Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
marcelo não sei identificar ou achar erros no log dos squid tem como vc analisar e ver o que está dando errado?
o meu firewall está todo aberto, quando desativo a função ssl o update funciona quanto ativo da erro segue os logs do squid quando o ssl está ativado e desativado no momento do update.
SSL desativado
1383927376.499 525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/65.55.53.190 text/html
1383927380.692 404 192.168.1.102 TCP_MISS/200 3373 POST https://wer.microsoft.com/Responses/v1.0/604/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927382.771 197 192.168.1.102 TCP_MISS/200 4495 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
1383927382.985 211 192.168.1.102 TCP_MISS/200 946 POST https://clients4.google.com/chrome-sync/command/? calebe PINNED/74.125.234.198 application/octet-stream
1383927383.483 381 192.168.1.102 TCP_MISS/200 3349 POST https://wer.microsoft.com/Responses/v1.0/2507/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927386.978 297 192.168.1.102 TCP_MISS/200 3323 POST https://wer.microsoft.com/Responses/v1.0/18281/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927390.346 427 192.168.1.102 TCP_MISS/200 3435 POST https://wer.microsoft.com/Responses/v1.0/20480/1046.22/6.1.7601.2.00010100.1.0/16777217/Dell%20Inc. calebe PINNED/157.56.141.114 text/XML
1383927425.618 170 192.168.1.102 TCP_MISS/200 381 GET https://clients3.google.com/crsignal/client? calebe PINNED/74.125.234.198 application/json
1383927426.258 181 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927426.727 422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927426.807 53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927428.130 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-streamSSL ATIVADO
383927426.727 422 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927426.807 53 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927428.130 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.11 application/octet-stream
1383927437.414 525 192.168.1.102 TCP_MISS/200 393 GET http://watson.microsoft.com/StageOne/Generic/WindowsUpdateFailure/7_6_7600_256/80072f8f/00000000-0000-0000-0000-000000000000/Scan/101/Unmanaged.htm? calebe HIER_DIRECT/157.56.141.102 text/html
1383927463.048 214 192.168.1.102 TCP_MISS/200 934 POST https://safebrowsing.google.com/safebrowsing/downloads? calebe PINNED/173.194.37.1 application/vnd.google.safebrowsing-update
1383927463.229 51 192.168.1.102 TCP_MISS/200 4163 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChVnb29nLWJhZGJpbnVybC1zaGF2YXIQABiXlwEgoJcBKgWdSwAADzIFl0sAAD8 calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927463.274 40 192.168.1.102 TCP_MISS/200 3872 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAYh_AHIJDwBzIGB_gBAP8D calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927463.315 38 192.168.1.102 TCP_MISS/200 2766 GET https://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGPG-EiDAvxIqDnSfBAD___________8fMgVxnwQABw calebe PINNED/74.125.234.201 application/vnd.google.safebrowsing-chunk
1383927505.661 899266 192.168.1.102 TCP_MISS/200 386 POST https://dub-m.hotmail.com/Microsoft-Server-ActiveSync? calebe PINNED/157.56.194.7 application/vnd.ms-sync.wbxml
1383927514.732 346 192.168.1.102 TCP_MISS/200 1158 POST http://tools.google.com/service/update2? calebe HIER_DIRECT/173.194.37.8 text/xml
1383927570.827 130 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
1383927571.301 445 192.168.1.102 TCP_MISS/200 394 HEAD http://update.microsoft.com/v10/1/windowsupdate/selfupdate/wuident.cab? calebe HIER_DIRECT/65.55.184.151 application/octet-stream
1383927571.371 43 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Vista/wsus3setup.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream
1383927571.734 48 192.168.1.102 TCP_MISS/200 415 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/redir/muv4wuredir.cab? calebe HIER_DIRECT/200.143.247.17 application/octet-stream -
Só vi TCP_MISS/200 nos logs o que indica que o squid não está bloqueando nada.
-
mas porque quando eu desativo ssl o update funciona?
to quase desistindo.rsrsdrs ficquei com dor de cabeça ontem 2 vezes. -
@calebepereira@hotmail.com:
mas porque quando eu desativo ssl o update funciona?
Tem coisas que nem a Microsoft explica!
-
Olá, eu instalei o pfsense e o squid 3.
consigo fazer bloqueios digitando enderecos na blacklist porem o facebook com https passa.
voce poderia me explicar como faço parar bloquear?
obrigado -
voce poderia me explicar como faço parar bloquear?
Com proxy transparente, só habilitando o filtro de ssl e instalando o certificado em todas as máquinas.
Com proxy não transparente(e sem filtro de ssl), você recebe uma mensagem de conexão recusada pelo proxy quando tenta acessar um sites https bloqueado.
-
como que eu habilito o filtro de ssl e instalo esse certificado nas maquinas?
Obrigado -
Acabei de compilar e subir o squid 3.3.10 (amd64 somente) para o meu repositório.
Retirei da compilação a autenticação SASL. Desta forma não é necessário baixar as libs do freebsd que não estão no pfsense.
-
desistiu de aplicar o filtro ssl para https ?
-
desistiu de aplicar o filtro ssl para https ?
Não, ele continua lá. Só retirei a autenticação SASL
-
estou para ativar esta semana um proxy com autenticação ssl em um departamente de universidade federal e estou tendo problemas com alguns sites https mesmo com o certificado instalado.
segue o erroERROR
The requested URL could not be retrieved
O seguinte erro foi encontrado ao tentar recuperar a URL: ://wwws.cnpq.br:443
Falha ao estabelecer uma conexão segura com 200.130.33.7
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CAEste proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.
Seu administrador do cache é calebe.pereira@ufes.br.
Gerado Tue, 03 Dec 2013 17:41:23 GMT por localhost (squid/3.3.8)
log squid:
Squid Logs
Date IP Status Address User Destination
03.12.2013 16:00:49 192.168.200.31 TCP_MISS/200 http://su.ff.avast.com/R/A0YKIDBkMWMzNmMyZjk3MjRiOTZhOThkNmE3N2NlMzVmNDRmEgQAAxITGNgBIgEFKgcIBBDI6_kcKgQIAxAAMgcIABAAGIAC calebe 77.234.43.60
03.12.2013 16:00:33 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 16:00:32 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 16:00:31 192.168.200.31 NONE/503 https://wwws.cnpq.br/favicon.ico - -
03.12.2013 16:00:30 192.168.200.31 NONE/503 https://wwws.cnpq.br/cvlattesweb/pkg_login.prc_form - -
03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 16:00:07 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
03.12.2013 15:59:41 192.168.200.31 TCP_MISS/200 http://37.252.225.3/din.aspx? calebe 37.252.225.3
03.12.2013 15:59:16 192.168.200.31 TCP_MISS/200 http://37.252.225.3/dout.aspx? calebe 37.252.225.3
SquidGuard Logs -
marcou as opções de aceitar erros de certificado.
Você pode deixar o cliente escolher se acessa ou não um site com ssl genérico.
-
ok deu certo brigadooo
-
@calebepereira@hotmail.com:
ok deu certo brigadooo
Leia com atenção e teste o que você marcou para não ficar vulnerável a sites forjados ou comprometidos
Accept remote server certificate passa o erro do site para o usuário
Do not verify remote certificate ignora o erro do site e abre sem avisar ou criticar nada -
Pelo menos em ambiente de testes, subi um pfsense 2.1 virtualizado com vmxnet3 e instalei o squid3-dev 3.3.10 e o serivço subiu tranquilo sem a necessidade do ipv6.
As libs infelizmente ainda são necessárias.
-
Bom dia!!
Atualizei o squid-dev pelo proprio pfsense, depois instalei as bibliotecas faltantes do primeiro post.
o squid esta de boa mas o squidguard não sobe, o que deve ser feito para que ele inicie?
Grato!
-
o squid esta de boa mas o squidguard não sobe, o que deve ser feito para que ele inicie?
A partir do squid 3, o squidguard é chamado sob demanda. Ele só sobe quando tem cliente conectado no squid.
-
Boa tarde Marcelloc,
Após atualizar para a versão 3.3.10 aparecem várias mensagens de warning no log:
2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt 2013/12/05 17:12:00 kid1| Unable to load default error language files. Reset to backups. 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt 2013/12/05 17:12:00 kid1| WARNING: failed to find or read error text file error-details.txt 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
Dei uma pesquisada na net, mas não achei nada que possa resolver, pelo que encontrei é um problema com o openssl, mas que deveria estar corrigido nesta versão do Squid.
http://bugs.squid-cache.org/show_bug.cgi?id=3936Sabe o que poderia ser?
abraço!
-
comenta estas entradas no arquivo.
-
Olá Marcello,
Gostei bastante dessa versão do Squid3. Porém estou com algumas duvidas.
1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?
2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?
Grato, desde já.