Pfsense2.3.1+squid0.4.23 problemas con navegacion https (modo no transp) Urgente



  • Ante todo saludos y gracias de antemano por cualquier respuesta, el tema es que soy nuevo con pfsense2.3.1+squid, la razon concreta por la que le escribo es pq estoy tratando de echar andar el https de squid, pasa que no tengo navegacion por https, todo bien con http y veo que la configuracion de mi squid esta default y me parece que esta todo bien con la configuracion de aceptar https, aqui le dejo como esta el squid.conf. Muchas gracias nuevamente, fenomenal si me pudiera ayudar

    This file is automatically generated by pfSense

    Do not edit manually !

    http_port 192.168.0.104:3128
    http_port 127.0.0.1:3128
    icp_port 3130
    dns_v4_first on
    pid_filename /var/run/squid/squid.pid
    cache_effective_user squid
    cache_effective_group proxy
    error_default_language es
    icon_directory /usr/local/etc/squid/icons
    visible_hostname localhost
    cache_mgr admin@localhost
    access_log /var/squid/logs/access.log
    cache_log /var/squid/logs/cache.log
    cache_store_log none
    netdb_filename /var/squid/logs/netdb.state
    pinger_enable off
    pinger_program /usr/local/libexec/squid/pinger

    logfile_rotate 365
    debug_options rotate=365
    shutdown_lifetime 3 seconds

    Allow local network(s) on interface(s)

    acl localnet src  192.168.0.0/24 127.0.0.0/8
    forwarded_for on
    uri_whitespace strip

    acl dynamic urlpath_regex cgi-bin ?
    cache deny dynamic

    cache_mem 64 MB
    maximum_object_size_in_memory 256 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    minimum_object_size 0 KB
    maximum_object_size 4 MB
    cache_dir ufs /var/squid/cache 100 16 256
    offline_mode off
    cache_swap_low 90
    cache_swap_high 95
    cache allow all

    Add any of your own refresh_pattern entries above these.

    refresh_pattern ^ftp:    1440  20%  10080
    refresh_pattern ^gopher:  1440  0%  1440
    refresh_pattern -i (/cgi-bin/|?) 0  0%  0
    refresh_pattern .    0  20%  4320

    #Remote proxies
    cache_peer 172.16.1.5 parent 3128 3130 login=*:password

    Setup some default acls

    From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.

    acl localhost src 127.0.0.1/32

    acl allsrc src all
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3129 1025-65535 443
    acl sslports port 443 563  443

    From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.

    #acl manager proto cache_object

    acl purge method PURGE
    acl connect method CONNECT

    Define protocols used for redirects

    acl HTTP proto HTTP
    acl HTTPS proto HTTPS
    acl allowed_subnets src 192.168.0.0/24
    acl unrestricted_hosts src "/var/squid/acl/unrestricted_hosts.acl"
    http_access allow manager localhost

    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !safeports
    http_access deny CONNECT !sslports

    Always allow localhost connections

    From 3.2 further configuration cleanups have been done to make things easier and safer.

    The manager, localhost, and to_localhost ACL definitions are now built-in.

    http_access allow localhost

    request_body_max_size 0 KB
    delay_pools 1
    delay_class 1 2
    delay_parameters 1 -1/-1 -1/-1
    delay_initial_bucket_level 100
    delay_access 1 allow allsrc

    Reverse Proxy settings

    Custom options before auth

    These hosts do not have any restrictions

    http_access allow unrestricted_hosts

    Setup allowed ACLs

    Allow local network(s) on interface(s)

    http_access allow allowed_subnets
    http_access allow localnet

    Default block all to be sure

    http_access deny allsrc
    squid.txt



  • Buen día

    Puedes explicar el escenario que tienes como qué tipo de proxy, y postear las reglas de firewall que tienes, porque con lo que describes es muy complicado ayudarte.

    Saludos



  • bien, bueno el escenario es el sigueinte: no estoy de cara a internet directamente, recibo los servicios desde un proxy mas arriba, del cual actualmente tengo navegacion internet sin problemas(http y https) mediante una regla en mi firewall pfsense que permite a todo mi segmento de red (192.168.x.x). Lo que no funciona es el squid-3.5.19_1 que se instala como paquete del pfsense2.3.1
    aqui van la reglas referentes a la navegacion temporal directa contra el proxy externo, sin pasar por mi squid








  • Buen día

    Sigue faltando información, qué tipo de proxy (Transparente o explicito), y pantallazos de la configuración de Squid además si tienes un squid más arriba, para qué quieres otro proxy?.



  • el proxy mas arriba no es mio, no lo controlo, estoy trabajando en modo no transparente



  • este es el apartado General de squid

    Transparent Proxy Settings (sin configurar)






  • Buen día

    Tienes reglas de firewall que bloqueen el tráfico por los puertos 80 y 443 y permita el tráfico por el puerto del proxy?, además si el proxy es no transparente no hay necesidad de configurar https ya que de manera no transparente bloqueará también tráfico https.  Tengo varios escenarios con proxy explicito sin configurar Man in the Middle. Si es proxy transparente debes seguir este tutorial https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

    Saludos


Log in to reply