Certificado con Paginas Bloqueadas

ziroch

Buenos dias a todos este es mi primer post y quiesiera contar con su ayuda.

El problema que tengo es el siguiente:
Tengo configurado el Pfsense 2.0.2RC4.
Tengo configurado el acceso a intenet de mi lan, mediante proxy trasnparente.
El problema que tengo es que al tratar de ingresar a las paginas que estan bloqueadas, solicita aceptar un certificado y trata de dirigirlo hacia https.

Me gustaria contar con su ayuda, desde ya muchas gracias

bellera

¿Definiste una página de redireccionamiento?

¿Estás con squid + squidGuard? ¿O sólo squid?

Saludos,

Josep Pujadas-Jubany

ziroch

Estoy usando Squid + Squidguard.

Otra descripcion mas: Tengo 2 grupos de usuarios: Full y Restringidos.
Y tengo unas paginas que estan bloqueadas para todos: Ejemplo www.facebook.com
Cuando trato de entrar a http://www.facebook.com, me pide que acepte un certificado, si acepto me direccion a https://www.facebook.com y ahi funciona mis bloqueos.

Pero ese certificado solo me da con las paginas que estan bloqueadas. y la redireccion al https

ziroch

Adjunto una imagen de lo que tengo al trata de ingresar

certificado.png_thumb

bellera

Bueno, cuando le das a www.facebook.com en un ordenador sin proxy la dirección cambia a https://www.facebook.com

Tienes que indicar explícitamente http (http://www.facebook.com) para que no cambie a modo https.

¿ Qué pasa si le das directamente a https://www.facebook.com ?

Las conexiones https no pueden ir por un proxy transparente. La razón es que el navegador no sabe que tiene un proxy y no le entrega la URL. El proxy tampoco puede saberla porque la comunicación va encriptada.

Saludos,

Josep Pujadas-Jubany

bellera

¿Tienes algo puesto en…?

[Services] [Proxy filter] [Common ACL]

Proxy Denied Error
The first part of the error message displayed to clients when denied. Defaults to "Request denied by $g['product_name'] proxy"
Redirect mode
Select redirect mode here.
Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible.
Options: ext url err page , ext url redirect , ext url as 'move' , ext url as 'found'.
Redirect info

ziroch

Ingresando https://www.facebook.com, ingresa sin problemas a la web https del facebook, aca me doy cuenta que no bloqueo el https :(
Pero eso es otro tema, lo que me preocupa es que al poner http el me despliegue el certificado.

bellera

¿Tienes algo puesto en…?

[Services] [Proxy filter] [Common ACL]

Proxy Denied Error
The first part of the error message displayed to clients when denied. Defaults to "Request denied by $g['product_name'] proxy"
Redirect mode
Select redirect mode here.
Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible.
Options: ext url err page , ext url redirect , ext url as 'move' , ext url as 'found'.
Redirect info
Posted on: Today at 10:29:04 am
Posted by: bellera

ziroch

Esto tengo en [Services] [Proxy filter] [Common ACL]

![Pantallazo-pfsense.metalurgicavera.com.py - Proxy filter SquidGuard: Common Access Control List (ACL) - Mozilla Firefox.png](/public/imported_attachments/1/Pantallazo-pfsense.metalurgicavera.com.py - Proxy filter SquidGuard: Common Access Control List (ACL) - Mozilla Firefox.png)
![Pantallazo-pfsense.metalurgicavera.com.py - Proxy filter SquidGuard: Common Access Control List (ACL) - Mozilla Firefox.png_thumb](/public/imported_attachments/1/Pantallazo-pfsense.metalurgicavera.com.py - Proxy filter SquidGuard: Common Access Control List (ACL) - Mozilla Firefox.png_thumb)

ZAC

Ah, solo una cosa, ¿no sera la configuración de los sitios?, digo, por ejemplo, a mi facebook, hotmail, entre otros, los tengo configurados para que entren como https, osea, mi usuario, mis preferencias, hacen que vaya a https.

Aunque no comprendo lo del certificado

bellera

Quita lo que tienes en Proxy Denied Error

Tienes la advertencia más abajo:

if you use 'transparent proxy', then 'int' redirect mode will not accessible.
Options: ext url err page , ext url redirect , ext url as 'move' , ext url as 'found'

Tienes que poner una página de redireccionamiento externa, en todo caso.

Si tienes un servidor web corporativo que administres te será fácil.

Si no lo tienes, haz la prueba poniendo algo como http://www.google.com

Saludos,

Josep Pujadas-Jubany

ziroch

Borre lo que tenia alli, pero me sigue apareciendo el certificado.

No sera un problema de certificado?

config_common_acl.png_thumb

ziroch

Esta es la configuracion del certificado

certificado.png_thumb

ziroch

Este problema solo tengo con las paginas bloqueadas

bellera

Tienes la advertencia más abajo:

if you use 'transparent proxy', then 'int' redirect mode will not accessible.
Options: ext url err page , ext url redirect , ext url as 'move' , ext url as 'found'

Tienes que poner una página de redireccionamiento externa, en todo caso.

Si tienes un servidor web corporativo que administres te será fácil.

Si no lo tienes, haz la prueba poniendo algo como http://www.google.com

Si el proxy está en modo transparente el modo "int" de redireccionamiento no se puede emplear.
Debe usarse cualquiera de las opciones 'ext'. Selecciona ext redirect y pon, para probar, http://www.google.com

Saludos,

Josep Pujadas-Jubany

ziroch

Mirando un poco mas en el link que me da veo esta direccion en el navegador:
https://192.168.0.10/sgerror.php?url=403%20PAGINA%20BLOQUEDA%20POR%20SEGURIDAD&a=192.168.0.2&n=&i=&s=Restringidos&t=Blocked&u=http://www.facebook.com/

Y en el log del proxy tengo este log:
[sg_redirector_base_url] Select redirector base url (http://192.168.0.10:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)

Y creo que es cuando trata de conectarse al puerto 403 y ahi ya no le gusta el certificado

ziroch

Pero viste que en la opcion te dice.
int error page (enter error message)

y ahi abajo se pone el mensaje de error.

LEPM

@ziroch:

Este problema solo tengo con las paginas bloqueadas

Pon en redirector una pagina externa,para cuando se intente ver una no permitida.
"http://www.google.com/hosting" sin las comillas funciona muy bien y te permite ver porque fue bloqueada
por ejemplo al intententar ver facebook(si no lo tinenes permitido) ves algo asi:

debe quedar asi:

bellera

Prueba lo que te dijimos, por favor. LEPM te dejó una imagen en el post anterior a este.

Y en el log del proxy tengo este log:
[sg_redirector_base_url] Select redirector base url (http://192.168.0.10:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)

Y creo que es cuando trata de conectarse al puerto 403 y ahi ya no le gusta el certificado

https es puerto TCP 443, no 403. El puerto en la conexión que ves es el 80 (después de los dos puntos detrás de la IP).

403 es el código de estado HTTP, http://es.wikipedia.org/wiki/Anexo:C%C3%B3digos_de_estado_HTTP

Concretamente, prohibido…

Saludos,

Josep Pujadas-Jubany

ziroch

Tienes razon ese es el codigo de error.
Ahora si indico como Redirect Info : http://www.google.com/hosting, me sale el error de la pagina de google correcto.

Pero lo que necesito es ponerle directamente un error en el navegador como funcionanba antes, probe en otro server que tengo y funciona, osea no me tira el certificado.