Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
ok obrigado
Marcelloc
Desculpe a demora em responder estava meio corrido mais fiz o que me passou e deu certo só teve um problema ele passou a abrir somente a pagina do google o resto dava erro sabe o que pode ser ? mais uma duvida que tipo de CA devo criar para ele não dar erros em https ?
-
Marcello Boa noite,
Gostaria de tirar algumas dúvidas!!
-
Se eu instalar a versão que está em System > Packages > Available Packages > Squid3-dev 3.3.10 pkg 2.2 ainda sim será necessário fazer a instalação das bibliotecas conforme início do post ou já são instaladas automaticamente?
-
É possível eu fazer a utilização de um certificado adquirido por mim no serasa por exemplo para configurar o squid do pfsense para que não seja necessário instalar a CRT no browser? Se sim, sabe me dizer como devo proceder?
-
O SquidGuard eu posso instalar a versão SquidGuard-squid3 1.4_4 pkg v.1.9.5 ou utilizo alguma outra versão diferente?
Obrigado!
-
-
Boa Tarde Marcello,
desde ontem estou fazendo os testes e depois de muita pesquisa consegui a resposta para todas as minhas perguntas realizadas no post anterior.
Está de parabéns pelo projeto, funcionou tudo perfeitamente com exceção de um suposto erro que encontrei conforme anexo.
Obrigado!
-
Aparentemente o squidguard está procurando a lista de outras acls.
Crie a primeira e veja se o erro some.
-
Aparentemente o squidguard está procurando a lista de outras acls.
Crie a primeira e veja se o erro some.
Boa tarde Marcello,
Realmente como você disse, criei a primeira e depois sumiu. Eu pensei que fosse um erro porque na versão 2.0 do squid não acontece isso.
Eu li todos os post do forum Marcello e vi que em um deles, alguem lhe fez a mesma pergunta que te fiz ontem em relação a utilizar certificado da certsign por exemplo no firewall para o squid eliminando a necessidade de importar os certificados no navegador. É possível sim fazer isso, ontem a tarde eu entrei em contato com a certsign e peguei um orçamento referente à geração deste tipo de certificado. Para os interessados o custo de um certificado desses é na faixa de R$1850,00 anual inclusive eu consegui um certificado de teste e funcionou perfeitamente.
Mudando de assunto, precisava de outra ajuda, se alguém souber, me ajuda por gentileza.
fiz as configurações tudo certinho com o certificado gerado pelo pfsense e importei no navegador, no internet explorer e no firefox funcionou perfeitamente todas as páginas que eu tentei navegar, no google chrome eu tive a seguinte mensagem de erro conforme anexo e abaixo:
**Não é possível se conectar ao www.gmail.com real
Algo está interferindo em sua conexão segura com www.gmail.com no momento.
Tente recarregar esta página em alguns minutos ou após a mudança para uma nova rede.Se você tiver se conectado recentemente a uma nova rede Wi-Fi, termine o login antes de recarregar.
Se você visitasse www.gmail.com agora, poderia compartilhar informações privadas com um invasor. Para proteger sua privacidade, o Chrome não carregará a página até que possa estabelecer uma conexão segura com o www.gmail.com real.
Recarregar Menos
O que isso significa?www.gmail.com normalmente usa criptografia (SSL) para proteger suas informações. Quando o Chrome tentou se conectar a www.gmail.com desta vez, www.gmail.com retornou credenciais incomuns e incorretas. Isso significa que um invasor está fingindo ser www.gmail.com ou uma tela de login Wi-Fi interrompeu a conexão. Suas informações ainda estão protegidas porque o Chrome parou a conexão antes que os dados fossem trocados.
Erros de rede e ataques são geralmente temporários, por isso esta página provavelmente funcionará mais tarde. Você também pode tentar mudar para outra rede.
Detalhes técnicos
www.gmail.com solicitou que o Google Chrome bloqueie quaisquer certificados com erros, mas o certificado que o Chrome recebeu durante esta tentativa de conexão tem um erro.
Tipo de erro: HSTS failure
Assunto: mail.google.com
Emissor: proxy-ca
Hashes de chave pública: sha1/1IJp0cjjumkIefyLFKnWgcPxX4k= sha256/RzA3g81si8pB1L6a3tZsR2iMZetjaZ8KUj9wzwOxvwE= sha1/1IJp0cjjumkIefyLFKnWgcPxX4k= sha256/RzA3g81si8pB1L6a3tZsR2iMZetjaZ8KUj9wzwOxvwE=**Este erro ocorre quando utilizando o google chrome, tento acessar o endereço https://www.gmail.com. Por exemplo se eu acessar https://www.gmail.com.br já não ocorre isso só no gmail que está ocorrendo isso as demais páginas todas que testei até agora estão funcionando perfeitamente no google chrome inclusive as outras relacionadas ao google.
 -
Boa noite Pessoal,
fiz um vídeo explicando como configurar o Squid3-dev + SquidGuard3-Squid3 com Proxy Transparente conforme trata este tópico.
Espero que possa ajudar vocês.
Obrigado!
-
É possível sim fazer isso, ontem a tarde eu entrei em contato com a certsign e peguei um orçamento referente à geração deste tipo de certificado. Para os interessados o custo de um certificado desses é na faixa de R$1850,00 anual inclusive eu consegui um certificado de teste e funcionou perfeitamente.
A certsign vende certificados do tipo certificate authority ou somente de host/wildcard?
o squid precisa de uma unidade certificadora, não de um certificado de host.
-
Desculpa me referi errado Macello, ele precisa de uma autoridade certificadora. Exatamente a certisign vende os dois tipos de certificado.
-
fiz um vídeo explicando como configurar o Squid3-dev + SquidGuard3-Squid3 com Proxy Transparente conforme trata este tópico.
Fixado nos tutoriais, Obrigado pela contribuição.
-
Boa Noite Marcello
Como faz para colocar o antivirus via icap nessa versão do squid?
tem algum tutorial?obrigado.
-
Como faz para colocar o antivirus via icap nessa versão do squid?
Na versão 32 bits, segundoEduardo Gonçalves já é funcional.
-
@ marcelloc,
Please, excuse me for not portuguese speaking…
Help at Spanish Forum, squid3-devel + squidGuard-squid3 not working!
squid3 + squidGuard-squid3 working.
https://forum.pfsense.org/index.php?topic=73007.msg401975#msg401975
Thanks,
Josep (Spanish Moderator)
-
o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:
https://forum.pfsense.org/index.php?topic=72443.msg395218#msg395218
Troque o seu check_ip por este por este em anexo@calebepereira@hotmail.com:
o check_ip.php esta com erro. segue o forum que achei o erro:
-
@calebepereira@hotmail.com:
o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:
Apliquei o patch no pacote, basta reinstalar. Obrigado pela ajuda.
-
@ marcelloc,
Please, excuse me for not portuguese speaking…
Help at Spanish Forum, squid3-devel + squidGuard-squid3 not working!
squid3 + squidGuard-squid3 working.
https://forum.pfsense.org/index.php?topic=73007.msg401975#msg401975
Thanks,
Josep (Spanish Moderator)
squid3-devel working, explained (Spanish Forum)
http://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349squid3-devel + squidGuard-squid3 working, explained (Spanish Forum)
http://forum.pfsense.org/index.php?topic=73740.0 -
Boa tarde a todos
Consegui fazer o bloqueio de sites HTTPS em máquinas com Windows 7 e 8, sem problemas, com restrição de horário e tudo mais.
A minha encrenca está com o XP, já instalei o certificado CA nas máquinas, mas ainda assim recebo o erro abaixo:
Alguma dica?
PS: No Firefox funciona! -
Autoridade de certificação Instalar o Windows é para o Internet Explorer, Outlook … (produtos Microsoft). Você deve instalar o Certificate Authority Firefox e Chrome.
A maneira mais fácil de fazer isso é ter uma URL onde o download do navegador.
Claro que você também pode fazê-lo a partir das configurações de cada navegador, mas são um pouco mais cliques.Traduzido do catalão para o Português com o Google Translate
-
Galera segui todos os passos do tutorial pelo youtube e esta funcionando certinho o squid e o squidguard. O problema que para o site do bradesco em uma página especifica da erro de certificado, informando que o certificado não é seguro. Desse modo não é possível seguir com as transações bancárias.
Liberei o Ip do usuário no proxy e funcionou normalmente, só que não posso deixar esse usuário liberado.
Já no site da caixa não funciona o certificado aparece site não seguro. O restante dos demais sites estão ok.
Alguém tem alguma ideia para resolver esse problema?
-
Já no site da caixa não funciona o certificado aparece site não seguro. O restante dos demais sites estão ok.
Alguém tem alguma ideia para resolver esse problema?
Veja como está o certificado nestes sites, se marcou a opção aceitar erros de certificado no squid, a decisão de acessar o site ou não vai para o cliente.
Você pode também criar uma acl para não filtrar ssl para sites problematicos.
-
O squid não sobe.
Deu essa msg ao executar o comando /usr/local/lib/libasn1.so.10 is not a directory
alguém poderia me ajudar?
Consigo resolver sem reinstalar?
