Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Instala o crt da ca em cada maquina.
Importe como ca confiável.
-
Instala o crt da ca em cada maquina.
Importe como ca confiável.
aí que está! eu já fiz isso!
Sem configurar o proxy no navegador o site não da erro nenhum de ssl. Funciona perfeitamente! Contudo ao configurar o proxy o erro de ssl começa a ser apresentado!
Estou testando isso acessando o pfSense com ssl ativado (https) e nas telas de erro do proxy. -
Neste caso deve ser necessário incluir o CRT da ca na lista de certificados raiz que o squid está lendo.
Não lembro de cabeça onde fica.
-
Habilite o ipv6, mate todos os processos do squid e salve a configuração.
Ia mesmo demorar para chegar nesse ponto. Agora funcionou certinho.
Pelo que entendi o squid tem algum tipo de suporte nativo a IPv6 que dependendo do contexto pode apresentar problema ao manipular sockets.
Se estiver fácil de apontar material de referência sobre esse assunto, estaria disposto a ler. -
Não sei se é dependência ou bug.
Tenho uma versão do squid 3.3.5 no meu repositório sem o ipv6 compilado e sobe tranquilo na 2.0.3 e 2.1
-
Neste caso deve ser necessário incluir o CRT da ca na lista de certificados raiz que o squid está lendo.
Não lembro de cabeça onde fica.
joguei os certificados dentro das pastas /usr/local/share/certs e /usr/pbi/squid-amd64/share/certs, mas não surtiu efeito.
já reiniciei o servidor pra ver, mas também nada. -
Exportou colando o hash no nome do certificado?
/usr/bin/openssl x509 -hash -noout -in /tmp/cert.pem
trecho do código do squid-dev que gera isso
if ($cert_count < 10){ conf_mount_rw(); #create ca-root hashes from ca-root-nss package log_error("Creating root certificate bundle hashes from the Mozilla Project"); $cas=file(SQUID_LOCALBASE.'/share/certs/ca-root-nss.crt'); $cert=0; foreach ($cas as $ca){ if (preg_match("/--BEGIN CERTIFICATE--/",$ca)) $cert=1; if ($cert == 1) $crt.=$ca; if (preg_match("/-END CERTIFICATE-/",$ca)){ file_put_contents("/tmp/cert.pem",$crt, LOCK_EX); $cert_hash=array(); exec("/usr/bin/openssl x509 -hash -noout -in /tmp/cert.pem",$cert_hash); file_put_contents(SQUID_LOCALBASE."/share/certs/".$cert_hash[0].".0",$crt,LOCK_EX); $crt=""; $cert=0; } } }
-
Exportou colando o hash no nome do certificado?
/usr/bin/openssl x509 -hash -noout -in /tmp/cert.pem
trecho do código do squid-dev que gera isso
if ($cert_count < 10){ conf_mount_rw(); #create ca-root hashes from ca-root-nss package log_error("Creating root certificate bundle hashes from the Mozilla Project"); $cas=file(SQUID_LOCALBASE.'/share/certs/ca-root-nss.crt'); $cert=0; foreach ($cas as $ca){ if (preg_match("/--BEGIN CERTIFICATE--/",$ca)) $cert=1; if ($cert == 1) $crt.=$ca; if (preg_match("/-END CERTIFICATE-/",$ca)){ file_put_contents("/tmp/cert.pem",$crt, LOCK_EX); $cert_hash=array(); exec("/usr/bin/openssl x509 -hash -noout -in /tmp/cert.pem",$cert_hash); file_put_contents(SQUID_LOCALBASE."/share/certs/".$cert_hash[0].".0",$crt,LOCK_EX); $crt=""; $cert=0; } } }
não fiz isso aí não! e acho que também não entendi isso aí!
eu somente colei os .crt nos diretórios supracitados! Eu ainda não entendi o que eu devo fazer com esse código aí! sry, but I'm a newbie! -
O que você tem no diretório dos certificados?
Um monte de arquivos ou só um?
Consegue ver que são certificados e que o nome do arquivo é o hash gerado pelo comando do openssl que passei no post anterior?
-
Amigos,
Não sei se estou fazendo certo.
Tentei a instalação do squid3.3.8 através do pkg_add porém apresenta um erro ao baixar, segundo o repositorio e-sac.siteseguro.ws, a versão do samba3.6.3.
Ele informa que o pacote samba3.6.13 não foi encontrado.
Li que na descrição do pacote , é visto que o nome do pacote não confere com o encontrado no site.
Queria saber se isso é proposital, para testes do desenvolvedor, ou se pode ser algum erro.
-
do meu repositório, use a 3.3.5
-
O que você tem no diretório dos certificados?
Um monte de arquivos ou só um?
Consegue ver que são certificados e que o nome do arquivo é o hash gerado pelo comando do openssl que passei no post anterior?
é isso que tenho nos diretórios que citei:
[2.1-RELEASE][root@megazord.ntu0]/root(3): ls -l /usr/local/share/certs/ total 852 -r--r--r-- 1 root wheel 846648 Sep 11 20:00 ca-root-nss.crt -rw-r--r-- 1 root wheel 1541 Sep 26 16:40 pfSense-crt.crt -rw-r--r-- 1 root wheel 1476 Sep 26 16:40 pfSense.crt [2.1-RELEASE][root@megazord.ntu0]/root(4): ls -l /usr/pbi/squid-amd64/share/certs/ total 1222 -rw-r--r-- 1 root wheel 1493 Sep 26 16:53 00673b5b.0 -rw-r--r-- 1 root wheel 1533 Sep 26 16:53 02b73561.0 -rw-r--r-- 1 root wheel 1489 Sep 26 16:53 052e396b.0 -rw-r--r-- 1 root wheel 1704 Sep 26 16:53 08aef7bb.0 -rw-r--r-- 1 root wheel 1346 Sep 26 16:53 0d188d89.0 -rw-r--r-- 1 root wheel 1424 Sep 26 16:53 10531352.0 -rw-r--r-- 1 root wheel 1354 Sep 26 16:53 111e6273.0 -rw-r--r-- 1 root wheel 1566 Sep 26 16:53 1155c94b.0 -rw-r--r-- 1 root wheel 1761 Sep 26 16:53 119afc2e.0 -rw-r--r-- 1 root wheel 1830 Sep 26 16:53 11a09b38.0 -rw-r--r-- 1 root wheel 1484 Sep 26 16:53 11f154d6.0 -rw-r--r-- 1 root wheel 1537 Sep 26 16:53 124bbd54.0 -rw-r--r-- 1 root wheel 1200 Sep 26 16:53 12d55845.0 -rw-r--r-- 1 root wheel 1436 Sep 26 16:53 1676090a.0 -rw-r--r-- 1 root wheel 1298 Sep 26 16:53 17b51fe6.0 -rw-r--r-- 1 root wheel 1460 Sep 26 16:53 1dac3003.0 -rw-r--r-- 1 root wheel 1948 Sep 26 16:53 1dcd6f4c.0 -rw-r--r-- 1 root wheel 1517 Sep 26 16:53 1df5a75f.0 -rw-r--r-- 1 root wheel 1407 Sep 26 16:53 1df5ec47.0 -rw-r--r-- 1 root wheel 1367 Sep 26 16:53 1e1eab7c.0 -rw-r--r-- 1 root wheel 1229 Sep 26 16:53 1e8e7201.0 -rw-r--r-- 1 root wheel 2594 Sep 26 16:53 1eb37bdf.0 -rw-r--r-- 1 root wheel 1935 Sep 26 16:53 21855f49.0 -rw-r--r-- 1 root wheel 1448 Sep 26 16:53 219d9499.0 -rw-r--r-- 1 root wheel 1468 Sep 26 16:53 23f4c490.0 -rw-r--r-- 1 root wheel 989 Sep 26 16:53 27af790d.0 -rw-r--r-- 1 root wheel 1679 Sep 26 16:53 2afc57aa.0 -rw-r--r-- 1 root wheel 1915 Sep 26 16:53 2d9dafe4.0 -rw-r--r-- 1 root wheel 834 Sep 26 16:53 2edf7016.0 -rw-r--r-- 1 root wheel 1411 Sep 26 16:53 2fa87019.0 -rw-r--r-- 1 root wheel 2017 Sep 26 16:53 2fb1850a.0 -rw-r--r-- 1 root wheel 2671 Sep 26 16:53 33815e15.0 -rw-r--r-- 1 root wheel 1318 Sep 26 16:53 343eb6cb.0 -rw-r--r-- 1 root wheel 1338 Sep 26 16:53 399e7759.0 -rw-r--r-- 1 root wheel 1428 Sep 26 16:53 3a3b02ce.0 -rw-r--r-- 1 root wheel 1261 Sep 26 16:53 3ad48a91.0 -rw-r--r-- 1 root wheel 1521 Sep 26 16:53 3c58f906.0 -rw-r--r-- 1 root wheel 2045 Sep 26 16:53 3c860d51.0 -rw-r--r-- 1 root wheel 2069 Sep 26 16:53 3d441de8.0 -rw-r--r-- 1 root wheel 1505 Sep 26 16:53 3e7271e8.0 -rw-r--r-- 1 root wheel 1513 Sep 26 16:53 40dc992e.0 -rw-r--r-- 1 root wheel 1826 Sep 26 16:53 418595b9.0 -rw-r--r-- 1 root wheel 2090 Sep 26 16:53 450c6e38.0 -rw-r--r-- 1 root wheel 2057 Sep 26 16:53 46b2fd3b.0 -rw-r--r-- 1 root wheel 2122 Sep 26 16:53 48a195d8.0 -rw-r--r-- 1 root wheel 875 Sep 26 16:53 4d654d1d.0 -rw-r--r-- 1 root wheel 1318 Sep 26 16:53 4e18c148.0 -rw-r--r-- 1 root wheel 1574 Sep 26 16:53 4fbd6bfa.0 -rw-r--r-- 1 root wheel 1399 Sep 26 16:53 5021a0a2.0 -rw-r--r-- 1 root wheel 2049 Sep 26 16:53 5046c355.0 -rw-r--r-- 1 root wheel 1700 Sep 26 16:53 524d9b43.0 -rw-r--r-- 1 root wheel 1529 Sep 26 16:53 56b8a0b6.0 -rw-r--r-- 1 root wheel 1241 Sep 26 16:53 57692373.0 -rw-r--r-- 1 root wheel 1452 Sep 26 16:53 58a44af1.0 -rw-r--r-- 1 root wheel 1143 Sep 26 16:53 594f1775.0 -rw-r--r-- 1 root wheel 1489 Sep 26 16:53 5a3f0ff8.0 -rw-r--r-- 1 root wheel 1895 Sep 26 16:53 5a5372fc.0 -rw-r--r-- 1 root wheel 2078 Sep 26 16:53 5cf9d536.0 -rw-r--r-- 1 root wheel 1281 Sep 26 16:53 5e4e69e7.0 -rw-r--r-- 1 root wheel 2049 Sep 26 16:53 5f47b495.0 -rw-r--r-- 1 root wheel 1476 Sep 26 16:53 60afe812.0 -rw-r--r-- 1 root wheel 1903 Sep 26 16:53 635ccfd5.0 -rw-r--r-- 1 root wheel 1505 Sep 26 16:53 67495436.0 -rw-r--r-- 1 root wheel 1350 Sep 26 16:53 69105f4f.0 -rw-r--r-- 1 root wheel 1411 Sep 26 16:53 6adf0799.0 -rw-r--r-- 1 root wheel 1119 Sep 26 16:53 6e8bf996.0 -rw-r--r-- 1 root wheel 1322 Sep 26 16:53 6fcc125d.0 -rw-r--r-- 1 root wheel 1212 Sep 26 16:53 72f369af.0 -rw-r--r-- 1 root wheel 1103 Sep 26 16:53 72fa7371.0 -rw-r--r-- 1 root wheel 948 Sep 26 16:53 74c26bd0.0 -rw-r--r-- 1 root wheel 1143 Sep 26 16:53 755f7420.0 -rw-r--r-- 1 root wheel 1517 Sep 26 16:53 75680d2e.0 -rw-r--r-- 1 root wheel 834 Sep 26 16:53 7651b327.0 -rw-r--r-- 1 root wheel 1513 Sep 26 16:53 76579174.0 -rw-r--r-- 1 root wheel 2004 Sep 26 16:53 7672ac4b.0 -rw-r--r-- 1 root wheel 1216 Sep 26 16:53 7999be0d.0 -rw-r--r-- 1 root wheel 1679 Sep 26 16:53 7a481e66.0 -rw-r--r-- 1 root wheel 2041 Sep 26 16:53 7a819ef2.0 -rw-r--r-- 1 root wheel 1066 Sep 26 16:53 7d3cd826.0 -rw-r--r-- 1 root wheel 1484 Sep 26 16:53 7d453d8f.0 -rw-r--r-- 1 root wheel 1367 Sep 26 16:53 81b9768f.0 -rw-r--r-- 1 root wheel 1915 Sep 26 16:53 82223c44.0 -rw-r--r-- 1 root wheel 2423 Sep 26 16:53 8317b10c.0 -rw-r--r-- 1 root wheel 1233 Sep 26 16:53 8470719d.0 -rw-r--r-- 1 root wheel 1440 Sep 26 16:53 84cba82f.0 -rw-r--r-- 1 root wheel 1399 Sep 26 16:53 85cde254.0 -rw-r--r-- 1 root wheel 1204 Sep 26 16:53 86212b19.0 -rw-r--r-- 1 root wheel 1939 Sep 26 16:53 87753b0d.0 -rw-r--r-- 1 root wheel 1176 Sep 26 16:53 882de061.0 -rw-r--r-- 1 root wheel 1216 Sep 26 16:53 895cad1a.0 -rw-r--r-- 1 root wheel 940 Sep 26 16:53 89c02a45.0 -rw-r--r-- 1 root wheel 3361 Sep 26 16:53 8c24b137.0 -rw-r--r-- 1 root wheel 1452 Sep 26 16:53 91739615.0 -rw-r--r-- 1 root wheel 2354 Sep 26 16:53 9339512a.0 -rw-r--r-- 1 root wheel 1935 Sep 26 16:53 9576d26b.0 -rw-r--r-- 1 root wheel 1354 Sep 26 16:53 95aff9e3.0 -rw-r--r-- 1 root wheel 1168 Sep 26 16:53 9685a493.0 -rw-r--r-- 1 root wheel 1269 Sep 26 16:53 9772ca32.0 -rw-r--r-- 1 root wheel 2098 Sep 26 16:53 9ab62355.0 -rw-r--r-- 1 root wheel 2033 Sep 26 16:53 9d6523ce.0 -rw-r--r-- 1 root wheel 1269 Sep 26 16:53 9dbefe7b.0 -rw-r--r-- 1 root wheel 1667 Sep 26 16:53 9ec3a561.0 -rw-r--r-- 1 root wheel 2585 Sep 26 16:53 9f533518.0 -rw-r--r-- 1 root wheel 1716 Sep 26 16:53 a0bc6fbb.0 -rw-r--r-- 1 root wheel 1155 Sep 26 16:53 a15b3b6b.0 -rw-r--r-- 1 root wheel 1476 Sep 26 16:53 a2df7ad7.0 -rw-r--r-- 1 root wheel 1224 Sep 26 16:53 a3896b44.0 -rw-r--r-- 1 root wheel 1143 Sep 26 16:53 a7605362.0 -rw-r--r-- 1 root wheel 940 Sep 26 16:53 a7d2cf64.0 -rw-r--r-- 1 root wheel 1249 Sep 26 16:53 ab5346f4.0 -rw-r--r-- 1 root wheel 2309 Sep 26 16:53 add67345.0 -rw-r--r-- 1 root wheel 1911 Sep 26 16:53 aeb67534.0 -rw-r--r-- 1 root wheel 1261 Sep 26 16:53 b0f3e76e.0 -rw-r--r-- 1 root wheel 1269 Sep 26 16:53 b7db1890.0 -rw-r--r-- 1 root wheel 1367 Sep 26 16:53 bc3f2570.0 -rw-r--r-- 1 root wheel 1066 Sep 26 16:53 bcdd5959.0 -rw-r--r-- 1 root wheel 1322 Sep 26 16:53 bda4cc84.0 -rw-r--r-- 1 root wheel 1354 Sep 26 16:53 bdacca6f.0 -rw-r--r-- 1 root wheel 1643 Sep 26 16:53 bf64f35b.0 -rw-r--r-- 1 root wheel 1103 Sep 26 16:53 c19d42c7.0 -rw-r--r-- 1 root wheel 1155 Sep 26 16:53 c215bc69.0 -rw-r--r-- 1 root wheel 1155 Sep 26 16:53 c33a80d4.0 -rw-r--r-- 1 root wheel 1383 Sep 26 16:53 c3a6a9ad.0 -rw-r--r-- 1 root wheel 1241 Sep 26 16:53 c51c224c.0 -rw-r--r-- 1 root wheel 1484 Sep 26 16:53 c527e4ab.0 -rw-r--r-- 1 root wheel 1444 Sep 26 16:53 c7e2a638.0 -rw-r--r-- 1 root wheel 2281 Sep 26 16:53 c8763593.0 -r--r--r-- 1 root wheel 846648 Jul 17 15:48 ca-root-nss.crt -rw-r--r-- 1 root wheel 1586 Sep 26 16:53 ccb919f9.0 -rw-r--r-- 1 root wheel 753 Sep 26 16:53 ccc52f49.0 -rw-r--r-- 1 root wheel 1354 Sep 26 16:53 cdaebb72.0 -rw-r--r-- 1 root wheel 1350 Sep 26 16:53 cf701eeb.0 -rw-r--r-- 1 root wheel 2167 Sep 26 16:53 d16a5865.0 -rw-r--r-- 1 root wheel 1505 Sep 26 16:53 d537fba6.0 -rw-r--r-- 1 root wheel 1261 Sep 26 16:53 d59297b8.0 -rw-r--r-- 1 root wheel 1468 Sep 26 16:53 d64f06f3.0 -rw-r--r-- 1 root wheel 1529 Sep 26 16:53 d66b55d9.0 -rw-r--r-- 1 root wheel 1537 Sep 26 16:53 d7746a63.0 -rw-r--r-- 1 root wheel 1480 Sep 26 16:53 d78a75c7.0 -rw-r--r-- 1 root wheel 1582 Sep 26 16:53 d8274e24.0 -rw-r--r-- 1 root wheel 1891 Sep 26 16:53 dbc54cab.0 -rw-r--r-- 1 root wheel 1127 Sep 26 16:53 ddc328ff.0 -rw-r--r-- 1 root wheel 1480 Sep 26 16:53 e268a4c5.0 -rw-r--r-- 1 root wheel 1204 Sep 26 16:53 e48193cf.0 -rw-r--r-- 1 root wheel 2090 Sep 26 16:53 e60bf0c0.0 -rw-r--r-- 1 root wheel 1935 Sep 26 16:53 e775ed2d.0 -rw-r--r-- 1 root wheel 932 Sep 26 16:53 e7b8d656.0 -rw-r--r-- 1 root wheel 1460 Sep 26 16:53 e8651083.0 -rw-r--r-- 1 root wheel 2041 Sep 26 16:53 ea169617.0 -rw-r--r-- 1 root wheel 1212 Sep 26 16:53 eb375c3e.0 -rw-r--r-- 1 root wheel 1740 Sep 26 16:53 ed524cf5.0 -rw-r--r-- 1 root wheel 1107 Sep 26 16:53 ed62f4e3.0 -rw-r--r-- 1 root wheel 1704 Sep 26 16:53 ee7cd6fb.0 -rw-r--r-- 1 root wheel 1927 Sep 26 16:53 ee90b008.0 -rw-r--r-- 1 root wheel 1066 Sep 26 16:53 f4996e82.0 -rw-r--r-- 1 root wheel 1614 Sep 26 16:53 f559733c.0 -rw-r--r-- 1 root wheel 1334 Sep 26 16:53 f58a60fe.0 -rw-r--r-- 1 root wheel 2715 Sep 26 16:53 f61bff45.0 -rw-r--r-- 1 root wheel 2106 Sep 26 16:53 f80cc7f6.0 -rw-r--r-- 1 root wheel 1318 Sep 26 16:53 fac084d7.0 -rw-r--r-- 1 root wheel 1732 Sep 26 16:53 facacbc6.0 -rw-r--r-- 1 root wheel 2329 Sep 26 16:53 fb126c6d.0 -rw-r--r-- 1 root wheel 1330 Sep 26 16:53 fde84897.0 -rw-r--r-- 1 root wheel 1302 Sep 26 16:53 ff588423.0 -rw-r--r-- 1 root wheel 1606 Sep 26 16:53 ff783690.0 -rw-r--r-- 1 root wheel 1541 Sep 26 16:40 pfSense-crt.crt -rw-r--r-- 1 root wheel 1476 Sep 26 16:40 pfSense.crt
eu executei aquele comando e peguei o hash. só não sei ao certo o que fazer com ele!
terei que renomear os certificados que eu fiz e colocar o hash como nome? - about a month later
-
Qual o caminho para a opção "man in middle" SSL? não encontrei.
-
Qual o caminho para a opção "man in middle" SSL? não encontrei.
Você deve estar usando o pacote errado.
a aba general do squid3-dev mostra todas as opções para a interceptação de ssl(SSL man in the middle Filtering)
-
Marcelo discupa a minha falta de conhecimento, mas preciso tirar algumas duvidas?
instalei o CA como confiável, funcionou no crome e no IE, não consigo fazer funcionar no mozila de jeito nenum , o skype não funciona
-
@calebepereira@hotmail.com:
não consigo fazer funcionar no mozila de jeito nenum
O procedimento de importação do mozila é via menu do aplicativo, não via importação de certificado do windows
@calebepereira@hotmail.com:
, o skype não funciona
O skype usa a porta 443 mas não é https. Se não me engano você precisa habilitar outra porta para o skype. O johnnybe publicou recentemente um doc sobre o squid3-dev
-
primeiramente vc está de parabens pela ferramente que desenvolvel.
achei o material do john http://nextsense.com.br/blog/archives/1866
eu já tinha tentando ativar pelo mozila, mas não consegui . Na verdade eu queria usar essa ferramenta para um hotspot wireless com proxy transparente, pois o wpad da problema com o Mozilla (não tenho um domínio) e não funciona no Android e Iphone, teria alguma forma de interceptar isso pelo captive portal conforme este site: http://blog.stefcho.eu/?p=814 tudo que passa pelo usuário logado é interceptado e identificado pelo pfsense ? ou isso que esta neste site é outra coisa.
me desculpa a minha falta de experiência e por tomar o seu tempo sei que vc é muito culpado
-
Qual o caminho para a opção "man in middle" SSL? não encontrei.
Você deve estar usando o pacote errado.
a aba general do squid3-dev mostra todas as opções para a interceptação de ssl(SSL man in the middle Filtering)
Estava usando o squid3, ele tambem aparecia uma mensagem falando do main-in-the-middle.
Instalei o dev e o serviço não iniciou, depois vi que tem que instalar umas bibliotecas.
removi ele e o icap e o clamav continuaram instalados, como remove-los?
vou tentar instalar o dev em um outro momento.
-
removi ele e o icap e o clamav continuaram instalados, como remove-los?
Qual versão de pfsense você está usando?
-
@calebepereira@hotmail.com:
este site: http://blog.stefcho.eu/?p=814 ou isso que esta neste site é outra coisa.
Este post mostra como deixar a tela do captive portal com https.
-
removi ele e o icap e o clamav continuaram instalados, como remove-los?
Qual versão de pfsense você está usando?
Tinha instalado o squid3-dev 3.3.8 pkg 2.2, junto ele instalou o iclav e o clamav, desisntalei e os dois anteriores continuam nos serviços.
retornei para o pacote squid3 3.1.20 pkg 2.0.6.
-
pfsense 2.1 amd64
squid 3.3.8
mozila 25.0instalei o certificado digital o IE e crome, skype funcionou . entro no mozila instalo o certificado digital e fica dando o seguinte erro quanto tento entrar em algum site https:
quando tento entrar no gmail ou outlook.com pelo mozila da o seguinte erro:
O servidor accounts.google.com usa um certificado de segurança inválido. O certificado não é considerado confiável porque a cadeia do expedidor do certificado não foi fornecida. (Código do erro: sec_error_unknown_issuer)
O servidor login.live.com usa um certificado de segurança inválido. O certificado não é considerado confiável porque a cadeia do expedidor do certificado não foi fornecida. (Código do erro: sec_error_unknown_issuer)
exite alguma outra forma de instalar o certificado no mozila e funcione corretamente?
-
@calebepereira@hotmail.com:
exite alguma outra forma de instalar o certificado no mozila e funcione corretamente?
Aqui funcionou, importei como ca confiável.
-
deve ser a versão do meu mozila 25.0
-
-
-
Deixe marcado somente autorizar sites.
Feche o browser, abra novamente e veja se o certificado está importado.
-
marcelão brigadão por não desistir de mim. rsrsdr e desculpa ter tomado seu tempo, coisa de leigo.
eu tinha excluído a ca e criado outra com outro nome e não mudei no squid. -
tranquilo, acontece… :)
-
marcelo resolvi o skype colocando estes ips do skype em "Bypass proxy for these destination IPs" e o skype funcionou direitinho
segue os ips do skype : 188.129.195.0/24;5.64.136.0/24;187.170.24.0/24;78.134.9.0/24;64.4.23.0/24;212.187.172.0/24;213.199.179.0/24;64.94.18.0/24;184.25.203.0/24;65.55.64.0/24;204.9.163.0/24;91.190.216.0/24;65.55.71.0/24;65.55.223.0/24;157.56.52.0/24;111.221.77.0/24;157.55.130.0/24;91.190.218.0/24;149.13.32.0/24;65.54.165.0/24;65.55.223.0/24;91.190.216.0/24;184.25.203.0/24;64.94.18.0/24;212.161.8.0/24;78.141.177.0/24;157.55.56.0/24;193.95.154.0/24;157.55.235.0/24;111.221.74.0/24;193.95.154.0/24;157.55.130.0/24;71.58.242.0/24;204.9.163.0/24;184.25.201.0/24;78.141.179.0/24;71.92.79.0/24;65.55.223.0/24;76.89.177.0/24;204.9.163.0/24;212.187.172.0/24;184.25.203.0/24;193.120.199.0/24;91.190.216.0/24;157.55.130.0/24;184.25.203.0/24;157.55.235.0/24;65.55.223.0/24;84.250.183.0/24;66.171.55.0/24;78.141.179.0/24;157.55.130.0/24;184.25.201.0/24;65.54.187.0/24;199.7.71.0/24;184.30.37.0/24;65.54.186.0/24;79.86.239.0/24;212.8.166.0/24;64.4.23.0/24;111.221.77.0/24;91.190.218.0/24;65.55.158.0/24;157.56.52.0/24;157.55.130.0/24;157.56.149.0/24;189.86.41.0/24;239.255.255.0/24;239.255.255.0/24;usando CA
agora como faço pra fazer o cache no squid do windows update e dos antivírus, marquei a opção de cache dinâmico mas não ta indo. tem alguma forma?da o seguinte erro:
-
O cache dinamico é baseado em uma wiki do squid. mas o feedback da comunidade diz que não é eficiente.
Desabilite o cache dinamico e aumente o valor dos objetos em disco e em memoria na configuração de cache.
-
no squid desabilitei o cache dinâmico, aumentei :Hard disk cache size 100GB , objetos em disco 400MB , memoria na configuração de cache 4GB
continua dando o mesmo erro.conforme este site: http://nextsense.com.br/blog/archives/1866 na opção 5 não tem como tem que fazer um bypass no squid, coisa que eu queria evitar, pois tenho a intenção de fazer o cache o Windows update
-
A questão dos ajustes de cache só melhoram a eficiência dele.
Se o windows update não está funcionando, você tem que ir nos logs para ver o que está sendo bloqueado.
-
marcelo não sei identificar ou achar erros no log dos squid tem como vc analisar e ver o que está dando errado?
o meu firewall está todo aberto, quando desativo a função ssl o update funciona quanto ativo da erro segue os logs do squid quando o ssl está ativado e desativado no momento do update.
SSL desativado
1383927376.499 525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/65.55.53.190 text/html
1383927380.692 404 192.168.1.102 TCP_MISS/200 3373 POST https://wer.microsoft.com/Responses/v1.0/604/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927382.771 197 192.168.1.102 TCP_MISS/200 4495 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
1383927382.985 211 192.168.1.102 TCP_MISS/200 946 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
1383927383.483 381 192.168.1.102 TCP_MISS/200 3349 POST https://wer.microsoft.com/Responses/v1.0/2507/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927386.978 297 192.168.1.102 TCP_MISS/200 3323 POST https://wer.microsoft.com/Responses/v1.0/18281/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927390.346 427 192.168.1.102 TCP_MISS/200 3435 POST https://wer.microsoft.com/Responses/v1.0/20480/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927425.618 170 192.168.1.102 TCP_MISS/200 381 GET https://clients3.google.com/crsignal/client? calebe PINNED/74.125.234.198 application/json
1383927426.258 181 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927426.727 422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927426.807 53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927428.130 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-streamSSL ATIVADO
383927426.727 422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927426.807 53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927428.130 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927437.414 525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/157.56.141.102 text/html
1383927463.048 214 192.168.1.102 TCP_MISS/200 934 POST https://safebrowsing.google.com/safebrowsing/downloads? calebe PINNED/173.194.37.1 application/vnd.google.safebrowsing-update
1383927463.229 51 192.168.1.102 TCP_MISS/200 4163 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChVnb29nLWJhZGJpbnVybC1zaGF2YXIQABiXlwEgoJcBKgWdSwAADzIFl0sAAD8 calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927463.274 40 192.168.1.102 TCP_MISS/200 3872 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAYh_AHIJDwBzIGB_gBAP8D calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927463.315 38 192.168.1.102 TCP_MISS/200 2766 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGPG-EiDAvxIqDnSfBAD___________8fMgVxnwQABw calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927505.661 899266 192.168.1.102 TCP_MISS/200 386 POST https://dub-m.hotmail.com/Microsoft-Server-ActiveSync? calebe PINNED/157.56.194.7 application/vnd.ms-sync.wbxml
1383927514.732 346 192.168.1.102 TCP_MISS/200 1158 POST http://tools.google.com/service/update2? calebe HIER_DIRECT/173.194.37.8 text/xml
1383927570.827 130 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
1383927571.301 445 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927571.371 43 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
1383927571.734 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream -
Só vi TCP_MISS/200 nos logs o que indica que o squid não está bloqueando nada.
-
mas porque quando eu desativo ssl o update funciona?
to quase desistindo.rsrsdrs ficquei com dor de cabeça ontem 2 vezes. -
@calebepereira@hotmail.com:
mas porque quando eu desativo ssl o update funciona?
Tem coisas que nem a Microsoft explica!
-
Olá, eu instalei o pfsense e o squid 3.
consigo fazer bloqueios digitando enderecos na blacklist porem o facebook com https passa.
voce poderia me explicar como faço parar bloquear?
obrigado -
voce poderia me explicar como faço parar bloquear?
Com proxy transparente, só habilitando o filtro de ssl e instalando o certificado em todas as máquinas.
Com proxy não transparente(e sem filtro de ssl), você recebe uma mensagem de conexão recusada pelo proxy quando tenta acessar um sites https bloqueado.
-
como que eu habilito o filtro de ssl e instalo esse certificado nas maquinas?
Obrigado