Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

Consegue interpretar o que o log esta mostrando?

Mude a linguagem do relatório.

Subi uma atualização agora a pouco para corrigir os warnings de acl para 127.0.0.1. Basta reinstalar o pacote.

gst.freitas

ja mudei. e continua sem acessar.. só acessa sem passar pelo proxy..

marcelloc

@gst.freitas:

ja mudei. e continua sem acessar.. só acessa sem passar pelo proxy..

E o que tem nos logs? Passe mais informações para facilitar o diagnostico.

gst.freitas

2013/05/14 21:52:04 kid1| Max Mem  size: 8192 KB
2013/05/14 21:52:04 kid1| Max Swap size: 0 KB
2013/05/14 21:52:04 kid1| Using Least Load store dir selection
2013/05/14 21:52:04 kid1| Current Directory is /usr/local/www
2013/05/14 21:52:04 kid1| Loaded Icons.
2013/05/14 21:52:04 kid1| HTCP Disabled.
2013/05/14 21:52:04 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/05/14 21:52:04 kid1| sendto FD 19: (1) Operation not permitted
2013/05/14 21:52:04 kid1| ipcCreate: CHILD: hello write test failed

as telas

marcelloc

ps ax | grep squid

nestat -an | grep -i listen

Consegue ver o squid rodando e ouvindo na 3128?

gst.freitas

esta rodando, mas não na porta, apesar que esta setado na 3128.

[2.0.3-RELEASE][admin@pfSense]/var/squid/logs(31): netstat  -an | grep -i listen
tcp4       0      0 *.80                   *.*                    LISTEN
tcp4       0      0 *.8080                 *.*                    LISTEN
tcp6       0      0 *.53                   *.*                    LISTEN
tcp4       0      0 *.53                   *.*                    LISTEN
tcp4       0      0 *.443                  *.*                    LISTEN
tcp4       0      0 *.22                   *.*                    LISTEN
tcp6       0      0 *.22                   *.*                    LISTEN
[2.0.3-RELEASE][admin@pfSense]/var/squid/logs(32): ps ax | grep squid
 3776  ??  Is     0:00.00 /usr/local/sbin/squid -f /usr/local/etc/squid/squid.conf
 4021  ??  I      0:00.08 (squid-1) -f /usr/local/etc/squid/squid.conf (squid)
25013   0  R+     0:00.00 grep squid

a porta esta CLOSED..

tcp4       0      0 192.168.0.8.8080       192.168.0.3.50584      ESTABLISHED
tcp4       0      0 127.0.0.1.3128         *.*                    CLOSED
tcp4       0      0 192.168.0.8.3128       *.*                    CLOSED
tcp4       0     52 192.168.0.8.22         192.168.0.3.59640      ESTABLISHED

continua apresentando erro de linguagem..  mesmo escolhendo "ingles"

2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/ERR_SECURE_CONNECT_FAIL': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/ERR_UNSUP_HTTPVERSION': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/ERR_PRECONDITION_FAILED': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/ERR_CONFLICT_HOST': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/ERR_ESI': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/ERR_ICAP_FAILURE': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/ERR_GATEWAY_FAILURE': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/ERR_DIR_LISTING': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| '/usr/local/etc/squid/errors/English/error-details.txt': (2) No such file or directory
2013/05/14 23:51:36 kid1| Unable to load default error language files. Reset to backups.
2013/05/14 23:51:36 kid1| Logfile: opening log /var/squid/logs/access.log
2013/05/14 23:51:36 kid1| WARNING: log parameters now start with a module name. Use 'stdio:/var/squid/logs/access.log'
2013/05/14 23:51:36 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2013/05/14 23:51:36 kid1| Store logging disabled
2013/05/14 23:51:36 kid1| Swap maxSize 0 + 8192 KB, estimated 630 objects
2013/05/14 23:51:36 kid1| Target number of buckets: 31
2013/05/14 23:51:36 kid1| Using 8192 Store buckets
2013/05/14 23:51:36 kid1| Max Mem  size: 8192 KB
2013/05/14 23:51:36 kid1| Max Swap size: 0 KB
2013/05/14 23:51:36 kid1| Using Least Load store dir selection
2013/05/14 23:51:36 kid1| Current Directory is /usr/local/www
2013/05/14 23:51:36 kid1| Loaded Icons.
2013/05/14 23:51:36 kid1| HTCP Disabled.
2013/05/14 23:51:36 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/05/14 23:51:36 kid1| sendto FD 19: (1) Operation not permitted
2013/05/14 23:51:36 kid1| ipcCreate: CHILD: hello write test failed

marcelloc

Tenta esta versão do squid compilada sem ipv6

amd64
http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.4.tbz

i386
http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.4.tbz

Com relação a linguagem do report, veja quais existem no filesystem, antes de alterar.

thiagomespb

Marcelo,

Tambem fiz o teste e deu erro, como se instala essa versão sem o ipv6.

marcelloc

@thiagomespb:

Marcelo,

Tambem fiz o teste e deu erro, como se instala essa versão sem o ipv6.

Instala o squid3-dev de depois na console instala esta versão sem ipv6 com o pkg_add -rf url_para_o_pacote.

Lembre de postar mais detalhes como os que descrevi no post acima.

dbannack

Ola,

Com a versão sem ipv6 tá funcionando…
Mais como faço p/ funcionar o ssl na 443, não estou conseguindo setar os certificados..
Fica aparecendo a mensagem  de erro de certificado no navegador..
Consegue nos passar uma breve explicação para fazer a configuração dos certificados da ssl?

marcelloc

@dbannack:

Consegue nos passar uma breve explicação para fazer a configuração dos certificados da ssl?

Cria uma ca e um certificado no pfsense(system -> cert manager) no lugar de usar o certificado webconfigurator padrão.

didonsom

Olá Marcelloc Boa tarde!

Sabe dizer se agora com esse novo pacote do squid o sguidguard exibe a sgerror.php em paginas https?

abraços

Diego

marcelloc

@didonsom:

Sabe dizer se agora com esse novo pacote do squid o sguidguard exibe a sgerror.php em paginas https?

Com o filtro ssl habilitado e funcionando sim.

didonsom

Olá Marcelloc

Fiz os testes e o squid3 funcionou perfeitamente, mas o squidguard deu erro, não subiu de jeito nenhum…

abraços,

diego

marcelloc

No squid 3.3, o squidguard é executado sob demanda.

gilmarcabral

Bom dia.
Comecei a testar o squid-dev.
Fiz a instalação utilizando a GUI, baixei as bibliotecas que o squid-dev necessita e fiz a configuração do squid via GUI.
Porem o serviço não inicializa.
Quando tento iniciar o serviço via console para ver o erro recebo a seguinte mensagem.

squid -k reconfigure
2013/05/16 09:06:50| ERROR: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
FATAL: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
Squid Cache (Version 3.3.4): Terminated abnormally.
CPU Usage: 0.010 seconds = 0.010 user + 0.000 sys
Maximum Resident Size: 40208 KB
Page faults with physical i/o: 0

Configurei o squid para autenticar em base openldap.
Obs.
Só instalei o squid-dev não instalei squidguard e nem outra versão do squid.
Desde já agradeço

LFCavalcanti

Olá!

Marcelloc,
Primeiro, parabéns pelo trabalho e obrigado por esta função que pode ser muito interessante.

Duas perguntas:
1 - O Filtro SSL é de certa forma um exploit?
2 - O Snort ou o próprio antivírus não irão detectar alguma mudança nos pacotes?

marcelloc

@LFCavalcanti:

1 - O Filtro SSL é de certa forma um exploit?

Não é um exploit, a técnica aplicada é a do men-in-the-middle. O squid fecha um ssl com o site e outro com o cliente.

@LFCavalcanti:

2 - O Snort ou o próprio antivírus não irão detectar alguma mudança nos pacotes?

Não, quem vai altertar e reclamar é o browser cliente se o certificado do servidor não estiver instalado.

marcelloc

@gilmarcabral:

2013/05/16 09:06:50| ERROR: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
FATAL: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory

Os nomes mudaram. squid_ldap_auth mudou para basic_ldap_auth

Vou atualizar o código e republicar.

marcelloc

pacote versão 2.1.1 publicada

Principais mudanças

• Corrigido os nomes dos plugins de autenticação

• Incluido mais opções de verificação de certificado(ssl_crt)

• Incluído campo para refresh_pattern customizado na aba cache para melhor controle de conteúdo dinamico.

• (re)Incluído acl de cache no squid.inc(provavelmente resolve o problema de cache quando habilitado cache de conteúdo dinâmico.)