Duvida: Squid+SquidGuard com Access Point



  • Pessoal, tudo bem?

    Estou com uma dúvida e ainda não consegui pensar em algo que possa solucionar o meu problema. Aqui no trampo temos um Access Point configurado permitindo acesso de visitantes. Configurei o Squid+SquidGuard e ele tem filtrado, para todos os clientes do AP, o tráfego da porta 80.

    A dúvida é: Como faço para filtrar a porta 443??

    Se eu fizer um nat/Port Forward mas o tráfego 443 para de funcionar (natural isso até).



  • Habilita a interceptação de ssl no squid ou instala o e2guardian.



  • marcelloc, eu tenho duas LANs distintas. A LAN-01 o acesso é restrito ao funcionários e aos computadores da empresa. Já a LAN-02 é destinada ao laboratório e wireless.

    As regras no Squid são distintas para cada uma dessas LANs, pois a LAN-02 precisa ter mais conteúdo bloqueado, mas a LAN-01 precisa de acesso a diversos sistemas do governo, ficando com um tráfego mais livre.

    Eu sei que posso escolher qual interface ativar a interceptação SSL, que no caso ficaria para a LAN-02, mas a minha dúvida é: Como tornar transparente para o usuário, principalmente aquele que usar o celular, a questão do certificado (CA - Certificate Authority)?

    Que configuração você me sugeria?



  • @GustavoPru:

    Que configuração você me sugeria?

    No squid a opção é splice all para verificar as acls baseado no conteúdo dos certificados.

    No e2guardian, você habilita a verificação de ssl na aba daemon mas no grupo não habilita o mitm.



  • marcelloc, meu proxy é transparente, ativando a interceptação ssl na LAN-02 ficará "transparente" ao usuário? Vou ser sincero, no período noturno existe registro de acesso a sites pornográficos tipo xvideos, que são https. Atualmente não filtra isso, mas ativando o ssl ficará transparente o filtro https (443) para os usuários?

    Fiz vários testes aqui e aparentemente está funcionando corretamente conforme você falou do ssl no squid. Está interceptando corretamente, inclusive nos celulares. Mas como estou sempre aprendendo sobre o pfSense, fiquei na dúvida conforme falei anteriormente.



  • Bom, após alguns dias de testes e análise percebi que a interceptação começou a travar a conexão dos dispositivos que não estavam com proxy configurado no sistema/navegador. Isso aconteceu após reboot do pfsense.
    Alguma ideia do que pode ser isso?

    Obs.: Estou utilizando Access Point e Roteador Wifi para distribuir o sinal, todos estes equipamentos estão configurados com o dhcp deles mesmos, sem pegar nada do pfsense.



  • Agende um reload das configurações uma vez por dia por exemplo. Se olhar os tópicos  do projeto, os próprios desenvolvedores do E2guardian recomendam um "refresh" no processo a cada x tempos.



  • Você diz criar um refresh/reload das configurações do squid, mas isso é feito usando o cron ou tem alguma configuração no próprio squid? Pergunto pois nunca fiz isso.



  • @GustavoPru:

    Você diz criar um refresh/reload das configurações do squid, mas isso é feito usando o cron ou tem alguma configuração no próprio squid? Pergunto pois nunca fiz isso.

    via cron mesmo.