[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%
-
Marcelo,
Bom dia!
Tentei das duas formas com uma instalação limpa do pfsense, e apresentaram o mesmo erro.
abraço
-
Na versao:
2.3.3-p1
Funcionou legal com o pacote!
bruno e Marcelo, paranebs novamente!
[DESCULPE CONFUSAO, A PLACA ESTA DO VIRTUALBOX ESTAVA EM NAT]
nesta versao tambem aparece o mesmo erro:
nginx: [emerg] unknown directive "a" in /usr/local/etc/nginx/nginx2.conf:24
-
Prezado Brunok, parabéns pelo tutorial, ótima sistematização, 100% funcional no ambiente de testes, versão 2.3.4.
Gostaria de lhe pedir uma orientação se possível, o cenário configurado é de uma interface wan e uma lan, porém eu gostaria de configurar com mais de uma lan. Neste caso você sabe quais alterações preciso fazer?
Desde já agradeço.
Que bom que funcionou também na versão mais recente! Ainda não testei na 2.3.4.
Bom, quanto ao número de subredes, não tem problemas, basta na configuração do SQUID, você marcar as outras interfaces pertinentes a estas redes.
-
Primeira versão do pacote wpad já está no repositório.
Isso reduz bastante a quantidade de alterações e configurações de arquivos. 8)
Brunok, se achar interessante, podemos alterar o primeiro post incluindo a instalação do pacote e configuração via interface web desta parte.
Agora que vi o link do pacote… Vou validar aqui num ambiente CLEAN.
-
Na versao:
2.3.3-p1
Funcionou legal com o pacote!
bruno e Marcelo, paranebs novamente!
[DESCULPE CONFUSAO, A PLACA ESTA DO VIRTUALBOX ESTAVA EM NAT]
nesta versao tambem aparece o mesmo erro:
nginx: [emerg] unknown directive "a" in /usr/local/etc/nginx/nginx2.conf:24
Diego, poste aqui o seu nginx2.conf para análise.
-
# nginx configuration file worker_processes 1; events { worker_connections 1024; } http { include /usr/local/etc/nginx/mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; server { listen 192.168.1.1; server_name wpad.localdomain server name 127.0.0.1 client_max_body_size 200m; root "/usr/local/www/nginx-dist/"; location ~ \.php$ { try_files $uri =404; # This line closes a potential security hole fastcgi_pass unix:/var/run/php-fpm.socket; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_read_timeout 180; include /usr/local/etc/nginx/fastcgi_params; } } }
So copiei e colei ???
-
try_files $uri =404; # This line closes
a potential security holefastcgi_pass
unix:/var/run/php-fpm.socket;include
/usr/local/etc/nginx/fastcgi_params;Essas linha estão quebradas no seu código.
deveriam estar assim:
try_files $uri =404; # This line closes a potential security hole fastcgi_pass unix:/var/run/php-fpm.socket; include /usr/local/etc/nginx/fastcgi_params;
Todas essas questões, o pacote faz sozinho. Sugiro deixar a configuração do nginx por conta dele e acertar pelo tutorial as configurações de dhcp, dns, etc…
-
Oi Brunok, obrigado pelo retorno. Porém acredito que marcar outras interfaces no squid não será suficiente. O cenário que penso é o seguinte:
Eth1 - LAN 192.168.28.0/22 - Gateway 192.168.28.1
Eth2 - LAN 192.168.50.0/24 - Gateway 192.168.50.1O que vc acha?
-
try_files $uri =404; # This line closes
a potential security holefastcgi_pass
unix:/var/run/php-fpm.socket;include
/usr/local/etc/nginx/fastcgi_params;Essas linha estão quebradas no seu código.
deveriam estar assim:
try_files $uri =404; # This line closes a potential security hole fastcgi_pass unix:/var/run/php-fpm.socket; include /usr/local/etc/nginx/fastcgi_params;
Todas essas questões, o pacote faz sozinho. Sugiro deixar a configuração do nginx por conta dele e acertar pelo tutorial as configurações de dhcp, dns, etc…
Marcelo,
No exemplo que você deu, temos que incluir a interface loopback também?
-
No exemplo que você deu, temos que incluir a interface loopback também?
Não precisa. A configuração do loopback da imagem só está lá para demonstrar que você pode ter um pac para cada interface de rede (se quiser ou precisar).
-
Oi Brunok, obrigado pelo retorno. Porém acredito que marcar outras interfaces no squid não será suficiente. O cenário que penso é o seguinte:
Eth1 - LAN 192.168.28.0/22 - Gateway 192.168.28.1
Eth2 - LAN 192.168.50.0/24 - Gateway 192.168.50.1O que vc acha?
Irá funcionar com essas condições:
Regras na LAN A e B, pois o ip de redirecionamento do squidguard é da rede A e a rede B precisa encontrar. Apenas a porta 80.
No squid você marca as 2 interfaces e testa, pode também forçar as subnets lan liberadas no proxy na aba ACLS > "Allowed subnets".
-
Certo Brunok, estou testando e está funcionando, obrigado!
-
Bom dia galera!
segui igual receita de bolo, mas nao deu certo :-[
abraço
-
Efetuei a instalação aqui e estou com 2 problemas.
1 - Ao ser redirecionado para a pagina de erro o navegador efetua o download do sgerror.php ao invez de interpreta-lo.
2 - Mesmo configurando o certificado e habilitando a opção SSL as paginas https não são redirecionadas.
Duvidas:
Nas configurações do Squid
SSL/MITM Mode: qual deve ser informado?
SSL Proxy Compatibility Mode: qual deve ser informado?Grato!
-
Bom dia galera!
segui igual receita de bolo, mas nao deu certo :-[
abraço
[/quote]Poste aqui o que acontece, algum print.
-
Efetuei a instalação aqui e estou com 2 problemas.
1 - Ao ser redirecionado para a pagina de erro o navegador efetua o download do sgerror.php ao invez de interpreta-lo.
2 - Mesmo configurando o certificado e habilitando a opção SSL as paginas https não são redirecionadas.
Duvidas:
Nas configurações do Squid
SSL/MITM Mode: qual deve ser informado?
SSL Proxy Compatibility Mode: qual deve ser informado?Grato!
As configurações do squid, pode deixar as padrões, neste caso.
1 - Isso pode ser configuração do próprio navegador. Qual está usando?
2 - Páginas https não são redirecionadas para a página de erro. Eu ainda não consegui contornar isso. O bloqueio ocorre, só não aparece a página do sgerror.php.
-
Bom dia galera!
segui igual receita de bolo, mas nao deu certo :-[
abraço
[/quote]Poste aqui o que acontece, algum print.
Bruno,
bom dia!
segui o tutorial ao pe da letra, instalei em uma instalação limpa em um ambiente de teste.
alterei o domínio do arquivo para o meu, consigo fazer o download dos arquivos do wpad.
fiz os bloqueios das portas 80 e 443, e liberação do ip e porta do PF.
através da detecção automática de proxy não navega em nada, seu setar o proxy manual ai funfa tudo legal.
segue minhas regras…
-
Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?
-
Fez alguma alteração no wpad? O ip:porta definido nele bate com a sua configuração de proxy?
Nada.
so segui o tutorial, ip e porta batendo.
-
após reiniciar o firewall para tentar identificar o motivo do download ao invés da interpretação do sgerror percebi que o wpad parou de funcionar.
identifiquei o problema, mas não a solução, ao tentar aplicar o wpad me retorna a mensagem de que já existe um serviço ativo na porta 80.
qual comando para listar qual serviço esta rodando nesta porta?