Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

Aparentemente o squidguard está procurando a lista de outras acls.

Crie a primeira e veja se o erro some.

joaobrn

@marcelloc:

Aparentemente o squidguard está procurando a lista de outras acls.

Crie a primeira e veja se o erro some.

Boa tarde Marcello,

Realmente como você disse, criei a primeira e depois sumiu. Eu pensei que fosse um erro porque na versão 2.0 do squid não acontece isso.

Eu li todos os post do forum Marcello e vi que em um deles, alguem lhe fez a mesma pergunta que te fiz ontem em relação a utilizar certificado da certsign por exemplo no firewall para o squid eliminando a necessidade de importar os certificados no navegador. É possível sim fazer isso, ontem a tarde eu entrei em contato com a certsign e peguei um orçamento referente à geração deste tipo de certificado. Para os interessados o custo de um certificado desses é na faixa de R$1850,00 anual inclusive eu consegui um certificado de teste e funcionou perfeitamente.

Mudando de assunto, precisava de outra ajuda, se alguém souber, me ajuda por gentileza.

fiz as configurações tudo certinho com o certificado gerado pelo pfsense e importei no navegador, no internet explorer e no firefox funcionou perfeitamente todas as páginas que eu tentei navegar, no google chrome eu tive a seguinte mensagem de erro conforme anexo e abaixo:

**Não é possível se conectar ao www.gmail.com real

Algo está interferindo em sua conexão segura com www.gmail.com no momento.

Tente recarregar esta página em alguns minutos ou após a mudança para uma nova rede.Se você tiver se conectado recentemente a uma nova rede Wi-Fi, termine o login antes de recarregar.

Se você visitasse www.gmail.com agora, poderia compartilhar informações privadas com um invasor. Para proteger sua privacidade, o Chrome não carregará a página até que possa estabelecer uma conexão segura com o www.gmail.com real.

Recarregar  Menos
O que isso significa?

www.gmail.com normalmente usa criptografia (SSL) para proteger suas informações. Quando o Chrome tentou se conectar a www.gmail.com desta vez, www.gmail.com retornou credenciais incomuns e incorretas. Isso significa que um invasor está fingindo ser www.gmail.com ou uma tela de login Wi-Fi interrompeu a conexão. Suas informações ainda estão protegidas porque o Chrome parou a conexão antes que os dados fossem trocados.

Erros de rede e ataques são geralmente temporários, por isso esta página provavelmente funcionará mais tarde. Você também pode tentar mudar para outra rede.

Detalhes técnicos

www.gmail.com solicitou que o Google Chrome bloqueie quaisquer certificados com erros, mas o certificado que o Chrome recebeu durante esta tentativa de conexão tem um erro.
Tipo de erro: HSTS failure
Assunto: mail.google.com
Emissor: proxy-ca
Hashes de chave pública: sha1/1IJp0cjjumkIefyLFKnWgcPxX4k= sha256/RzA3g81si8pB1L6a3tZsR2iMZetjaZ8KUj9wzwOxvwE= sha1/1IJp0cjjumkIefyLFKnWgcPxX4k= sha256/RzA3g81si8pB1L6a3tZsR2iMZetjaZ8KUj9wzwOxvwE=**

Este erro ocorre quando utilizando o google chrome, tento acessar o endereço https://www.gmail.com. Por exemplo se eu acessar https://www.gmail.com.br já não ocorre isso só no gmail que está ocorrendo isso as demais páginas todas que testei até agora estão funcionando perfeitamente no google chrome inclusive as outras relacionadas ao google.


joaobrn

Boa noite Pessoal,

fiz um vídeo explicando como configurar o Squid3-dev + SquidGuard3-Squid3 com Proxy Transparente conforme trata este tópico.

Espero que possa ajudar vocês.

Youtube Video

Obrigado!

marcelloc

@joaobrn:

É possível sim fazer isso, ontem a tarde eu entrei em contato com a certsign e peguei um orçamento referente à geração deste tipo de certificado. Para os interessados o custo de um certificado desses é na faixa de R$1850,00 anual inclusive eu consegui um certificado de teste e funcionou perfeitamente.

A certsign vende certificados do tipo certificate authority ou somente de host/wildcard?

o squid precisa de uma unidade certificadora, não de um certificado de host.

joaobrn

Desculpa me referi errado Macello, ele precisa de uma autoridade certificadora. Exatamente a certisign vende os dois tipos de certificado.

marcelloc

@joaobrn:

fiz um vídeo explicando como configurar o Squid3-dev + SquidGuard3-Squid3 com Proxy Transparente conforme trata este tópico.

Fixado nos tutoriais, Obrigado pela contribuição.

gomesrafa

Boa Noite Marcello
Como faz para colocar o antivirus via icap nessa versão do squid?
tem algum tutorial?

obrigado.

marcelloc

@gomesrafa:

Como faz para colocar o antivirus via icap nessa versão do squid?

Na versão 32 bits, segundoEduardo Gonçalves já é funcional.

bellera

@ marcelloc,

Please, excuse me for not portuguese speaking…

Help at Spanish Forum, squid3-devel + squidGuard-squid3 not working!

squid3 + squidGuard-squid3 working.

https://forum.pfsense.org/index.php?topic=73007.msg401975#msg401975

Thanks,

Josep (Spanish Moderator)

Guest

o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:

https://forum.pfsense.org/index.php?topic=72443.msg395218#msg395218

Troque o seu check_ip por este por este em anexo@calebepereira@hotmail.com:

o check_ip.php esta com erro. segue o forum que achei o erro:

check_ipphp.txt

marcelloc

@calebepereira@hotmail.com:

o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:

Apliquei o patch no pacote, basta reinstalar. Obrigado pela ajuda.

bellera

@bellera:

@ marcelloc,

Please, excuse me for not portuguese speaking…

Help at Spanish Forum, squid3-devel + squidGuard-squid3 not working!

squid3 + squidGuard-squid3 working.

https://forum.pfsense.org/index.php?topic=73007.msg401975#msg401975

Thanks,

Josep (Spanish Moderator)

squid3-devel working, explained (Spanish Forum)
http://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

squid3-devel + squidGuard-squid3 working, explained (Spanish Forum)
http://forum.pfsense.org/index.php?topic=73740.0

rbernardes

Boa tarde a todos

Consegui fazer o bloqueio de sites HTTPS em máquinas com Windows 7 e 8, sem problemas, com restrição de horário e tudo mais.
A minha encrenca está com o XP, já instalei o certificado CA nas máquinas, mas ainda assim recebo o erro abaixo:

Alguma dica?
PS: No Firefox funciona!

bellera

Autoridade de certificação Instalar o Windows é para o Internet Explorer, Outlook … (produtos Microsoft). Você deve instalar o Certificate Authority Firefox e Chrome.
A maneira mais fácil de fazer isso é ter uma URL onde o download do navegador.
Claro que você também pode fazê-lo a partir das configurações de cada navegador, mas são um pouco mais cliques.

Traduzido do catalão para o Português com o Google Translate

tecnico_crs

Galera segui todos os passos  do tutorial pelo youtube e esta funcionando certinho o squid e o squidguard. O problema que para o site do bradesco em uma página especifica da erro de certificado, informando que o certificado não é seguro. Desse modo não é possível seguir com as transações bancárias.

Liberei o Ip do usuário no proxy e funcionou normalmente, só que não posso deixar esse usuário liberado.

Já no site da caixa não funciona o certificado aparece site não seguro.  O restante dos demais sites estão ok.

Alguém tem alguma ideia para resolver esse problema?

marcelloc

@tecnico_crs:

Já no site da caixa não funciona o certificado aparece site não seguro.  O restante dos demais sites estão ok.

Alguém tem alguma ideia para resolver esse problema?

Veja como está o certificado nestes sites, se marcou a opção aceitar erros de certificado no squid, a decisão de acessar o site ou não vai para o cliente.

Você pode também criar uma acl para não filtrar ssl para sites problematicos.

hugodesouza

O squid não sobe.
Deu essa msg ao executar o comando  /usr/local/lib/libasn1.so.10 is not a directory
alguém poderia me ajudar?
Consigo resolver sem reinstalar?

marcelloc

Consegue resolver perfeitamente mudando seus critérios de pesquisa.
Esta pergunta já foi respondia em vários outros tópicos e tutoriais.

Guest

tenho um  firewall pfsense com todas as portas bloqueada liberei somente 7777 http e 7778 https.

pfsense 2.1 amd64
squid 3.3.10
captive portal
freeradiuns

removi:
squidguard
sarg
lightsquid

os usuários se autenticam no captiveportal,  buscando os usuários que está cadastrado no ldap do freeradiuns, uso proxy transparente com  CA,  proxy gera relatório por usuário autenticado no captiveportal, tenho 100 usuários conectados simultaneamente,  do nada para de navegar nem um serviço fica off, alguém me ajuda? qual tipo de log devo devo pegar?

tentei trocar de servidor, mas quando exporto o certificado para o servidor novo o squid não sobe, se eu criar um certificado novo no pfsense ai ele sobe. exite alguma outra forma exportar o certificado sem ser copiar colar?

pois se eu não consegui amanha terei que voltar a estrutura antiga com centOS, pois ta todo mundo querendo minha cabeça e com razão

tocolinux12

Marcelloc

Cara instalei aqui e ta tudo funcionando show de bola…E acabei de fazer a atualização do para a versão 2.2.2.. Tem algum diferença dessa versão para a anterior ?

marcelloc

@tocolinux12:

Marcelloc

Cara instalei aqui e ta tudo funcionando show de bola…E acabei de fazer a atualização do para a versão 2.2.2.. Tem algum diferença dessa versão para a anterior ?

Na versão do pacote 2.2.2 eu melhorei as integração das configurações padrão com as acls customizadas.

O custom options agora é custom acls(before auth) e custom acls(after auth).

Guest

agradeço a todos que me ajudaram. mas infelizmente não deu pra usa o pfsense.

marcelloc

@calebepereira@hotmail.com:

agradeço a todos que me ajudaram. mas infelizmente não deu pra usa o pfsense.

Que pena. Aqui tenho este ambiente funcionando.

teslacrew

Marcelo, boa tarde.
Amigo se puder me esclarece aqui …estou tentando configurar aqui no meu pfSense 2.1 o proxy transparente + squid3 + squidguard3, em um outro tutorial aqui no fórum informa para criar um certificado, eu tenho captive portal, fiz toda a instalação seguindo o tutorial só que quando eu habilito o squid e squidguard os sites https não abrem mesmo eu tenho instalado o certificado no browser, tô errando onde ? abs.

marcelloc

Interceptação de ssl só no squid3-dev.

teslacrew

Marcelo, eu instalei o Squid3-dev e o SquidGuard-squid3, detalhe que acabei atualizando o meu pfSense para a nova versão 2.1.1 .. abs

marcelloc

Veja com o tcpdump se as requisições estão chegando no squid.

Desabilite o squidguard até você conseguir fazer o ambiente funcionar.

dfioretti

Olá Pessoal,

Configurei o PfSense para interceptar o SSL, mas não está funcionando.

Segue o arquivo de squid.conf.

# This file is automatically generated by pfSense
# Do not edit manually !

http_port 192.168.117.250:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/

http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/

https_port 127.0.0.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/

icp_port 7
dns_v4_first on
pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_default_language pt-br
icon_directory /usr/pbi/squid-amd64/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
sslcrtd_program /usr/pbi/squid-amd64/libexec/squid/ssl_crtd -s /var/squid/lib/ssl_db -M 4MB -b 2048
sslcrtd_children 5
sslproxy_capath /usr/pbi/squid-amd64/share/certs/
sslproxy_cert_error allow all
sslproxy_cert_adapt setValidBefore all

logfile_rotate 0
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  192.168.117.0/24
httpd_suppress_version_string on
uri_whitespace strip

acl dynamic urlpath_regex cgi-bin \?
cache deny dynamic

cache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA

minimum_object_size 0 KB
maximum_object_size 10 KB
offline_mode off
cache allow all

# No redirector configured

#Remote proxies

# Setup some default acls
# From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
# acl localhost src 127.0.0.1/32
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3127 1025-65535
acl sslports port 443 563

# From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
#acl manager proto cache_object

acl purge method PURGE
acl connect method CONNECT

# Define protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
acl allowed_subnets src 192.168.117.0/24
acl blacklist dstdom_regex -i "/var/squid/acl/blacklist.acl"
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
# From 3.2 further configuration cleanups have been done to make things easier and safer.
# The manager, localhost, and to_localhost ACL definitions are now built-in.
# http_access allow localhost

request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrc

# Reverse Proxy settings

# Custom options

# Block access to blacklist domains
http_access deny blacklist
always_direct allow all
ssl_bump server-first all
acl sglog url_regex -i sgr=ACCESSDENIED
http_access deny sglog
# Setup allowed acls
# Allow local network(s) on interface(s)
http_access allow allowed_subnets
http_access allow localnet
# Default block all to be sure
http_access deny allsrc

Alguém pode me ajudar?

Desde já obrigado!!!

Cortez

@teslacrew:

Marcelo, eu instalei o Squid3-dev e o SquidGuard-squid3, detalhe que acabei atualizando o meu pfSense para a nova versão 2.1.1 .. abs

Marcelo, também estou com o mesmo problema do amigo acima, estava com tudo rodando redondinho squid transparent +squidguard, fui atualizar o pfsense pra versão 2.1.1 começou dar problemas, toda página https que tento abrir da erro de certificado, sabe o que pode ser? já quebrei a cabeça aqui e não consegui resolver, estou pensando em voltar pro pfsense 2.1.

marcelloc

Não testei a atualização da 2.1 para a 2.1.1 com o squid.

O primeiro passo é verificar se o certificado é o mesmo.

dfioretti

Pessoal,

Seguem mais informações sobre o squid aqui.

[2.1-RELEASE][root@pfsense.localdomain]/root(20): netstat -an | grep LISTEN
tcp4      0      0 127.0.0.1.3129        .                    LISTEN
tcp4      0      0 127.0.0.1.3128        .                    LISTEN
tcp4      0      0 192.168.117.250.3128  .                    LISTEN
tcp6      0      0 *.53                  .                    LISTEN
tcp4      0      0 *.53                  .                    LISTEN
tcp4      0      0 *.22                  .                    LISTEN
tcp6      0      0 *.22                  .                    LISTEN
tcp4      0      0 *.80                  .                    LISTEN
tcp6      0      0 *.443                  .                    LISTEN
tcp4      0      0 *.443                  .                    LISTEN

FreeBSD pfsense.localdomain 8.3-RELEASE-p11 FreeBSD 8.3-RELEASE-p11 #0: Wed Sep 11 18:51:23 EDT 2013    root@snapshots-8_3-amd64.builders.pfsense.org:/usr/obj.pfSense/usr/pfSensesrc/src/sys/pfSense_SMP.8  amd64

Criei a CA e importei como Trusted Root CA no cliente para teste.

O acesso na 3128 está 100% ok, mas na 3129 nada.

Alguma luz?

At.,

Daniel.

marcelloc

O que aparece no cache.log?

dfioretti

Bom dia, Marcello.

Segue log.

2014/04/08 09:11:28 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3...
2014/04/08 09:11:28 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt
2014/04/08 09:11:28 kid1| Unable to load default error language files. Reset to backups.
2014/04/08 09:11:28 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt
2014/04/08 09:11:28 kid1| WARNING: failed to find or read error text file error-details.txt
2014/04/08 09:11:28| pinger: Initialising ICMP pinger ...
2014/04/08 09:11:28 kid1| Shutdown: NTLM authentication.
2014/04/08 09:11:28 kid1| Shutdown: Negotiate authentication.
2014/04/08 09:11:28 kid1| Shutdown: Digest authentication.
2014/04/08 09:11:28 kid1| Shutdown: Basic authentication.
2014/04/08 09:11:36 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3...
2014/04/08 09:11:36 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt
2014/04/08 09:11:36 kid1| Unable to load default error language files. Reset to backups.
2014/04/08 09:11:36 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt
2014/04/08 09:11:36 kid1| WARNING: failed to find or read error text file error-details.txt
2014/04/08 09:11:36| pinger: Initialising ICMP pinger ...
2014/04/08 09:11:40 kid1| Starting Squid Cache version 3.3.10 for amd64-portbld-freebsd8.3...
2014/04/08 09:11:40 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/en/error-details.txt
2014/04/08 09:11:40 kid1| Unable to load default error language files. Reset to backups.
2014/04/08 09:11:40 kid1|  parse error while reading template file: /usr/pbi/squid-amd64/etc/squid/errors/templates/error-details.txt
2014/04/08 09:11:40 kid1| WARNING: failed to find or read error text file error-details.txt
2014/04/08 09:11:40| pinger: Initialising ICMP pinger ...

No browser IE com o CA instalado eu tenho essa msg:

•Check your proxy settings 192.168.117.250:3129.
Go to Tools > Internet Options > Connections. If you are on a LAN, click “LAN settings”.
•Make sure your firewall settings aren’t blocking your web access.
•Ask your system administrator for help.

Tcpdump no PfSense.

[2.1-RELEASE][root@pfsense.localdomain]/var/squid/logs(9): tcpdump not port 22 and host 192.168.117.89 and port 3129
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
09:28:37.816210 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
09:28:40.806905 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
09:28:46.813291 IP 192.168.117.89.49229 > pfsense.localdomain.3129: Flags [s], seq 3453049056, win 8192, options [mss 1460,nop,nop,sackOK], length 0
09:28:58.811285 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
09:29:01.820173 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
09:29:07.826499 IP 192.168.117.89.49230 > pfsense.localdomain.3129: Flags [s], seq 1367197418, win 65535, options [mss 1460,nop,nop,sackOK], length 0
[code]

Obrigado.

Daniel.[/code][/s][/s][/s][/s][/s][/s]

marcelloc

Você está usando proxy transparente? Se for marcar o proxy no navegador,  use a porta 3128 mesmo.

marcelloc

Olhando o tcpdump, acredito que esteja faltando também a regra que libera acesso local a 3129.

As conexões não estáo chegando ao squid.

dfioretti

Marcello,

Segue resumo das "regras" do Firewall.

Interface LAN
Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * *      * *                 * *         none

Estou usando como proxy transparente, pelo que você disse, tenho que configurar no browser somente a porta 3128 para todos os protocolos, certo?

Devo mudar também a porta do SSL nas confs do squid ou devo manter 3129?

At.,

Daniel

marcelloc

@dfioretti:

Segue resumo das "regras" do Firewall.

Interface LAN
Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * *      * *                 * *         none

Esse resumo diz:
Tenho um firewall totalmente aberto, nenhuma restrição de saída.

Pode usar o proxy em modo transparente, mas sugiro fortemente você rever suas regras.

dfioretti

Marcello,

Sim, tenho um firewall completamente aberto, pois estou querendo testar unicamente o SQUID.

Firewall e cliente estão confinados em um ambiente virtualizado tendo acesso externo somente pela interface WAN do firewall.

Você tem um ambiente de teste para que eu possa comparar com o meu?

At.,

Daniel.

sapodexter

Olá pessoal sou novo aqui no fórum, adotei aqui na empresa o Pfsense, gostei muito da ferramenta, atende muito bem minha necessidade, mas recentemente eu fiz o filtro de ssl/https e funcionou perfeito, mas fui atualizar o firmware do pfsense pra versão recente e aí começara meus problemas, não consigo mais fazer funcionar o meu certificado, ele tá dando esse erro no navegador " O servidor www.google.com.br usa um certificado de segurança inválido. O certificado não é considerado confiável porque é autoassinado. O certificado é válido somente para proxy-ca. (Código do erro: sec_error_untrusted_issuer) ", eu já removi o certificado, criei outro e instalei mas sem sucesso. Será que alguém aqui já teve esse mesmo problema e pode me ajudar ??????

marcelloc

Coloque estas acl no campo Custom ACLS (Before_Auth)

always_direct allow all
ssl_bump server-first all

Na versão 3.2.3 já está corrigida, mas infelizmente o repositório dos pacotes agora só é alterado pelo core team.

Uma atualização que demorava minutos agora pode levar dias… como acontece com o snort.