Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Bom, estou usando o "ext url error page" e está funcionando normalmente com as páginas bloqueadas sem SSL (http), com as páginas bloqueadas em https fiz testes com e sem interceptação SSL, sem interceptação o browser retorna o erro ERR_TUNNEL_CONNECTION_FAILED e com a interceptação o Squid retorna erro e não faz o redirecionamento programado no squidguard (ver imagem). Já tentei todas as outras opções de redirecionamento e somente funciona com páginas http bloqueadas.
-
Alguem ai esta com problemas para adicionar os sites na lista branca? Mesmo eu colocando os sites la na lista branca eles continuam aparecendo no log do squid, isso siginifica que está passando pelo filtro correto? Imagens da configuração em anexo.
Alguns sites também estão dando este erro:
O seguinte erro foi encontrado ao tentar recuperar a URL: ://www.manicomio-share.com:443 Falha ao estabelecer uma conexão segura com 141.105.65.169 The system returned: (92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY) SSL Certficate error: certificate issuer (CA) not known: /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2 Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host. Seu administrador do cache é admin@localhost.Att. Lucas
-
Alguem ai esta com problemas para adicionar os sites na lista branca? Mesmo eu colocando os sites la na lista branca eles continuam aparecendo no log do squid, isso siginifica que está passando pelo filtro correto? Imagens da configuração em anexo.
Hoje eu fiz uma nova instalação do pfsense 2.1-rc0 com squidguard e squid3-dev. E apresentou este mesmo problema. Como se o filtro ssl estivesse ignorando a white list. Muito estranho…
-
Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:
acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sites -
Lucasbira, que opções de verificação de SSL você marcou na configuração do swuid?
A whitelist pode ser usada para não interceptar sites com o proxy marcado no cliente. Para proxy transparente, você precisa cadastrar os IPS que não serão filtrados pelo proxy transparente.
-
Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:
acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sitesBom dia Ivart
Cara estou quebrando a cabeça para liberar os sites do windows update. Na whitelist não está funcionando. Através do seu procedimento no custom Options do squid3-dev ta rolando de boa? O procedimento é só criar uma acl dstdomain no caminho "/var/squid/acl/" e acrescentar o código no custom? Dentro desta acl o sites são colocados com "." ou ""?
".windowsupdate.com" ou ".windowsupdate.com"?Fico no aguardo
-
Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:
acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sitesVou testar desta maneira obrigado.
Lucasbira, que opções de verificação de SSL você marcou na configuração do swuid?
A whitelist pode ser usada para não interceptar sites com o proxy marcado no cliente. Para proxy transparente, você precisa cadastrar os IPS que não serão filtrados pelo proxy transparente.
Nao marquei nenhuma das duas opcoes marcello.
Ententdi, é que eu queria filtrar todos os ips e deixar alguns dominios sem filtrar, se no TProxy não é possivel vou fazer da forma que o Ivart falou pra ver se da certo.
Obrigado.
-
Sem sucesso usando a dica do Ivart, ainda continua aparecendo o erro.. Só da certo se eu colocar o ip no Unrestricted IPs. Mas mesmo assim tem que ter o certificado instalado na maquina se não num fica dando msg de não confiavel.
-
Não utilizo proxy transparente, com autenticação tem criar outra lista de sites que não requerem autenticação, no Custom Options do squid3-dev:
acl unauth_sites dstdomain "/var/squid/acl/unauth_sites.acl" acl port_80 port 80 acl port_443 port 443 http_access allow http port_80 unauth_sites http_access allow CONNECT port_443 unauth_sitesUtilize o pkg filer para criar o arquivo /var/squid/acl/unauth_sites.acl e coloque dentro dele os sites que não precisam de autenticação
.windows.com
.windowsupdate.com
.windowsupdate.microsoft.com
.update.microsoft.comAcompanhe pela aba Real Time (Status: Proxy Monitor) os endereços com Status TCP_DENIED/407 que foram negados por erro de autenticação.
-
Boa tarde a todos
A whitelist do squid funciona porém somente em alguns casos conforme post do nosso amigo abaixo
Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:
acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sitesResolvi meu problema criando um alias com o range dos sites que não quero que passe pelo proxy e adicionei o alias na aba services\proxy server\Bypass proxy for these destination IPs:
Agora estou conseguindo fazer as atualizações do windows normalmente.
Minha opnião faça a inclusão do site no whitelist e teste. Caso não libere do bloqueio encontre o range do site e adicione no alias que está adicionado no campo Bypass proxy for these destination IPs.
Falow
-
Como eu postei anteriormente, a whitelist não tem ação no filtro SSL com o proxy em modo transparente. Voce precisa configurar o bypass nesta situação.
-
@LCantano:
Boa tarde a todos
A whitelist do squid funciona porém somente em alguns casos conforme post do nosso amigo abaixo
Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:
acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sitesResolvi meu problema criando um alias com o range dos sites que não quero que passe pelo proxy e adicionei o alias na aba services\proxy server\Bypass proxy for these destination IPs:
Agora estou conseguindo fazer as atualizações do windows normalmente.
Minha opnião faça a inclusão do site no whitelist e teste. Caso não libere do bloqueio encontre o range do site e adicione no alias que está adicionado no campo Bypass proxy for these destination IPs.
Falow
Agora deu certo. Valeu parceiro!
Como eu postei anteriormente, a whitelist não tem ação no filtro SSL com o proxy em modo transparente. Voce precisa configurar o bypass nesta situação.
Valeu pela ajuda e paciencia com os leigos.
Att. lucas
-
Ola removi o squid3 e squidguard e instalei o squid squid 3.3.5, mas ele não carrega o serviço.
-
Ola removi o squid3 e squidguard e instalei o squid squid 3.3.5, mas ele não carrega o serviço.
Qual serviço? squid ou squidguard? já leu o topico? fez o download das libs? entendeu que o squidguard na versão 3.3 é iniciado sob demanda?
-
Boa noite Marcelo
Acho que o pacote de instalação do squid3-dev está com algum problema conforme comentei no post abaixo.
http://forum.pfsense.org/index.php/topic,63935.0.html
-
Pessoal Boa Tarde,
Alguem já testou o squid3-dev com o Dansguardian ?
Estou começando um ambiente de teste e gostaria de saber se tem gente usando e como está se comportando o ambiente. -
Sim, o pacote squid-3.3.8.tbz não está em http://files.pfsense.org/packages/amd64/8/All/
-
Bom dia Marcelloc!
Andei lendo o tópico, mas fiquei confuso com algumas coisas. Eu não tenho interesse em usar o filtro SSL por enquanto, a maioria dos meus clientes usa proxy não transparente com regras de firewall liberando só estritamente o necessário.
Minhas perguntas são:
1 - Essa versão em desenvolvimento é a mesma que está na lista de pacotes do PFSense como Squid3-Dev?
2 - Nessa versão já está incluida a questão do balanceamento de carga e Fail Over?
3 - Como é feita a integração com o SquidGuard e com o AD?(Se puder passar o link para a resposta do tópico em especifico, pois li aqui e não filtrei a informação correta)
4 - Para autenticação transparente, usando aquele esquema do Samba, é possivel usar com essa versão? -
1 - Essa versão em desenvolvimento é a mesma que está na lista de pacotes do PFSense como Squid3-Dev?
Exatamente a mesma
2 - Nessa versão já está incluida a questão do balanceamento de carga e Fail Over?
Ainda não incluí nenhum teste ou regra a mais para balanceamento de link.
Se não houve alteração no tratamento das regras da aba floating na 2.0.3 ou na 2.1, os tutoriais disponíveis no fórum devem funcionar.3 - Como é feita a integração com o SquidGuard e com o AD?(Se puder passar o link para a resposta do tópico em especifico, pois li aqui e não filtrei a informação correta)
A integração que o Luis Gustavo fez, já faz parte do pacote.
4 - Para autenticação transparente, usando aquele esquema do Samba, é possivel usar com essa versão?
Perfeitamente. :)
-
Fiz uma vm no XenServer e não estou conseguindo fazer o proxy autenticado com o squid3-dev.
Eu fiz um teste. Criei uma nova vm e instalei apenas o squid (2). funcionou ok.
Então desinstalei o squid(2) e instalei o squid3 e aquelas dependencias lá! não mudei nenhuma configuração, contudo não está funcionando. O browser não abre o prompt pra autenticação!any ideas?
