Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Boa tarde Marcelloc,
Após atualizar para a versão 3.3.10 aparecem várias mensagens de warning no log:
2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt 2013/12/05 17:12:00 kid1| Unable to load default error language files. Reset to backups. 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt 2013/12/05 17:12:00 kid1| WARNING: failed to find or read error text file error-details.txt 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE 2013/12/05 17:12:00 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
Dei uma pesquisada na net, mas não achei nada que possa resolver, pelo que encontrei é um problema com o openssl, mas que deveria estar corrigido nesta versão do Squid.
http://bugs.squid-cache.org/show_bug.cgi?id=3936Sabe o que poderia ser?
abraço!
-
comenta estas entradas no arquivo.
- 8 days later
-
Olá Marcello,
Gostei bastante dessa versão do Squid3. Porém estou com algumas duvidas.
1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?
2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?
Grato, desde já.
-
1 - Consegui instalar e colocar pra funcionar tudo normal. O bloqueio funciona via blacklist, pra HTTPS e HTTP só colocando o site. Porém o bloqueio "total" (TOR, Ultrasurf, dropbox e outros) não funciona. Está tudo liberado, só está bloqueando o que está na minha lista na blacklist. É normal isso? O que preciso fazer pra bloquear o ultrasurf (meu principal objetivo)?
Só precisa deixar ele filtrando o trafego ssl em modo transparente. TOR, Ultrasurf, etc usam a 443 mas só ssl, mas não http.
2 - O antivírus não inicia, normal isso? Ou existe algum problema nele ainda?
Sim, estou apanhando disso ainda. Tentei com e-cap mas da erro de compilação e o I-cap ta dando crash quando chama o clamav.
-
Caro Marcelo,
Minha configuração está como nos anexos. Poderia dizer o que há de errado? É necessário criar alguma outra regra ou tirar? :-\
Como falei, o filtro de ssl parece está funcionando, porém o Ultrasurf está funcionando normalmente. Com o Windows Update foi necessário colocar no bypass, mas dropbox funcionou normal…
Há alguma outra configuração que eu possa fazer?
Grato mais uma vez.
![conf 1.png](/public/imported_attachments/1/conf 1.png)
![conf 1.png_thumb](/public/imported_attachments/1/conf 1.png_thumb)
![conf 2.png](/public/imported_attachments/1/conf 2.png)
![conf 2.png_thumb](/public/imported_attachments/1/conf 2.png_thumb)
![conf 3.png](/public/imported_attachments/1/conf 3.png)
![conf 3.png_thumb](/public/imported_attachments/1/conf 3.png_thumb) -
Sua regra na lan simplesmente libera qualquer acesso a internet em qualquer porta.
Enquanto você não mudar isso, qualquer "pula firewall" vai funcionar.
-
É, eu imaginei isso. Inclusive desativei ela, porém mesmo criando outra regra direcionando só para o http e https (usando a mesma regra só mudando a porta de any para http), não consigo acesso algum a internet.
Vou dá uma pesquisada melhor sobre essas regras.
Grato mais uma vez Marcello.
-
Libere acesso (53 udp) somente para seu servidor dns resolver nomes.
Libere acesso a porta destino tcp 80 e 443 para toda a rede.Desta forma seu dns interno consegue resolver nomes para as estações e o squid filtra o trafego nos dois protocolos.
Depois disso, crie regras específicas para os serviços que não passam por http ou https.
-
Como é fácil quando se sabe!!!
Eu quebrando a cabeça por causa desse pequeno detalhe! Só liberar o dns que tudo ficou lindo!
Obrigado mais uma vez e continue com esse excelente trabalho!
-
Eu quebrando a cabeça por causa desse pequeno detalhe! Só liberar o dns que tudo ficou lindo!
Só deixando bem claro, dns liberado só para o servidor de dns.
Se deixar a 53 aberta para qualquer ip, você corre "riscos"
- about a month later
-
MarcelloC
Cara blz adorei a sua versão do squid-dev parabéns me tira uma duvida sempre que instalo o mesmo ele demora a entrar na webgui e depois de uns 10 minutos tento acessar a pagina por outro navegador e o mesmo não acessa mais sabe o que pode ser ?
Obrigado pela atenção
-
sabe o que pode ser ?
Está usando ele em modo transparente sem alterar a porta padrão da interface web?
-
Sim esta em modo transparente e a porta web não foi alterado permanece a mesma.
-
Sim esta em modo transparente e a porta web não foi alterado permanece a mesma.
Altere a interface para outra porta (8443 por exemplo)
-
Ok Marcello irei mudar e testar mais só uma ultima pergunta ainda é necessário fazer a instalação do arquivos abaixo ou não se faz mais necessário ?
fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libroken.so.10 -
Marcelloc
fiz como vc havia dito e ele ficou demorando muito para criar os cache spool mais consegui abrir em outra aba no navegador coisa que não conseguia antes.
fiz o download das bibliotecas e quando reiniciei meu server ele não restartou o squid mais ficou travado no Starting packetes squid e liberou toda a minha internet.O que posso fazer para ele funcionar de vez?
-
Ok Marcello irei mudar e testar mais só uma ultima pergunta ainda é necessário fazer a instalação do arquivos abaixo ou não se faz mais necessário ?
veja na console com squid -k parse para ver se ele reclama das biblioteca.
Não esqueça de baixar as bibliotecas para a arquitetura correta(i386 ou amd64)
-
eu baixei as bibliotecas para i386 todas deu 100% como faço para instalar elas ?
-
eu baixei as bibliotecas para i386 todas deu 100% como faço para instalar elas ?
Se você rodou o comando conforme descrito no outro post, você já "instalou" as bibliotecas.
-
vou refazer o pfsense do zero hj e instalar o squid-dev de novo mais devo instalar ele direto ou preciso instalar os outros squid antes?
-
vou refazer o pfsense do zero hj e instalar o squid-dev de novo mais devo instalar ele direto ou preciso instalar os outros squid antes?
Direto
-
ok obrigado
-
A versão do squid que tá sendo debatida aqui é a mesma que ta em packages? (3.1.20)
-
pacotes instalados
pfsense 2.1 amd64
freeradius2 System 2.1.12_1/2.2.0 pkg v1.6.7_2
squid3-dev Network 3.3.10 pkg 2.2
squidGuard-squid3 Network Management 1.4_4 pkg v.1.9.5Tenhou um firewall bloqueando todas as portas e liberando 7777 (http) 7778 (https) configuradas no squid,
uso squid transparente com intercepção de https,
squid integrado com usuário do captiveportal.
captiveportal integrado com freeradius
funciona tudo bem com o squid configurando para interceptação https e integração com o captive portal,quando instalo o squidguard, a segunda conexão começa dar erro de acesso no squidalguém já passou por isso? não sei o que está acontecendo ou se eu estou fazendo alguma configuração errada.
se alguem sabe a solução eu fico grato não sei mais o que fazer.
segue anexo os logs e conf do squid e squidguard abrir no wordpad
calebe
squidGuardconf.txt
squidGuardlog.txt
squidconf.txt
accesslog.txt
cachelog.txt
pagerro.txt -
Boa tarde marcelloc,
Estou hoje com a necessidade de implementar um proxy, mas quero fazer com da seguinte maneira:
Proxy transparent e autenticando com usuários/grupos do AD.Hoje é possível eu fazer isso com squid3 + squidguard 3, ou ainda existem limitações?
Tenho um AD 2003 que é meu DNS com 3 Grupos criados.
e O pfSense vai ser o gw da rede.Grato.
-
Marcelo bom dia!!
Gostaria de reportar um erro com a versão Dev.
O squid funciona perfeitamente para quem usa modo transparente, porem ao habilitar o proxy o squid recusa a conexão.
Testei no pfsense 2.0.3 2 na 2.1 o mesmo ocorreu o mesmo problema.Depois de instalado os binários faltantes, não consigo subir a versão 2.7 do squid.
Mas se instalar a versão squid3, funciona tudo perfeitamente, tanto em transparente quando o uso com proxy
att.
-
ok obrigado
Marcelloc
Desculpe a demora em responder estava meio corrido mais fiz o que me passou e deu certo só teve um problema ele passou a abrir somente a pagina do google o resto dava erro sabe o que pode ser ? mais uma duvida que tipo de CA devo criar para ele não dar erros em https ?
- 22 days later
-
Marcello Boa noite,
Gostaria de tirar algumas dúvidas!!
-
Se eu instalar a versão que está em System > Packages > Available Packages > Squid3-dev 3.3.10 pkg 2.2 ainda sim será necessário fazer a instalação das bibliotecas conforme início do post ou já são instaladas automaticamente?
-
É possível eu fazer a utilização de um certificado adquirido por mim no serasa por exemplo para configurar o squid do pfsense para que não seja necessário instalar a CRT no browser? Se sim, sabe me dizer como devo proceder?
-
O SquidGuard eu posso instalar a versão SquidGuard-squid3 1.4_4 pkg v.1.9.5 ou utilizo alguma outra versão diferente?
Obrigado!
-
-
-
Aparentemente o squidguard está procurando a lista de outras acls.
Crie a primeira e veja se o erro some.
-
Aparentemente o squidguard está procurando a lista de outras acls.
Crie a primeira e veja se o erro some.
Boa tarde Marcello,
Realmente como você disse, criei a primeira e depois sumiu. Eu pensei que fosse um erro porque na versão 2.0 do squid não acontece isso.
Eu li todos os post do forum Marcello e vi que em um deles, alguem lhe fez a mesma pergunta que te fiz ontem em relação a utilizar certificado da certsign por exemplo no firewall para o squid eliminando a necessidade de importar os certificados no navegador. É possível sim fazer isso, ontem a tarde eu entrei em contato com a certsign e peguei um orçamento referente à geração deste tipo de certificado. Para os interessados o custo de um certificado desses é na faixa de R$1850,00 anual inclusive eu consegui um certificado de teste e funcionou perfeitamente.
Mudando de assunto, precisava de outra ajuda, se alguém souber, me ajuda por gentileza.
fiz as configurações tudo certinho com o certificado gerado pelo pfsense e importei no navegador, no internet explorer e no firefox funcionou perfeitamente todas as páginas que eu tentei navegar, no google chrome eu tive a seguinte mensagem de erro conforme anexo e abaixo:
**Não é possível se conectar ao www.gmail.com real
Algo está interferindo em sua conexão segura com www.gmail.com no momento.
Tente recarregar esta página em alguns minutos ou após a mudança para uma nova rede.Se você tiver se conectado recentemente a uma nova rede Wi-Fi, termine o login antes de recarregar.
Se você visitasse www.gmail.com agora, poderia compartilhar informações privadas com um invasor. Para proteger sua privacidade, o Chrome não carregará a página até que possa estabelecer uma conexão segura com o www.gmail.com real.
Recarregar Menos
O que isso significa?www.gmail.com normalmente usa criptografia (SSL) para proteger suas informações. Quando o Chrome tentou se conectar a www.gmail.com desta vez, www.gmail.com retornou credenciais incomuns e incorretas. Isso significa que um invasor está fingindo ser www.gmail.com ou uma tela de login Wi-Fi interrompeu a conexão. Suas informações ainda estão protegidas porque o Chrome parou a conexão antes que os dados fossem trocados.
Erros de rede e ataques são geralmente temporários, por isso esta página provavelmente funcionará mais tarde. Você também pode tentar mudar para outra rede.
Detalhes técnicos
www.gmail.com solicitou que o Google Chrome bloqueie quaisquer certificados com erros, mas o certificado que o Chrome recebeu durante esta tentativa de conexão tem um erro.
Tipo de erro: HSTS failure
Assunto: mail.google.com
Emissor: proxy-ca
Hashes de chave pública: sha1/1IJp0cjjumkIefyLFKnWgcPxX4k= sha256/RzA3g81si8pB1L6a3tZsR2iMZetjaZ8KUj9wzwOxvwE= sha1/1IJp0cjjumkIefyLFKnWgcPxX4k= sha256/RzA3g81si8pB1L6a3tZsR2iMZetjaZ8KUj9wzwOxvwE=**Este erro ocorre quando utilizando o google chrome, tento acessar o endereço https://www.gmail.com. Por exemplo se eu acessar https://www.gmail.com.br já não ocorre isso só no gmail que está ocorrendo isso as demais páginas todas que testei até agora estão funcionando perfeitamente no google chrome inclusive as outras relacionadas ao google.
![Erro Google Chrome.png](/public/imported_attachments/1/Erro Google Chrome.png)
![Erro Google Chrome.png_thumb](/public/imported_attachments/1/Erro Google Chrome.png_thumb) -
Boa noite Pessoal,
fiz um vídeo explicando como configurar o Squid3-dev + SquidGuard3-Squid3 com Proxy Transparente conforme trata este tópico.
Espero que possa ajudar vocês.
Obrigado!
-
É possível sim fazer isso, ontem a tarde eu entrei em contato com a certsign e peguei um orçamento referente à geração deste tipo de certificado. Para os interessados o custo de um certificado desses é na faixa de R$1850,00 anual inclusive eu consegui um certificado de teste e funcionou perfeitamente.
A certsign vende certificados do tipo certificate authority ou somente de host/wildcard?
o squid precisa de uma unidade certificadora, não de um certificado de host.
-
Desculpa me referi errado Macello, ele precisa de uma autoridade certificadora. Exatamente a certisign vende os dois tipos de certificado.
-
fiz um vídeo explicando como configurar o Squid3-dev + SquidGuard3-Squid3 com Proxy Transparente conforme trata este tópico.
Fixado nos tutoriais, Obrigado pela contribuição.
-
Boa Noite Marcello
Como faz para colocar o antivirus via icap nessa versão do squid?
tem algum tutorial?obrigado.
-
Como faz para colocar o antivirus via icap nessa versão do squid?
Na versão 32 bits, segundoEduardo Gonçalves já é funcional.
-
@ marcelloc,
Please, excuse me for not portuguese speaking…
Help at Spanish Forum, squid3-devel + squidGuard-squid3 not working!
squid3 + squidGuard-squid3 working.
https://forum.pfsense.org/index.php?topic=73007.msg401975#msg401975
Thanks,
Josep (Spanish Moderator)
-
o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:
https://forum.pfsense.org/index.php?topic=72443.msg395218#msg395218
Troque o seu check_ip por este por este em anexo@calebepereira@hotmail.com:
o check_ip.php esta com erro. segue o forum que achei o erro:
-
@calebepereira@hotmail.com:
o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:
Apliquei o patch no pacote, basta reinstalar. Obrigado pela ajuda.