Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Duvida: Squid+SquidGuard com Access Point

    Scheduled Pinned Locked Moved Portuguese
    9 Posts 2 Posters 944 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      GustavoPru
      last edited by

      Pessoal, tudo bem?

      Estou com uma dúvida e ainda não consegui pensar em algo que possa solucionar o meu problema. Aqui no trampo temos um Access Point configurado permitindo acesso de visitantes. Configurei o Squid+SquidGuard e ele tem filtrado, para todos os clientes do AP, o tráfego da porta 80.

      A dúvida é: Como faço para filtrar a porta 443??

      Se eu fizer um nat/Port Forward mas o tráfego 443 para de funcionar (natural isso até).

      Passe adiante todo conhecimento que adquiriu.

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Habilita a interceptação de ssl no squid ou instala o e2guardian.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • G
          GustavoPru
          last edited by

          marcelloc, eu tenho duas LANs distintas. A LAN-01 o acesso é restrito ao funcionários e aos computadores da empresa. Já a LAN-02 é destinada ao laboratório e wireless.

          As regras no Squid são distintas para cada uma dessas LANs, pois a LAN-02 precisa ter mais conteúdo bloqueado, mas a LAN-01 precisa de acesso a diversos sistemas do governo, ficando com um tráfego mais livre.

          Eu sei que posso escolher qual interface ativar a interceptação SSL, que no caso ficaria para a LAN-02, mas a minha dúvida é: Como tornar transparente para o usuário, principalmente aquele que usar o celular, a questão do certificado (CA - Certificate Authority)?

          Que configuração você me sugeria?

          Passe adiante todo conhecimento que adquiriu.

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            @GustavoPru:

            Que configuração você me sugeria?

            No squid a opção é splice all para verificar as acls baseado no conteúdo dos certificados.

            No e2guardian, você habilita a verificação de ssl na aba daemon mas no grupo não habilita o mitm.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • G
              GustavoPru
              last edited by

              marcelloc, meu proxy é transparente, ativando a interceptação ssl na LAN-02 ficará "transparente" ao usuário? Vou ser sincero, no período noturno existe registro de acesso a sites pornográficos tipo xvideos, que são https. Atualmente não filtra isso, mas ativando o ssl ficará transparente o filtro https (443) para os usuários?

              Fiz vários testes aqui e aparentemente está funcionando corretamente conforme você falou do ssl no squid. Está interceptando corretamente, inclusive nos celulares. Mas como estou sempre aprendendo sobre o pfSense, fiquei na dúvida conforme falei anteriormente.

              Passe adiante todo conhecimento que adquiriu.

              1 Reply Last reply Reply Quote 0
              • G
                GustavoPru
                last edited by

                Bom, após alguns dias de testes e análise percebi que a interceptação começou a travar a conexão dos dispositivos que não estavam com proxy configurado no sistema/navegador. Isso aconteceu após reboot do pfsense.
                Alguma ideia do que pode ser isso?

                Obs.: Estou utilizando Access Point e Roteador Wifi para distribuir o sinal, todos estes equipamentos estão configurados com o dhcp deles mesmos, sem pegar nada do pfsense.

                Passe adiante todo conhecimento que adquiriu.

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  Agende um reload das configurações uma vez por dia por exemplo. Se olhar os tópicos  do projeto, os próprios desenvolvedores do E2guardian recomendam um "refresh" no processo a cada x tempos.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • G
                    GustavoPru
                    last edited by

                    Você diz criar um refresh/reload das configurações do squid, mas isso é feito usando o cron ou tem alguma configuração no próprio squid? Pergunto pois nunca fiz isso.

                    Passe adiante todo conhecimento que adquiriu.

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @GustavoPru:

                      Você diz criar um refresh/reload das configurações do squid, mas isso é feito usando o cron ou tem alguma configuração no próprio squid? Pergunto pois nunca fiz isso.

                      via cron mesmo.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.