site em questão.
Ou ainda, você pode tentar criar um Group ACL com a opção 'do not allow ip addresses in URL' desmarcada e com uma faixa de IPs determinada (sugiro que fora do DHCP) e vincular os mac adress desses computadores à estes IPs.
Espero que uma das opções funcione. Boa sorte!
-
porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem.
Com certeza farão…
tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???
Já tentou criar uma entrada dns local para usar no lugar do acesso direto ao ip?
-
Ou ainda, você pode tentar criar um Group ACL com a opção 'do not allow ip addresses in URL' desmarcada e com uma faixa de IPs determinada (sugiro que fora do DHCP) e vincular os mac adress desses computadores à estes IPs.
Espero que uma das opções funcione. Boa sorte!
Criei esta ACL e fiz conforme descrito, como é só 1 maquina e uma pessoa de confiança da empresa q tem acesso a ela… de toda forma irei verificar no lightsquid ao final da tarde para ver se teve algum acesso indevido, caso sim, tentarei a opção descrita pelo Marcelloc.
desde já agradeço pela ajuda!!!
