[RESOLVIDO] Filtro SSL squid
-
Bom dia,
Utilizo o pfsense 2.3.3, e uso squid + proxy transparente.
Funciona perfeitamente para sites HTTP, porém quando eu ativo o filtro SSL para os sites HTTPS, alguns sites HTTPS não funcionam, como por exemplo acesso ao aplicativo do banco Itaú que apresenta a imagem anexa, e também alguns sites que deveriam estar bloqueados (facebook) apresentam outra mensagem, ao invés de redirecionar para a imagem de site bloqueado, como ocorre com os sites HTTP filtrados pelo squid.Como posso fazer para corrigir esses dois problemas?
Desde já agradeço
-
Para utilizar o filtro SSL (Man In the Middle), vc precisa gerar um certificado no pfSense, fazer o export do mesmo e instalar nas estações de trabalho. Porém, a página de erro só funciona mesmo com sites HTTP, até onde pesquisei, não tem como funcionar em HTTPS por algum tipo de limitação dos navegadores. Se eu estiver errado, por favor me corrijam e mandem a dica de como fazer funcionar, eu também nunca consegui.
Att.
-
Boa tarde,
exatamente o que nosso amigo acima falou não está importado o certificado do pfsense,
ou voce configurou o ssl no squid sem mesmo ter criado o mesmo,caso não tenha feito criado o certificado veja o link de como criar e configurar.
Lembrando que Chrome e o internet explorer usa as mesmas configs, porem o firefox tem que importa diretamente pelo proprio navegador.
-
Bom dia,
Utilizo o pfsense 2.3.3, e uso squid + proxy transparente.
Funciona perfeitamente para sites HTTP, porém quando eu ativo o filtro SSL para os sites HTTPS, alguns sites HTTPS não funcionam, como por exemplo acesso ao aplicativo do banco Itaú que apresenta a imagem anexa, e também alguns sites que deveriam estar bloqueados (facebook) apresentam outra mensagem, ao invés de redirecionar para a imagem de site bloqueado, como ocorre com os sites HTTP filtrados pelo squid.Como posso fazer para corrigir esses dois problemas?
Desde já agradeço
Caso você utilize a interceptação SSL/MITM no mode "Splice ALL" a instalação do certificado não é necessária nas máquinas dos clientes.
A mensagem de erro personalizada somente aparece em paginas HTTP.
-
Para utilizar o filtro SSL (Man In the Middle), vc precisa gerar um certificado no pfSense, fazer o export do mesmo e instalar nas estações de trabalho. Porém, a página de erro só funciona mesmo com sites HTTP, até onde pesquisei, não tem como funcionar em HTTPS por algum tipo de limitação dos navegadores. Se eu estiver errado, por favor me corrijam e mandem a dica de como fazer funcionar, eu também nunca consegui.
Att.
Bom dia,
Então, eu havia criado um certificado e instalado nas máquinas, eu esqueci de comentar no inicio do post.Eu fiz a criação do certificado, configurei o SSL com o certificado e configurações anexas, e instalei na máquina, mas mesmo assim continuou com os erros dos prints do inicio do post.
Apenas fiz esses processos (vou anexar a configuração para que voces possam dar uma analisada), creio que eu tenha esquecido e algo ou feito alguma coisa errada.
Desde já agradeço!
 -
Antes de tudo, refaça suas configurações de sua CA e sempre que você instalar a CA no navegador em uma máquina você deverá limpar o cache da mesma. Post suas configurações do squid e squidguard para analisarmos.
-
Antes de tudo, refaça suas configurações de sua CA e sempre que você instalar a CA no navegador em uma máquina você deverá limpar o cache da mesma. Post suas configurações do squid e squidguard para analisarmos.
Fiz o processo de refazer a CA e limpar o cache para instalar, mas ainda não funcionou. :(
No momento instalei apenas o Squid (pois pretendo colocar o squidguard para refinar os bloqueios após eu conseguir deixar o squid 100%, que no momento só falta o filtro SSL).
-
Caso você utilize a interceptação SSL/MITM no mode "Splice ALL" a instalação do certificado não é necessária nas máquinas dos clientes.
A mensagem de erro personalizada somente aparece em paginas HTTP.
Boa dica, mas apenas uma observação de algo que identifiquei: no mode "Splice ALL" e sem o certificado instalado nos clientes, os bloqueios do antivírus (ClamAV) não funcionam para o protocolo HTTPS. Se fizer o teste de download no site da EICAR (http://www.eicar.org/85-0-Download.html) vai verificar que os downloads de vírus via HTTP são bloqueados, mas os via HTTPS não.
-
Antes de tudo, refaça suas configurações de sua CA e sempre que você instalar a CA no navegador em uma máquina você deverá limpar o cache da mesma. Post suas configurações do squid e squidguard para analisarmos.
Fiz o processo de refazer a CA e limpar o cache para instalar, mas ainda não funcionou. :(
No momento instalei apenas o Squid (pois pretendo colocar o squidguard para refinar os bloqueios após eu conseguir deixar o squid 100%, que no momento só falta o filtro SSL).Em Proxy Interface: Deixe selecionado apenas a LAN
Selecione o Resolver DNS IPv4 -
Antes de tudo, refaça suas configurações de sua CA e sempre que você instalar a CA no navegador em uma máquina você deverá limpar o cache da mesma. Post suas configurações do squid e squidguard para analisarmos.
Fiz o processo de refazer a CA e limpar o cache para instalar, mas ainda não funcionou. :(
No momento instalei apenas o Squid (pois pretendo colocar o squidguard para refinar os bloqueios após eu conseguir deixar o squid 100%, que no momento só falta o filtro SSL).Em Proxy Interface: Deixe selecionado apenas a LAN
Selecione o Resolver DNS IPv4Deu certo! Obrigado! :)
-
Edite seu primeiro post como RESOLVIDO.
