SSL + SQUID E PROXY TRANSPARENTE



  • Pessoal,

    Estou fazendo um teste com SSL + SQUID E PROXY TRANSPARENTE. Por recomendação do danilosv.03 do proprio forum, iniciei esse teste pois não conseguia controlar corretamente o protocolo HTTPS e quando conseguia bloquear, acabava afetando algum outro serviço como por exemplo rejeitava o https do YouTube afetava os serviços do google.

    Quando comecei o teste, atendeu bastante a minha necessidade utilizando o certificado configurado no proxy via SSL e o SQUID. Bastava eu bloquear uma categoria que não importa se digitar o protocolo na frente. Não Abre….. Exatamente como precisava.

    A única dúvida que estou é que alguns sites com protocolo https ainda não abrem apresentando aquela tela de erro do PFSENSE.

    ERROR
    The requested URL could not be retrieved

    The following error was encountered while trying to retrieve the URL: https://104.24.105.49/*

    Failed to establish a secure connection to 104.24.105.49

    The system returned:

    (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

    Handshake with SSL server failed: error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error

    This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.

    Your cache administrator is admin@localhost.

    Nesses casos, como devo proceder?

    Alguém poderia me ajudar?



  • @ricardo.duarte:

    Pessoal,

    Estou fazendo um teste com SSL + SQUID E PROXY TRANSPARENTE. Por recomendação do danilosv.03 do proprio forum, iniciei esse teste pois não conseguia controlar corretamente o protocolo HTTPS e quando conseguia bloquear, acabava afetando algum outro serviço como por exemplo rejeitava o https do YouTube afetava os serviços do google.

    Quando comecei o teste, atendeu bastante a minha necessidade utilizando o certificado configurado no proxy via SSL e o SQUID. Bastava eu bloquear uma categoria que não importa se digitar o protocolo na frente. Não Abre….. Exatamente como precisava.

    A única dúvida que estou é que alguns sites com protocolo https ainda não abrem apresentando aquela tela de erro do PFSENSE.

    ERROR
    The requested URL could not be retrieved

    The following error was encountered while trying to retrieve the URL: https://104.24.105.49/*

    Failed to establish a secure connection to 104.24.105.49

    The system returned:

    (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

    Handshake with SSL server failed: error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error

    This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.

    Your cache administrator is admin@localhost.

    Nesses casos, como devo proceder?

    Alguém poderia me ajudar?

    Primeiro antes de tudo você aumentou a capacidade do seu cache? Depois personalize a sua página de erro, esse seu erro está sendo barrado no seu squid. Tu colocou algum bloqueio em ACL no squid
    Tu tem alguma regra de bloqueio em Rules?

    no seu squid configure sua página de erro:
    Headers Handling, Language and Other Customizations
    Visible Hostname: "coloque o nome da sua empresa" (fica a critério)
    Administrator's Email: coloque o seu e-mail (isso facilitará na comunicação com você).
    Error Language: pt-br
    X-Forwarded Header Mode: on (selecione on)
    Suppress Squid Version: marque essa opção para ocultar a versão do squid para o usuário.

    Depois mande print da configuração do seu squid e nos diga quais são os bloqueios e a página que tu ta tentando acessar que deu esse erro.
    ;)



  • Danilo

    Obrigado pela ajuda e vamos lá. Respondendo sua perguntas, nas regras do firewall não tenho nada que interfira nesse caso, tenho apenas a regra que libera acesso a uma lista de ips. No Squid, estou usando a black list http://www.shallalist.de/Downloads/shallalist.tar.gz e apliquei algumas configurações de bloqueio a uma grupo com 1 IP de Teste. Como mostra abaixo.

    [blk_BL_recreation_travel] access :allow
    [blk_BL_recreation_wellness] access :allow
    [blk_BL_recreation_wellness] access :allow
    [blk_BL_redirector] access :allow
    [blk_BL_redirector] access :allow
    [blk_BL_religion] access :allow
    [blk_BL_religion] access :allow
    [blk_BL_remotecontrol] access :allow
    [blk_BL_remotecontrol] access :allow
    [blk_BL_ringtones] access :allow
    [blk_BL_ringtones] access :allow
    [blk_BL_science_astronomy] access :allow
    [blk_BL_science_astronomy] access :allow
    [blk_BL_science_chemistry] access :allow
    [blk_BL_science_chemistry] access :allow
    [blk_BL_searchengines] access :allow
    [blk_BL_searchengines] access :allow
    [blk_BL_sex_education] access :denny
    [blk_BL_sex_education] access :denny
    [blk_BL_sex_lingerie] access :denny
    [blk_BL_sex_lingerie] access :denny
    [blk_BL_shopping] access :allow
    [blk_BL_shopping] access :allow
    [blk_BL_socialnet] access :denny
    [blk_BL_socialnet] access :denny
    [blk_BL_spyware] access :denny
    [blk_BL_spyware] access :denny
    [blk_BL_tracker] access :allow
    [blk_BL_tracker] access :allow
    [blk_BL_updatesites] access :allow
    [blk_BL_updatesites] access :allow
    [blk_BL_urlshortener] access :allow
    [blk_BL_urlshortener] access :allow
    [blk_BL_violence] access :denny
    [blk_BL_violence] access :denny
    [blk_BL_warez] access :allow
    [blk_BL_warez] access :allow
    [blk_BL_weapons] access :denny
    [blk_BL_weapons] access :denny
    [blk_BL_webmail] access :allow
    [blk_BL_webmail] access :allow
    [blk_BL_webphone] access :denny
    [blk_BL_webphone] access :denny
    [blk_BL_webradio] access :denny
    [blk_BL_webradio] access :denny
    [blk_BL_webtv] access :denny
    [blk_BL_webtv] access :denny
    Default access [all] access
    Default access [all] access

    Página de Erro configurei da seguinte informa. Eu tenho uma página de Intranet que move para uma mensagem de erro(pagina interna) que fica na Intranet.

    Com relação ao Cache, não fiz isso. Como faço esse procedimento?

    Estava fazendo teste com essa página: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/ que apresentou o erro. Porém é meio que aleatório. Estou fazendo o teste do SSL em um servidor de teste antes de aplicar ao servidor de produção.



  • Sevices/squid
    Depois em: Squid Hard Disk Cache Settings
    Eu coloquei: 1024.

    Qual o site você está tentando acessar?





  • Danilo.

    A versão que estou usando do pfsense é a 2.3.2.



  • @ricardo.duarte:

    O site que estou usando de teste é esse.

    https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/

    Independente da versão não é pra ter esse problema. O teu squid ta vendo esse site como um site de bloqueio que tu colocou dentro do ACL.
    Tira um print do ACL do seu squid e não do seu squidguard. (foto)




  • Blz. Sem problemas.

    Só preciso ver como coloco o print aqui.

    Fiz o teste com o cache e o outro site de Teste da Totvs foi normal…



  • @ricardo.duarte:

    Blz. Sem problemas.

    Só preciso ver como coloco o print aqui.

    Meu amigo só clique em: + Attachments and other options que fica em abaixo da caixa de texto. Explore sem medo as ferramentas do fórum HAHAHA :P



  • Danilo,

    Segue o Print.




  • @ricardo.duarte:

    Danilo,

    Segue o Print.

    Tu gerou o certificado pra dentro dessa máquina que tu ta tentando acessar? Vejo que tu não autenticou o certificado para o próprio Pfsense.



  • Eu fiz o certificado no System Cert. Manager tanto no CAS como no Certificate e instalei no navegador da minha maquina para teste.



  • @ricardo.duarte:

    Eu fiz o certificado no System Cert. Manager tanto no CAS como no Certificate e instalei no navegador da minha maquina para teste.

    Procure esse video aula no youtube: pfSense-23-Curso-Grátis-Aula-22-SquidGuard-com-Proxy-transparente-e-interceptação-SSL

    Ele irá te ajudar MUITO.



  • E realizei dessa forma.






  • Vou verificar Danilo.

    Obrigado