[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%

roxton85

@Rene_Probst:

Oi pessoal descobri o meu problema.

Seguinte eu configurei o squid para autenticação local certo e fazendo isto automaticamente as chamadas do skype nao funciona quando eu tirei a autenticação volto a funcionar as chamadas do skype.
Por que eu fiz isso por que eu quero que no relatorio do ligthsquid quero que saia os nomes dos usuarios autenticados no squid.
Entao o que eu fiz foi add os dominios que tinha na base de dados do squid Guard da Black list que baixei no caso da Shalla. e add em ACLs -> Whitelist estes domnios e entao funciono agora consigo fazer chamadas e video chamadas com usuarios autenticados no squid e funcionando as acls e bloqueios do Squid Guard.  ;) ;) ;D ;D

Porque nao configurou o proxy nas conf do Skype?

baesoares

Bruno meus parabéns pelo tutorial, fiz em meu ambiente de teste e ficou show de bola.

No entanto, a página de erro não aparece ou não redireciona, ele bloqueia mais vai para a página de erro do navegador.
Como faço para ele ir para a página de erro correta?

Alguém está tendo o mesmo problema?

marcelloc

@baesoares:

ele bloqueia mais vai para a página de erro do navegador.

Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.

baesoares

Obs3: Não funciona para dispositivos mobiles (Android / iOS / WindowsPhone), a não ser que você configure manualmente nos aparelhos,
o que torna inviável. Neste caso, a solução seria isolar a rede wifi com um Captive Portal

como eu poderia fazer esse isolamento?
Existe algum tutorial para habilitar isso?

baesoares

Se a página for https e não estiver interceptando ssl, o erro que o usuário recebe é esse mesmo.

Marcelo, eu segui todo o tutorial do bruno e marquei a opção te interceptação de ssl conforme mostrado no tutorial e mesmo assim dá o erro.

marcelloc

ssl_bump none all

Esta opção segundo a documentação do squid (http://www.squid-cache.org/Doc/config/ssl_bump/) tem o mesmo efeito do splice all, que analisa o certificado mas não intercepta o ssl.

joancefet

Muito obrigado mesmo pelo guia!

No chrome e no IE/EDGE, funciona perfeitamente, contudo, pelo firefox, consigo passar pelo bloqueio, já tentei todas as opções na configuração de conexão do mozilla, mas ele só bloqueia se eu colocar o endereço do proxy lá.

Mas como o usuário pode mudar…

Rene_Probst

Pelo Firefox tambem funciona porem vc tem que ir em opçoes depois em Rede e ticar em Auto Detectar. para que os usuarios nao consigam acessar as opçoes de internet do windows tem um arquivo que mudas os acessos de adm do usurio assim ele nao consegue acessar e tirar a opções de detectar as conf do proxy automatico. Por que se o usuario tirar esta opção ele tem acesso a TUDO. Porem o firefox tem conf independente e nao é integrado com as opçoes de internet do windows ou seja o usuario tem facil acesso as conf do firefox. É mais facil nao utilizar o firefox.  ate mais.

FagnerOliveira

Ola, realizei todo o procedimento do tutorial e esta funcionado perfeitamente na empresa em que trabalho, parabéns ao autor e demais envolvidos. porem estou com uma duvida.

Aqui na empresa alguns funcionários necessitam utilizar um site que ao entrar na "área do cliente" a url passa a ser acessada por um ip, coisa que o squidguard bloqueia devido a opção "do not allow ip addresses in URL" estar marcada, quando desativo essa opção o site funciona normalmente, porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem. tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???

cairo

@FagnerOliveira:

Ola, realizei todo o procedimento do tutorial e esta funcionado perfeitamente na empresa em que trabalho, parabéns ao autor e demais envolvidos. porem estou com uma duvida.

Aqui na empresa alguns funcionários necessitam utilizar um site que ao entrar na "área do cliente" a url passa a ser acessada por um ip, coisa que o squidguard bloqueia devido a opção "do not allow ip addresses in URL" estar marcada, quando desativo essa opção o site funciona normalmente, porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem. tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???

Você pode tentar criar uma Regra de saída (LAN) no firewall liberando um ou alguns IPs ou até mesmo toda sua 'Lan Net' para saída ao IP do site em questão.

Ou ainda, você pode tentar criar um Group ACL com a opção 'do not allow ip addresses in URL' desmarcada e com uma faixa de IPs determinada (sugiro que fora do DHCP) e vincular os mac adress desses computadores à estes IPs.

Espero que uma das opções funcione. Boa sorte!

marcelloc

@FagnerOliveira:

porem fico com receio dos usuários usarem essa "brecha" pra acessar sites que não devem.

Com certeza farão…

@FagnerOliveira:

tem alguma forma de liberar esse IP desse site para que ele possa ser acessado na URL mesmo com a opção no squidguard ativada???

Já tentou criar uma entrada dns local para usar no lugar do acesso direto ao ip?

FagnerOliveira

@cairo:

Ou ainda, você pode tentar criar um Group ACL com a opção 'do not allow ip addresses in URL' desmarcada e com uma faixa de IPs determinada (sugiro que fora do DHCP) e vincular os mac adress desses computadores à estes IPs.

Espero que uma das opções funcione. Boa sorte!

Criei esta ACL e fiz conforme descrito, como é só 1 maquina e uma pessoa de confiança da empresa q tem acesso a ela… de toda forma irei verificar no lightsquid ao final da tarde para ver se teve algum acesso indevido, caso sim, tentarei a opção descrita pelo Marcelloc.

desde já agradeço pela ajuda!!!

robertoseg

Bom dia! estou com problema no certificado o navegador fala que não e seguro  ai vou em avançado e noa tem opção para continuar como faço para resolver esse problema ??

gerardocoelho

Boa tarde, Pessoal.

Fiz as configurações e funcionou perfeitamente.
Fico agradecido pela ajuda do colega.

Agora estou com dois problemas:

1º Não consigo acessar o relatório do lightsquid (Dou um refresh, mas a página não abre e o endereço dos logs está correto. Está marcado loopback no squid como pede tb.

2º Tenho duas interfaces de rede com classe de IPs diferentes, gostaria que funcionasse nas duas, mas não deu certo aqui. Instalei o pacote wpad do marcelo, criei uma outra instancia para a outra placa de rede. Configurei o serviço de dhcp dessa placa buscando os arquivos, mas não deu certo. Quando tento da outra rede acessar o arquivo proxy.pac da outra rede que já funcona não encontra.

Alguém pode me ajudar?

Fico agradecido desde entao.

cairo

@robertoseg:

Bom dia! estou com problema no certificado o navegador fala que não e seguro  ai vou em avançado e noa tem opção para continuar como faço para resolver esse problema ??

Amigo, já tentou em outro navegador?

gerardocoelho

@gerardocoelho:

Boa tarde, Pessoal.

Fiz as configurações e funcionou perfeitamente.
Fico agradecido pela ajuda do colega.

Agora estou com dois problemas:

1º Não consigo acessar o relatório do lightsquid (Dou um refresh, mas a página não abre e o endereço dos logs está correto. Está marcado loopback no squid como pede tb.

2º Tenho duas interfaces de rede com classe de IPs diferentes, gostaria que funcionasse nas duas, mas não deu certo aqui. Instalei o pacote wpad do marcelo, criei uma outra instancia para a outra placa de rede. Configurei o serviço de dhcp dessa placa buscando os arquivos, mas não deu certo. Quando tento da outra rede acessar o arquivo proxy.pac da outra rede que já funcona não encontra.

Alguém pode me ajudar?

Fico agradecido desde entao.

Resolvi o 1º problema criando uma regra no firewall da segunda placa para se comunicar com o ip do pfsense (outra placa).
Resolvi o lightsquid depois de muito tentar… Desinstalei o pacote, instalei novamente, instalei alguns outros pacotes... Já estava quase desistindo, quando resolvi mais uma vez desinstalar e instalar novamente, ai funcionou... Não sei o que aconteceu.

diegovaz

Bruno,

blz cara!

consegue colocar pra funcionar aqui, valeu meu amigo pela contribuiçao e pela ajuda.

@brunok:

@Douglas:

Boa noite..

Muito legal bem detalhado ..

porem existem algumas duvidas até pq ja utilizei por muito tempo wpad
quais foram os problemas encontrados no decorrer..

1 parou de funcionar no firefox devido a alguma atualização.

quando eu consegui faze funciona no firefox dava erro no internet….

o seu funciona no firefox e no internet explorer e chrome (apesar no chrome ser espelho do internet)

2 . Infelismente Macs e Celulares como android IOS tinha que fazer algumas configurações mais avançadas para que funcionasse...

Mais estou meio correria pretendo testa suas configs..
Fico no aguardo do seu retorno.

Alguns navegadores tentam capturar proxy.pac e outros wpad.dat. Por isso, criamos links do proxy.pac para não ocorrer nenhum problema.

Realmente para aparelhos mobile, os navegadores vem configurados sem a instrução de buscar por wpad/proxy.pac.

Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal. Ou ainda, uma segunda instância do squid em modo transparente.

agora mais uma duvida kkkkk

como seria esta soluçao para resolver o problema dos celulares?

Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal.

Teria como me dar uma explicaçao?

Vlw

cairo

Senhores,
Configurei do zero uma máquina com pfSense e segui este tutorial (como em outras vezes) passo-a-passo e no ambiente de testes aqui tudo ok pelos testes que eu havia feito. Porém implantei no cliente e o bloqueio não funcionou corretamente.

Já refiz todos os passos, conferi as opções no DHCP para a entrega do arquivo wpad;
Testei e o arquivo está acessível aos PCs da Lan (fiz download pelo navegador);
Conferi o conteúdo do arquivo wpad (já tentei até reescrevê-lo), sem sucesso;

O cenário é:
SE nas opções de internet não há nenhuma opção setada, o PC navega sem bloqueios
SE nas opções de internet eu habilito 'detectar automaticamente..', o PC navega sem bloqueios
SE nas opções de internet eu coloco manualmente o caminho do arquivo wpad, bloqueios OK
SE nas opções de internet eu coloco o endereço do proxy manualmente, bloqueios OK

Já revisei a configuração do squid e o Enable SSL filtering está marcado, com as configurações exatamente iguais a do tutorial. Não faço idéia de onde esteja meu erro… Alguém pode me dar uma luz? To ficando maluco já...  :o

marcelloc

@Cairo:

Porém implantei no cliente e o bloqueio não funcionou corretamente.

As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp

cairo

@marcelloc:

@Cairo:

Porém implantei no cliente e o bloqueio não funcionou corretamente.

As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp

cheguei a dar comando 'ipconfig /release' e 'ipconfig /renew' mas não tinha dado efeito…

Hoje pela manhã fiz um novo servidor, dessa vez com a versão 2.3.3 (e não a 2.3.4 como de costume)  e segui este tutorial aqui e o resultado, inicialmente foi o mesmo = sem a configuração automatica nas 'opções de internet' o PC navegava sem bloqueios.
Porém nesta versão inclui agora regras de LAN para bloquear os PCs da LAN NET para trafegar dados diretamente pela 80 (HTTP) e 443 (HTTPS)... Em princípio pelos testes que fiz agora sim funcionou e os PCS nao navegam se a configuração automática de rede não estiver marcada.

Portanto nos testes que fiz até agora somente o tutorial não deixa 100% funcionando, tive que incluir bloqueios da Lan Net para a 80/443.
Caso alguem puder testar também e o autor do tópico incluir essa instrução, se for o caso, agradeço.