Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

Veja se não é só isso que está faltando…

https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514

BySec

Muito obrigado MARCELLOC, era somente isso mesmo, parabens pelo otimo trabalho

rec

@BySec:

Muito obrigado MARCELLOC, era somente isso mesmo, parabens pelo otimo trabalho

Eu tinha este mesmo problema. Valeu MARCELLOC, deu certo aqui também.

Att.

whitexp

ola ,
instalando o squid devel hj  na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

obrigado

reginaldo_barreto

@whitexp:

ola ,
instalando o squid devel hj  na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

obrigado

Atualizei minha versão hoje para 2.1.3 e estou ansioso para colocar esse squid3 para rodar !!!

Abraços

marcelloc

@whitexp:

instalando o squid devel hj  na versao 2.1.3 ainda é necessario importar estas bibliotecas ou ja estao incluidas?

Segundo report de alguns usuário, as bibliotecas já fazem parte do pacote/pfsense.

reginaldo_barreto

Valeu !!

reginaldo_barreto

Acabei de testar, é só baixar os pacotes habilitar e correr para o abraço !!!

reginaldo_barreto

Está funcionando o Block MIME types (reply only) ?

Pois não estou conseguindo bloquear os videos do youtube.

Estou usando as seguintes linhas.

^video/mpeg$
^video/quicktime$
^video/sd-video
^video/msvideo$
^video/mp4$
^video/flc$
^video/divx$
^video/avi$
^video/3gpp2$
^video/3gpp$
^video/x-la-asf$
^video/x-ms-asf$
^video/x-msvideo$
^video/x-sgi-movie$
^video/x-dv$
^video/x-ivf$
^video/x-m4v$
^video/x-mpeg$
^video/x-ms-asf$
^video/x-ms-asf-plugin$
^video/x-ms-wm$
^video/x-ms-wmv$
^video/x-ms-wmx$
^video/x-msvideo$
^video/x-ms-asx$
^video/x-ms-wvx$
^video/flv$
^video/x-flv$
^video/x-msvideo$

marcelloc

@Reginaldo:

Pois não estou conseguindo bloquear os videos do youtube.

Veja no log do squid qual mime type ele identificou.

rec

Em alguns sites como Banco do Brasil eu não estou tendo sucesso. A conexão é HTTS e já coloquei o "bb.com.br" no Whitelist do Proxy Server e não funciona, para meu usuário entrar no Banco do Brasil eu tenho que desabilidar o "HTTPS/SSL interception".

Como posso colocar o Banco do Brasil totalmente liberado?

marcelloc

@rec.br9:

Como posso colocar o Banco do Brasil totalmente liberado?

Com proxy não transparente, basta colocar na whitelist ou criar uma custom acl com ssl_bump none sites_banco
Com proxy transparente, crie um alias de rede ou host e configure a opção Bypass proxy for these destination IPs com este alias.

redhaqi

@marcelloc:

Olá pessoal,

Acabei de subir a primeira versão devel do squid 3.3 para pfsense

Principais alterações

• Atualização do squid para a última versão estável (3.3.5)

• ativação do proxy por interface

• ativação do proxy transparente por interface

• ativação do filtro de ssl por interface

• Integração do Antivirus via i-cap

• Incluída a opção para logar os access denied do squidguard no squid também (requer esta opção e uma pequena alteração no sgerror.php)

Bugs / Problemas ainda não corrigidos

• Integração do clamav via icap só gera erro para o usuário

• Se você estiver recebendo este erro ao tentar executar o squid 3.3.5(Shared object "libgssapi.so.10" not found, required by "squid"'),
  Execute os comandos do final do post prestando atenção na versão do seu pfsense (amd64 ou i386)

• Para um funcionamento correto na 2.0.3, é preciso habilitar o ipv6

Por favor pense fortemente em ajudar no desenvolvimento desta ferramenta através de doações. Tenho certeza que muitos querem esta funcionalidade no pfsense.

Procedimento para testar no pfsense 2.1

Basta instalar o pacote e copiar as bibliotecas faltantes

Download das bibliotecas

versão i386

fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libroken.so.10

versão amd64

fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libroken.so.10

Se for usar o filtro de ssl, é necessário criar uma CA no pfsense e instalar o certificado em cada estação de trabalho para evitar mensagens de erro de ssl para os clientes
Segue print de um site com erro no certificado e outro site com certificado ok.
Testei no firefox depois de instalar o CRT da CA do pfsense.
O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

AVISO:
Filtrar conexões ssl pode ter implicações legais, verifique se a politica de acesso da empresa permite este tipo de filtro e se você tem autorização para tal. Avisar os usuários por meio de politica ou comunidado também é uma boa idéia.

Sites na whitelist não passam pelo filtro de SSL.

att,
Marcello Coutinho

Boa noite pessoal ..

.. entao conforme o Marcelo explicou ai  (segui o tuto )…. fiz os testes aqui e funcionou  ...quase tudo perfeitamente ... porem surgiu um pequeno problema comigo e espero que me ajudem ...
meu problema ficou por conta do Skype no momento de autenticar com a conta microsoft ... o resto funcionou 100% ...
por exemplo se eu usar uma conta do Skype roda tranquilo ... no momento que eu tendo autenticar usando a conta microsoft ... nao vai de maneira nenhuma ... pesquisei no forum .... algumas  possiveis solucoes .. mais ainda nao achei algo .... que funcione ...
estou usando SQUID3-DEV + SQUIDGUARD3+ SSL ....
Alguem pode me ajudar !????

marcelloc

@redhaqi:

no momento que eu tendo autenticar usando a conta microsoft … nao vai de maneira nenhuma ...

O que os logs te mostram?

rec

@marcelloc:

@rec.br9:

Como posso colocar o Banco do Brasil totalmente liberado?

Com proxy não transparente, basta colocar na whitelist ou criar uma custom acl com ssl_bump none sites_banco
Com proxy transparente, crie um alias de rede ou host e configure a opção Bypass proxy for these destination IPs com este alias.

Deu certo, valeu novamente marcelloc. Grande Abraço!

gilles.villeneuve

@LCantano:

Boa tarde a todos

A whitelist do squid funciona porém somente em alguns casos conforme post do nosso amigo abaixo

@Ivart:

Eu não utilizo a whitlelist. Vocês estão tentando criar uma lista em que o squid não utilize a interceptação SSL? Que a comunicação seja feita diretamente entre browser e site, no caso de bancos e sites do governo seria o ideal porque a técnica man-in-the-middle não é 100% garantida. Eu criei um arquivos com todos os sites que não precisam ser interceptados "/var/squid/acl/nossl_sites.acl" e inclui no Custom Options do squid3-dev:

acl nossl_sites dstdomain "/var/squid/acl/nossl_sites.acl"
ssl_bump none nossl_sites

Resolvi meu problema criando um alias com o range dos sites que não quero que passe pelo proxy e adicionei o alias na aba services\proxy server\Bypass proxy for these destination IPs:

Agora estou conseguindo fazer as atualizações do windows normalmente.

Minha opnião faça a inclusão do site no whitelist e teste. Caso não libere do bloqueio encontre o range do site e adicione no alias que está adicionado no campo Bypass proxy for these destination IPs.

Falow

Olá amigo, boa tarde.
Criou o alias através do Firewall, aliases?
Pois criei por ali, mas não funcionou, se eu coloco o IP direto no bypass, funciona de boa, mas se eu colocar o aliases que eu criei, não rola.
Obrigado.
Fica com Deus.
Att.,

pfirewa

2 DUVIDAS:

-  Como faço pra instalar o Certificado no mozila, dentro do Linux, no mozila no Windows eu consigo fácil, mas não existe a mesma opção no mozila linux.
  - como faço pro dopbox Sincronizar , pois o mesmo não funciona.

marcelloc

@pfirewa:

-  Como faço pra instalar o Certificado no mozila, dentro do Linux, no mozila no Windows eu consigo fácil, mas não existe a mesma opção no mozila linux.

Do mesmo jeito. aqui a opção apareceu sem problema.

@pfirewa:

• como faço pro dopbox Sincronizar , pois o mesmo não funciona.

veja os hosts que ele está tentando usar e coloque para não interceptar.

pfirewa

importação de certificado.

eu tenho um certificado no 2.1.0,  exporto o certificado direitinho, ai o squid não sobe, crio um outro certificado na maquina que estou exportando ai o squid sob. não testei isso na verão 2.1.3,  só de curiosidade marcello vc que é um cara que ta no meio dos peixes grandes do pfsense, tem previsão estimada pra lançar o pfsense 2.2?

marcelloc

@pfirewa:

vc que é um cara que ta no meio dos peixes grandes do pfsense,

Loooonge disso  :)

@pfirewa:

tem previsão estimada pra lançar o pfsense 2.2?

Todos estão especialmente empenhados nisso, o freebsd 8.3 que é usado no pfsense 2.0 e 2.1 está perto de ficar sem suporte e atualizações.