SquidGuard não bloqueia https - Pfsense 2.3.3



  • Boa tarde, tenho um ambiente com o Pfsense 2.3.3, CP autenticando com o freeradius no Samba4, squid e squidguard com o filtro https habilitado.

    O problema é o seguinte, quando coloco "ssl_bump none all;" na parte de integrations do squid os sites funcionam perfeitamente, mas o bloqueio a sites https não funciona.

    Se eu tirar essa opção, e adiciono essas
    always_direct allow all
    ssl_bump server-first all

    no Custom Options (Before Auth),  o bloqueio funciona, porém fica dando erros em vários sites que utilizam https.
    Erros como: NET::ERR_CERT_COMMON_NAME_INVALID

    Eu instalei os certificados em todas a estações.

    Seguem as configurações do Squid, agradeço desde já quem puder ajudar.
    Obrigado!











  • @gui.ap:

    Erros como: NET::ERR_CERT_COMMON_NAME_INVALID

    Limitação do squid, tente usar o e2guardian. Nele essa configuração de certificado já está ok.



  • Obrigado, vou tentar aqui.



  • @marcelloc:

    @gui.ap:

    Erros como: NET::ERR_CERT_COMMON_NAME_INVALID

    Limitação do squid, tente usar o e2guardian. Nele essa configuração de certificado já está ok.

    Marcelloc eu estou muito ansioso pra poder a dominar o e2guardian, só que eu queria mais material. Rs



  • @danilosv.03:

    Marcelloc eu estou muito ansioso pra poder a dominar o e2guardian, só que eu queria mais material. Rs

    Assistiu o vídeo que eu gravei e viu os tutoriais do tópico?



  • Fui tentar assistir de novo e não consegui. Eu vi apenas um vídeo.



  • @marcelloc:

    @danilosv.03:

    Marcelloc eu estou muito ansioso pra poder a dominar o e2guardian, só que eu queria mais material. Rs

    Assistiu o vídeo que eu gravei e viu os tutoriais do tópico?

    Os videos são públicos? Se sim, pode compartilhar o endereço para acesso ao conteúdo? Vlw



  • @NewPR:

    Os videos são públicos? Se sim, pode compartilhar o endereço para acesso ao conteúdo? Vlw

    Screecast e vídeo de overview da ferramenta gratuitos

    https://forum.pfsense.org/index.php?topic=128127.msg733019#msg733019



  • @marcelloc:

    @gui.ap:

    Erros como: NET::ERR_CERT_COMMON_NAME_INVALID

    Limitação do squid, tente usar o e2guardian. Nele essa configuração de certificado já está ok.

    Marcelo, dei uma olhada nas suas dicas aqui do forum e no video que vc fez sobre o e2guardian, então fim um ambiente de testes igual ao que tenho funcionando, porém troquei o squidguard pelo e2guardian.

    Meu squid é autenticado pelo CP, e uso transparente com certificado nas maquinas, porém não consegui fazer funcionar.

    Eu criei os grupos e coloquei os usuários neles la no e2guardian, mas os sites https apresentam erros e não bloqueia.

    Acho que o squid não esta enviado os usuários pro e2guardian e deve er algo errado com o ssl.
    Segue abaixo o prints das minhas configs, se puder ajudar, Obrigado!




















  • @gui.ap:

    @marcelloc:

    @gui.ap:

    Erros como: NET::ERR_CERT_COMMON_NAME_INVALID

    Limitação do squid, tente usar o e2guardian. Nele essa configuração de certificado já está ok.

    Marcelo, dei uma olhada nas suas dicas aqui do forum e no video que vc fez sobre o e2guardian, então fim um ambiente de testes igual ao que tenho funcionando, porém troquei o squidguard pelo e2guardian.

    Meu squid é autenticado pelo CP, e uso transparente com certificado nas maquinas, porém não consegui fazer funcionar.

    Eu criei os grupos e coloquei os usuários neles la no e2guardian, mas os sites https apresentam erros e não bloqueia.

    Acho que o squid não esta enviado os usuários pro e2guardian e deve er algo errado com o ssl.
    Segue abaixo o prints das minhas configs, se puder ajudar, Obrigado!

    Dá uma olhadinha no tutorial abaixo. :D
    https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/



  • Obrigado, mas eu já tinha olhado, no meu caso eu tenho certificados instalados nas estações.


Log in to reply