Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Boa noite.
Aproveitando sobre a deixa do marcelloc sobre o bloqueio de tor e ultrasurf que podem utilizar https posso estar enganado mas nos meus testes
os mesmos não conectaram.
Fiz a seguinte maneira não sei se é a correta mas funcionou.
Nos rules da lan retirei a regra padrão de libera a saida de qualquer pacote.
Fiz as rules informando primeiro o que desejo pode sair pela lan por exemplo saida na porta 53, 21, 25 e endereços do governo.
Sem seguida direcionei todo trafego vindo da lan para a porta 3128 que e do squid.
Desta forma pelo meus testes o que esta cima da regra de direcionamento para o squid sai blz, o restante é gerenciado pelo squid.
Então desta forma eu testei o tor e os ultrasurf e proxy externos que utiliza diversas portas inclusve a 80 e 443 e 3128 não conseguiram conexão. -
Ainda estou com dificuldades em integrar o squidguard no squid3-dev, já li no forum que o Custom Settings / Integrations não funciona para a versão 3.x, o que devo colocar no Custom Options? Tenho que desinstalar a versão 2.7 que instala junto com o squidguard 1.4? Tenho que alterar o squidguard_configuration.inc conforme indicado em outro post? Não encontrei no forum nenhum tutorial de squid3-dev + squidguard.
–----------------------------------------------------------------------------
squid config options
------------------------------------------------------------------------------
define('REDIRECTOR_OPTIONS_REM', '# squidGuard options');
define('REDIRECTOR_PROGRAM_OPT', 'url_rewrite_program');
define('REDIRECT_BYPASS_OPT', 'url_rewrite_bypass');
define('REDIRECT_CHILDREN_OPT', 'url_rewrite_children');
define('REDIRECTOR_PROCESS_COUNT', '5'); # redirector processes count will started[RESOLVIDO] Fiz as alterações no arquivo squidguard_configuration.inc e desabilitei a integração LDAP do squidGuard, o filtro agora funciona em HTTPS
[NÃO RESOLVIDO] Redirecionamento do squidguard para sgerror.php, memso subindo outra instância do lighttpd na porta 80, se a página bloqueada for HTTP o redirecionamento funciona normalmente. -
Pelo que eu entendi ele bloqueia https? dae não precisaria da porta 443 bloqueada?
-
Pelo que eu entendi ele bloqueia https? dae não precisaria da porta 443 bloqueada?
O squid3-dev, configurado corretamente Filtra https tanto com proxy transparente quanto não transparente.
-
Marcelloc, alguma chance do redirecionamento do squidGuard funcionar com a filtragem ssl, já tentei de tudo e continua dando erro do squid que o host http não pode ser encontrado, quando a pagina bloqueada é http funciona corretamente. Outra coisa marquei para teste "Accept remote server certificate Errors" e agora não consigo desmarcar de jeito nenhum, o que fazer?
-
-
Obrigado Marcelloc pela dica :), e sobre o redirecionamento https no squidGuard? Alguma chance de funcionar?
-
Já tentou outros redirects?
-
Como assim Marcelloc, outros redirects? Outro pkg para substituir o squidGuard como filtro? Antes usava o IPCop com o URLfilter e nunca tive problemas com redirecionamento de URL, agora estou migrando paro pfSense estou tendo um pouco de dificuldade, but, so far so good.
-
Como assim Marcelloc, outros redirects?
Quis dizer o tipo de redirect configurado no squidguard.
-
Ivart se não me engano o marcelloc esta perguntando o tipo de redirecionamento que você esta utilizando no squidguard para apresentar a pagina de erro quando alguem tenta acessar um conteudo proibido.
Na aba Group ACLs tem as ACLs do grupo que você criou então o atributo.
Redirect mode:Qual valor você esta utilizando
-
Bom, estou usando o "ext url error page" e está funcionando normalmente com as páginas bloqueadas sem SSL (http), com as páginas bloqueadas em https fiz testes com e sem interceptação SSL, sem interceptação o browser retorna o erro ERR_TUNNEL_CONNECTION_FAILED e com a interceptação o Squid retorna erro e não faz o redirecionamento programado no squidguard (ver imagem). Já tentei todas as outras opções de redirecionamento e somente funciona com páginas http bloqueadas.
-
Alguem ai esta com problemas para adicionar os sites na lista branca? Mesmo eu colocando os sites la na lista branca eles continuam aparecendo no log do squid, isso siginifica que está passando pelo filtro correto? Imagens da configuração em anexo.
Alguns sites também estão dando este erro:
O seguinte erro foi encontrado ao tentar recuperar a URL: ://www.manicomio-share.com:443 Falha ao estabelecer uma conexão segura com 141.105.65.169 The system returned: (92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY) SSL Certficate error: certificate issuer (CA) not known: /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2 Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host. Seu administrador do cache é admin@localhost.Att. Lucas
-
Alguem ai esta com problemas para adicionar os sites na lista branca? Mesmo eu colocando os sites la na lista branca eles continuam aparecendo no log do squid, isso siginifica que está passando pelo filtro correto? Imagens da configuração em anexo.
Hoje eu fiz uma nova instalação do pfsense 2.1-rc0 com squidguard e squid3-dev. E apresentou este mesmo problema. Como se o filtro ssl estivesse ignorando a white list. Muito estranho…
-
Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:
acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sites -
Lucasbira, que opções de verificação de SSL você marcou na configuração do swuid?
A whitelist pode ser usada para não interceptar sites com o proxy marcado no cliente. Para proxy transparente, você precisa cadastrar os IPS que não serão filtrados pelo proxy transparente.
-
Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:
acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sitesBom dia Ivart
Cara estou quebrando a cabeça para liberar os sites do windows update. Na whitelist não está funcionando. Através do seu procedimento no custom Options do squid3-dev ta rolando de boa? O procedimento é só criar uma acl dstdomain no caminho "/var/squid/acl/" e acrescentar o código no custom? Dentro desta acl o sites são colocados com "." ou ""?
".windowsupdate.com" ou ".windowsupdate.com"?Fico no aguardo
-
Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:
acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sitesVou testar desta maneira obrigado.
Lucasbira, que opções de verificação de SSL você marcou na configuração do swuid?
A whitelist pode ser usada para não interceptar sites com o proxy marcado no cliente. Para proxy transparente, você precisa cadastrar os IPS que não serão filtrados pelo proxy transparente.
Nao marquei nenhuma das duas opcoes marcello.
Ententdi, é que eu queria filtrar todos os ips e deixar alguns dominios sem filtrar, se no TProxy não é possivel vou fazer da forma que o Ivart falou pra ver se da certo.
Obrigado.
-
Sem sucesso usando a dica do Ivart, ainda continua aparecendo o erro.. Só da certo se eu colocar o ip no Unrestricted IPs. Mas mesmo assim tem que ter o certificado instalado na maquina se não num fica dando msg de não confiavel.
-
Não utilizo proxy transparente, com autenticação tem criar outra lista de sites que não requerem autenticação, no Custom Options do squid3-dev:
acl unauth_sites dstdomain "/var/squid/acl/unauth_sites.acl" acl port_80 port 80 acl port_443 port 443 http_access allow http port_80 unauth_sites http_access allow CONNECT port_443 unauth_sitesUtilize o pkg filer para criar o arquivo /var/squid/acl/unauth_sites.acl e coloque dentro dele os sites que não precisam de autenticação
.windows.com
.windowsupdate.com
.windowsupdate.microsoft.com
.update.microsoft.comAcompanhe pela aba Real Time (Status: Proxy Monitor) os endereços com Status TCP_DENIED/407 que foram negados por erro de autenticação.
