Dúvida em Log do Squid + Lighsquid
-
Boa tarde prezados !
Tenho um ambiente com a seguinte configuração:
2.3.2-RELEASE (amd64)
Squid Version 0.4.23_2
Lighsquid version 3.0.4_3
Proxy Transparente
Interceptação SSLTudo funciona normalmente, porém no relatórios do squid, não vejo nenhum acesso a sites https (Google, Yahoo). É normal isso ou tenho que fazer alguma configuração específica?
Valeu !
-
veja se em seu log aparece a url tipo
www.google.com:443
www.youtube.com:443
etc
-
veja se em seu log aparece a url tipo
www.google.com:443
www.youtube.com:443
etcObrigado pela resposta Cleiton.
Os endereços que tem ":443", ou seja, que são HTTPS, aparecem o IP sem ser resolvido e como se o tráfego de pacotes fosse nulo. Tem algo errado no meu servidor aqui, hehe.
Veja o anexo.
-
Estes endereços podem não vir do navegador, as vezes de um aplicativo, antivírus … etc, normalmente eles já utilizam o ip do seu próprio server para conexão, poder ser que seu server esteja normal, caso não, e seja um problema mesmo, revise suas configurações de DNS no server e nas estações.
-
Estes endereços podem não vir do navegador, as vezes de um aplicativo, antivírus … etc, normalmente eles já utilizam o ip do seu próprio server para conexão, poder ser que seu server esteja normal, caso não, e seja um problema mesmo, revise suas configurações de DNS no server e nas estações.
Entendi. Meu DNS Resolver está desabilitado. Apenas o DNS Forwarder. Estou usando como servidor DNS um Windows Server 2012. É ideal ter o DNS Resolver habilitado também ?
-
Tira um print do seu DHCP server e de suas configurações do proxy para analisarmos.
-
Em anexo os prints.
Valeu !
-
No seguindo SNS Servers, qual dos IP é do teu Winserver?
Selecione a opção: Sets the "No After" (SetValidAfter)
Selecione o Suppress Squid tambémO teu proxy está bloqueando as páginas https? Tire um print de um dos seus bloqueios de páginas https
-
No seguindo SNS Servers, qual dos IP é do teu Winserver?
Selecione a opção: Sets the "No After" (SetValidAfter)
Selecione o Suppress Squid tambémO teu proxy está bloqueando as páginas https? Tire um print de um dos seus bloqueios de páginas https
O IP do Windows é: 192.168.0.1
Alterei as opções, vou fazer um teste.
-
Faça o teste, no primeiro DNS Server tu coloca o do teu winserver e no segundo tu coloca o do PfSense.
-
Estes endereços podem não vir do navegador, as vezes de um aplicativo, antivírus … etc, normalmente eles já utilizam o ip do seu próprio server para conexão, poder ser que seu server esteja normal, caso não, e seja um problema mesmo, revise suas configurações de DNS no server e nas estações.
Entendi. Meu DNS Resolver está desabilitado. Apenas o DNS Forwarder. Estou usando como servidor DNS um Windows Server 2012. É ideal ter o DNS Resolver habilitado também ?
Lucas, provavelmente voce usa o WS2012 com ad, correto?
Bom a melhor configuração para o cenário é a seguinte:
Definir na configuração geral do PFsense DNS publicos (podem ser dos do Google 8.8.8.8,8.8.4.4)
Definir no servidor de DHCP apenas o IP do DNS do seu AD
Definir em seu AD no DNS Server o Pfsense como seu encaminhador (Somente ele)
Definir nas estações que que por ventura usarem configuração manual de IP em DNS apenas o IP do AD
Definir uma regra que a Lan só pode acessar seu AD pela porta 53 (Isso evita que espertinhos usem outro DNS)Resumindo as consultas: Estações –-> AD ---> PFsense -----> DNS publico.
Att.
-
Estes endereços podem não vir do navegador, as vezes de um aplicativo, antivírus … etc, normalmente eles já utilizam o ip do seu próprio server para conexão, poder ser que seu server esteja normal, caso não, e seja um problema mesmo, revise suas configurações de DNS no server e nas estações.
Entendi. Meu DNS Resolver está desabilitado. Apenas o DNS Forwarder. Estou usando como servidor DNS um Windows Server 2012. É ideal ter o DNS Resolver habilitado também ?
Lucas, provavelmente voce usa o WS2012 com ad, correto?
Bom a melhor configuração para o cenário é a seguinte:
Definir na configuração geral do PFsense DNS publicos (podem ser dos do Google 8.8.8.8,8.8.4.4)
Definir no servidor de DHCP apenas o IP do DNS do seu AD
Definir em seu AD no DNS Server o Pfsense como seu encaminhador (Somente ele)
Definir nas estações que que por ventura usarem configuração manual de IP em DNS apenas o IP do AD
Definir uma regra que a Lan só pode acessar seu AD pela porta 53 (Isso evita que espertinhos usem outro DNS)Resumindo as consultas: Estações –-> AD ---> PFsense -----> DNS publico.
Att.
Obrigado Cleiton, vou rever as configurações aqui e posto os resultados.
