HTTPS + Squidguard/Squid + Proxy Não Transparente
-
Boa tarde
Fiz uma pesquisa aqui no site mas não achei uma solução.
Tenho o PFSense instalado, squidguard bloqueando os sites ok.
Faço a config do proxy por GPO para as estações.
Mas colocou https na frente do site, pimba! Abre normalmente!
hotmail.com - Bloqueado / https://www.hotmail.com - Permitido
Deve ser alguma coisa boba que estou esquecendo, pois já vi que o proxy sendo não transparente filtra https de boa!
Qual é a pegadinha? -
Cola o log do squid pra mim ver.
-
Engraçado é que no log de acesso não mostra as requisições https feitas usando proxy:
1343939556.543 28 192.168.1.248 TCP_MISS/403 708 GET http://weather.service.msn.com/data.aspx? - DIRECT/192.168.1.47 text/html
1343939557.506 31 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939557.545 32 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939558.961 27 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939558.997 28 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939559.029 28 192.168.1.111 TCP_MISS/403 699 GET http://evsecure-crl.verisign.com/pca3-g5.crl - DIRECT/192.168.1.47 text/html
1343939559.576 29 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939559.611 28 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939559.645 30 192.168.1.111 TCP_MISS/403 699 GET http://evsecure-crl.verisign.com/pca3-g5.crl - DIRECT/192.168.1.47 text/html
1343939560.358 29 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939560.395 29 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939560.429 31 192.168.1.111 TCP_MISS/403 699 GET http://evsecure-crl.verisign.com/pca3-g5.crl - DIRECT/192.168.1.47 text/html
1343939561.004 32 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939561.040 29 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939561.076 31 192.168.1.111 TCP_MISS/403 699 GET http://evsecure-crl.verisign.com/pca3-g5.crl - DIRECT/192.168.1.47 text/html
1343939562.405 28 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939562.443 31 192.168.1.111 TCP_MISS/403 689 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.1.47 text/html
1343939562.474 27 192.168.1.111 TCP_MISS/403 699 GET http://evsecure-crl.verisign.com/pca3-g5.crl - DIRECT/192.168.1.47 text/html -
O browser tá orientado para o ip do proxy e porta ?
-
Tá sim!
-
Qual versão do squid voce tá usando ?
-
2.7.9 pkg v.4.3.1
-
Cola a conf do squid?
-
Do not edit manually !
http_port 192.168.1.47:3128
icp_port 0pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/Portuguese
icon_directory /usr/local/etc/squid/icons
visible_hostname fwbnu.jm.com.br
cache_mgr ti@mainhardt.com.br
access_log /dev/null
cache_log /var/squid/logs/cache.log
cache_store_log none
logfile_rotate 0
shutdown_lifetime 3 seconds
uri_whitespace stripcache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 100 16 256
minimum_object_size 0 KB
maximum_object_size 10 KB
offline_mode offNo redirector configured
Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535
acl sslports port 443 563
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
acl allowed_subnets src 192.168.1.0/24 192.168.0.0/24 192.168.3.0/24
cache deny dynamic
http_access allow manager localhosthttp_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
http_access allow localhost
request_body_max_size 0 KB
reply_body_max_size 0 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allCustom options
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
redirector_bypass on
redirect_children 3Setup allowed acls
http_access allow allowed_subnets
Default block all to be sure
http_access deny all
-
Senão me engano não precisa dessas duas linhas para o squidGuard funcionar:
redirector_bypass on
redirect_children 3Testa e poste os resultados
-
Só em setar o ip e a porta do proxy no navegação, o squid captura as conexões HTTP/HTTPS.
No caso do proxy transparente ele não faz isso, apenas HTTP. -
Se eu vou no firewall e bloqueio todas as portas, menos a 3128, e saiu pelo squid, funciona beleza, mas não está bloqueando os sites https, como relatado acima.
Estas linhas que passasse foi o próprio squidguard que inseriu na conf, mas mesmo removendo o problema persiste. -
Te aconselho como amigo, usa o dansguardian ele bloqueia https.
-
Po, o squidguard ta rodando redondo.
-
Faça um teste no squid então, vê se consegue bloquear.
acl httpsfail dst www.facebook.com
acl httpsfail dst www.orkut.comhttp_access deny httpsfail CONNECT
-
Olha esse post.
http://servercomputing.blogspot.com.br/2012/01/block-facebook-in-squid-proxy-server.html
-
Fui equivocado, não funcionou tambem…
Nem com as dicas do site acima... -
Tente bloquear a saida das portas pra fora.
-
Já estão, hoje todos saem pelo proxy.
Senão não navegam. -
up