PfSense 2.3.3 p1 + proxy http/https



  • Fala pessoal do forum, td bem ?

    Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.

    O modo HTTP esta funcionando perfeitamente, criei os grupos de acesso com seus respectivos sites e esta tudo ok. Já o modo HTTPS, criei o certificado, intalei no computador cliente porém sempre que acesso qualquer site HTTPS ele retorna o seguinte erro:

    ERRO
    A URL solicitada não pode ser recuperada

    The following error was encountered while trying to retrieve the URL: https://http/*

    Incapaz de determinar o endereço IP através do nome do host "http"

    O servidor DNS retornou:

    Name Error: The domain name does not exist.

    This means that the cache was not able to resolve the hostname presented in the URL. Check if the address is correct.

    Your cache administrator is admin@localhost.

    Alguem poderia me ajudar ?
    Obrigado!



  • @alexandroinfor:

    Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.

    O problema está entre o squid e o squidguard. Muito provavelmente pela idade do código do squidguard.



  • Poste o print de suas configurações. Tem bastante tópico aqui no fórum sobre esse mesmo problema, tu já deu uma pesquisada aqui?



  • Oi, estou seguindo as orientações do marcelo, removi o squidGuard e estou testando somento com o squid, aparentemente esta funcionando, agora estou vendo uma forma de relacinar usuários a perfil de acesso.

    Danivo, obrigado pela ajuda, eu ja dei uma olhada no forum e não encontrei esse problema, que aparentemente é algum redirectme que está sendo feito de https para http. Vou fazer o teste acima e posto o resultado aqui. Como eu já removi a instalação do SquidGuard não consigo te passar o print, dependendo do resultado, eu volto a instalação do pacote e mando o print pra vc. Obrigado!



  • De nada meu amigo.



  • Estou testando o squid+squidguard num ambiente de homologação, e estou com uma situação quase igual ao do colega.

    A diferença na verdade é que no meu caso essa mensagem só é exibida em páginas que são bloqueadas pelo squidguard. As páginas HTTPS que não são bloqueadas consigo acessar normalmente.

    Então no meu caso, acho que não chega a ser um problema, mas tem algo que precisa ser feito?

    Estou usando proxy não transparente + interceptação SSL.



  • Tem vários post sobre isso. Tem como você falar mais um pouco sobre o seu ambiente? Configuraçao etc.



  • @danilosv.03:

    Tem vários post sobre isso. Tem como você falar mais um pouco sobre o seu ambiente? Configuraçao etc.

    Estou usando proxy não transparente. Squid 0.4.35_3 + Squidguard 1.16.1 + Lightsquid 3.0.6_2

    Anexei alguns prints com as configurações do squid e squidguard.

    Meu objetivo é bloquear redes sociais, qualquer conteúdo de streaming de áudio/ vídeo, pornografia e download de executáveis.

    Tenho alguns endereços na Whitelist do Squid e algumas expressões regulares no bloqueio por Mime Types também no squid.

    No SquidGuard fiz o download de uma blacklist, e efetuei o bloqueio de algumas categorias.

    Em target categories criei duas, uma chamada "bloqueio" e outras "liberados", que por enquanto ambas estão vazias e estou mantendo reservada para adiocionar algo no futuro caso necessário.

    Eu acessar o spotify via HTTP, ocorre o bloqueio via squidguard, redirecionando para a tela de bloqueio padrão dele. Se for HTTPS, ocorre o que o colega postou acima.

























    ![Squidguard - TargetCategories.PNG](/public/imported_attachments/1/Squidguard - TargetCategories.PNG)
    ![Squidguard - TargetCategories.PNG_thumb](/public/imported_attachments/1/Squidguard - TargetCategories.PNG_thumb)



  • @alexandroinfor:

    Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.

    Veja se esse post te ajuda
    https://forum.pfsense.org/index.php?topic=128173.msg707011#msg707011



  • @marcelloc:

    @alexandroinfor:

    Estou tendo problemas na configuração do squid + squidGuard HTTP/HTTPS, fiz os testes com o modo transparente e ativo, porém acontece o mesmo erro.

    Veja se esse post te ajuda
    https://forum.pfsense.org/index.php?topic=128173.msg707011#msg707011

    Cheguei a ver esse tópico, mas não resolveu no meu caso. Até cheguei a tentar pesquisar algo no forum gringo, teve até um usuário que reportou isso como sendo um BUG, mas a resposta é que era um comportamento normal do navegador ou algo assim (meu ingles é limitado  :( ). Aqui onde tem o report do "bug": https://redmine.pfsense.org/issues/6777 e aqui https://redmine.pfsense.org/issues/6740

    Menos mal que ao menos as páginas que deveriam ser bloqueadas estão sendo.

    Pensei em editar o arquivo ERR_DNS_FAIL, mas não sei se seria uma boa prática.



  • Tem outras soluções, umas comerciais via icap e outras gratuitas. Estou amadurecendo o pacote do e2guardian para ter uma alternativa ao conjunto squid+squidguard.

    O pacote já funciona por si só mas penso em integrar a autenticação com o captive portal com já fiz no squid.



  • @marcelloc:

    Tem outras soluções, umas comerciais via icap e outras gratuitas. Estou amadurecendo o pacote do e2guardian para ter uma alternativa ao conjunto squid+squidguard.

    O pacote já funciona por si só mas penso em integrar a autenticação com o captive portal com já fiz no squid.

    Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?



  • @Tomas:

    Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

    Não faço ideia. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas.


  • Netgate

    @marcelloc:

    @Tomas:

    Marcello, tem possibilidade de entrar na lista de pacotes do pfSense?

    Acho difícil. O E2guardian precisa de umas alterações no SO para compilar com suporte a mais de 1024 conexões simultâneas e dentro da nova política da Netgate, enquanto não tiverem um cliente precisando disso, esse pacote entra na categoria "trabalho a mais que eu não quero ter".

    Marcello a Netgate não pratica esse tipo de política, por favor não cite 'políticas da Netgate' sem referencias, especialmente quando elas não condizem com a realidade.

    Nunca recebemos e committamos tantos PRs como agora[1], fazemos o possível para atender a todos, agora se você não enviar sua contribuição não vamos poder saber.

    1: https://github.com/pfsense/pfsense/graphs/contributors



  • Loos, já tinha corrigido o outro post mas esqueci desse.

    Sei que mudanças aconteceram para a maior estabilidade do projeto.

    Desculpe ter mantido esse desabafo aqui no fórum. Como contribuidor e entusiasta do projeto, preciso medir melhor minhas palavras e opiniões.

    Pontos específicos nestas mudanças me mantiveram sem motivação para contribuir, mas isso são águas passadas. Vou manter minhas contribuições em caráter não oficial respeitando o documento sobre como referenciar código para o pfSense não oficial (política de compliance se não estiver enganado).

    Mais uma vez esclareço que de forma alguma quis denegrir o projeto ou qualquer pessoa ligada a ele.

    Sobre o envio da contribuição, de uma olhada no histórico dos pull requests. Elas estiveram por um bom tempo publicadas por lá.



  • Boa tarde !

    Eu consegui fazer com que o squidguard funcionasse sem aparecer o erro mencionado adicionando nas configurações avançadas do squid na parte de integrations onde faz a chamada do squidguard a seguinte opção:

    ssl_bump none all

    coloque isso no inicio da linha de integração e o erro de DNS para de aparecer. A pagina de erro não irá aparecer para paginas HTTPS mas isso é outro problema do squidguard que não foi solucionado.

    Em resumo com isso o Squid exibirá a pagina de erro tanto para HTTP e HTTPS e o squidguard exibirá a pagina de erro para o HTTP porém não para o HTTPS mas isso é um comportamento que está acontecendo em várias ferramentas que usam o squidguard, não é algo particular do PFSense.

    Espero ter ajudado.
    Att,



  • Esse problema ainda acontece…
    Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?



  • @germinoskull:

    Esse problema ainda acontece…
    Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

    Utilizando o e2guardian no lugar do squidguard…



  • @marcelloc:

    @germinoskull:

    Esse problema ainda acontece…
    Há alguma forma de redirecionar para mesma página de erro do bloqueio em http?

    Utilizando o e2guardian no lugar do squidguard…

    Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

    Tentei alguns tutoriais, mas não deu certo..
    Quando analiso real time do e2guardian e não retorna nada, só retorna quando deixou transparente ou aponto para porta 8080, preciso manter a autenticação com o AD.








  • @germinoskull:

    Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

    desativa o squidguard
    Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
    seleciona a autenticação basic + ntlm na aba general do e2guardian
    salva e aplica.

    Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
    http://sys-squad.com/licao/259



  • @marcelloc:

    @germinoskull:

    Hoje tenho um squid autenticando no AD + Filtro SSL + SquidGuardian, como posso implantar o e2guardian?

    desativa o squidguard
    Coloca o e2guardian na frente do squid(aba daemon do e2guardian -> advanced options -> manual configure remote proxy or local squid)
    seleciona a autenticação basic + ntlm na aba general do e2guardian
    salva e aplica.

    Este screencast pode ajudar. Ele é da vesão 4 e tem algumas diferenças em relação a versão 5.
    http://sys-squad.com/licao/259

    marcelloc obrigado pelo retorno…

    Efetuei as configurações e agora consigo visualizar em real time IP e username, mas vem ocorrendo problemas onde hora solicita autenticação e hora não, sendo assim muitas vezes não retorna o user na página Access Denied e em Realtime.
    Quando aponto o client diretamente para o squid a solicitação de credenciais ocorre sempre que o navegador é fechado ou aberto uma guia em modo anonimo.
    No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?










  • @germinoskull:

    No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

    Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.



  • @marcelloc:

    @germinoskull:

    No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

    Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.

    Consegui…
    O Grupo default não pode ter a opção Filter ssl sites forging SSL Certificates selecionada.
    Sendo assim, deixei habilitado em todos os outros grupos.