Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

Se você está falando do bypass do proxy, você pode criar um alias com as faixas de ip do banco

doguibnu

Bom dia Marcello
Tudo bem?

Nós estamos com o Pfsense:

2.1.3-RELEASE (i386)
built on Thu May 01 15:52:17 EDT 2014
FreeBSD 8.3-RELEASE-p16

Fizemos a instalação do squid3 + squidguard3. Ele se instalou ok, seguimos tua sugestão postada aqui. Mas a nova versão para nós, não mostra as novas opção tal quais: https/ssl enfim, as novas opções no pacote. Como mostra e ensina neste vídeo.

http://www.youtube.com/watch?v=neXcYtFDRLA

O que você acha que pode estar errado? E qual sua sugestão para que instale/mostre as novas opções de configuração dos pacotes squid3 e squidguard3?

Muito obrigado pela ajuda e atenção!

Douglas

gilles.villeneuve

@marcelloc:

Olá pessoal,

Acabei de subir a primeira versão devel do squid 3.3 para pfsense

Principais alterações

Atualização do squid para a última versão estável (3.3.5)

ativação do proxy por interface

ativação do proxy transparente por interface

ativação do filtro de ssl por interface

Integração do Antivirus via i-cap

Incluída a opção para logar os access denied do squidguard no squid também (requer esta opção e uma pequena alteração no sgerror.php)

Bugs / Problemas ainda não corrigidos

Integração do clamav via icap só gera erro para o usuário

Se você estiver recebendo este erro ao tentar executar o squid 3.3.5(Shared object "libgssapi.so.10" not found, required by "squid"'),
Execute os comandos do final do post prestando atenção na versão do seu pfsense (amd64 ou i386)

Para um funcionamento correto na 2.0.3, é preciso habilitar o ipv6

Por favor pense fortemente em ajudar no desenvolvimento desta ferramenta através de doações. Tenho certeza que muitos querem esta funcionalidade no pfsense.

Procedimento para testar no pfsense 2.1

Basta instalar o pacote e copiar as bibliotecas faltantes

Download das bibliotecas

versão i386
fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libroken.so.10
versão amd64
fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libroken.so.10
Se for usar o filtro de ssl, é necessário criar uma CA no pfsense e instalar o certificado em cada estação de trabalho para evitar mensagens de erro de ssl para os clientes
Segue print de um site com erro no certificado e outro site com certificado ok.
Testei no firefox depois de instalar o CRT da CA do pfsense.
O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

AVISO:
Filtrar conexões ssl pode ter implicações legais, verifique se a politica de acesso da empresa permite este tipo de filtro e se você tem autorização para tal. Avisar os usuários por meio de politica ou comunidado também é uma boa idéia.

Sites na whitelist não passam pelo filtro de SSL.

att,
Marcello Coutinho

Fala pessoal, boa tarde.
Segue dois links que me ajudaram implantar no ambiente corporativo para distribuir os certificados via gpo, tanto para o I.E, Chrome e Firefox.

Para I.E e Chrome.
http://technet.microsoft.com/pt-br/library/cc731253(v=ws.10).aspx.

Para Firefox.
http://help-icc.untangle.com/Content/User%20Guide/UI_Tabs/SSLCertificateGPO_v4/7_Windows%20Server%202008%20Firefox.htm.

Testei no seguinte ambiente - DC - Windows Server 2012.
Clients - Windows 7 e Windows 8.1.

Espero que seja de ajuda.
Fiquem com Deus.
Att.,

drohden

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

marcelloc

Retire o site da interceptação do ssl se o java não está conseguindo usar a ca intalada.

redhaqi

@marcelloc:

@redhaqi:

no momento que eu tendo autenticar usando a conta microsoft … nao vai de maneira nenhuma ...

O que os logs te mostram?

Ops ! Beleza Marcelo

isso ai que est[a mostrando ..

16.05.2014 07:56:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:53:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:50:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:48:42 192.168.1.10/- 157.56.106.210:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:47:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:46:46 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:44:27 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:44:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:44:00 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:41:03 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:58 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:05 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:05 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:03 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:03 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:03 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:35:44 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:34:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:31:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:28:46 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:28:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:25:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:25:06 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:24:04 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:22:48 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:22:48 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:22:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:17 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:16 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:13 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:13 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:13 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:20:48 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:17:45 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:17:16 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:14:45 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:12:14 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:47 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:47 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:45 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:45 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:45 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:10:57 192.168.1.10/- 157.56.121.231:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT

mesmo que eu coloque os enderecos l[a no bypass do proxy …. ainda tenho problemas ....

Obrigado .....

drohden

Marcelloc eu deixei o ip na lista de Unrestricted IPs liberando qualquer site e mesmo assim não deu certo, como faço para liberar sites no ssl?

eldersouza

Não estou conseguindo fazer o tráfego do (exemplo) whatsapp (porta 5222) passar pelo Squid.

Já criei a NAT exatamente igual a porta 80 e 443 e mesmo assim o tráfego nao entra no squid… simplesmente vai direto pelo firewall! É como se a NAT de alguma forma não funcionasse...

If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports
LAN TCP REDE_LAN * * 5222 GWpfSense_LoopBack 3128

Daí se eu criar uma rule liberando pra todo mundo sair pela 5222 o firewall permite a passagem direta!

Proto Source Port Destination Port Gateway
TCP REDE_LAN * * 5222 *

Alguém tem alguma ideia???

mateus0032

Olá pessoal… Estou com o pf 2.1.3 funcionando de boa mas gostaria de ser informado mais claramente se existe um método de bloquear tudo e só liberar o sites que eu queira??? Lembrando com Squid3-Dev com SSL, Creio eu nesse mesmo tópico o marcelloc comentou isso de não ser possível mas e hoje com essas atualizações ainda não ser possível ??
:) :P :-\

wesleycorrea

Pessal acompahando o topico nao encontrei nada que resolve meu problema.

Tenho squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5
Com SSL em modo transparente.

SQUID esta rodando porem o SQUIDGUARD esta parado. segue alguns prints. observe que tenho uma target apenas com o terra.com.br
e default access esta deny mas nao bloqueia nada.

serviço do squid guard fica parado. instalei CA e segui certinho passo passo como posso fazer para uma melhor avaliação?

![Proxy server 01.PNG](/public/imported_attachments/1/Proxy server 01.PNG)
![Proxy server 01.PNG_thumb](/public/imported_attachments/1/Proxy server 01.PNG_thumb)
![Proxy server 02.PNG](/public/imported_attachments/1/Proxy server 02.PNG)
![Proxy server 02.PNG_thumb](/public/imported_attachments/1/Proxy server 02.PNG_thumb)
![Proxy server 03.PNG](/public/imported_attachments/1/Proxy server 03.PNG)
![Proxy server 03.PNG_thumb](/public/imported_attachments/1/Proxy server 03.PNG_thumb)
![Proxy server 04.PNG](/public/imported_attachments/1/Proxy server 04.PNG)
![Proxy server 04.PNG_thumb](/public/imported_attachments/1/Proxy server 04.PNG_thumb)
![Proxy server 05.PNG](/public/imported_attachments/1/Proxy server 05.PNG)
![Proxy server 05.PNG_thumb](/public/imported_attachments/1/Proxy server 05.PNG_thumb)

target.PNG_thumb

target02.PNG_thumb

filter01.PNG_thumb

filter02.PNG_thumb

custom_allow.PNG_thumb

custom_default_denny.PNG_thumb
serviço.PNG
serviço.PNG_thumb

redhaqi

@nblx96:

Pessal acompahando o topico nao encontrei nada que resolve meu problema.

Tenho squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5
Com SSL em modo transparente.

SQUID esta rodando porem o SQUIDGUARD esta parado. segue alguns prints. observe que tenho uma target apenas com o terra.com.br
e default access esta deny mas nao bloqueia nada.

serviço do squid guard fica parado. instalei CA e segui certinho passo passo como posso fazer para uma melhor avaliação?

Bom dia !

Já instalou as bibliotecas … ?

outro detalhe .... Services > proxy server > general
adicione os seguintes campos :

em Custom Settings ...

Custom ACLS
(Before Auth)

always_direct allow all
ssl_bump server-first all ...

Faz o teste aí ...

diogocesartoigo

Olá pessoal!

Sou novo no PfSense, instalei e configurei com a ajuda de um amigo.
Hoje colocamos em funcionamento porém logo me deparei com erro nos serviços da NFe.

Estou trabalhando com verão:
2.1.3-RELEASE (amd64)
built on Thu May 01 15:52:13 EDT 2014
FreeBSD 8.3-RELEASE-p16

Squid3-dev (3.3.10 pkg 2.2.2)
SquidGuard-squid3 (1.4_4 pkg v.1.9.5)

Proxy transparente e restrição de horário para acesso.

O servidor que hospeda o serviço de validação da NFe tem o IP listado num GroupACL, concedendo acesso irrestrito. O erro que ocorre ao conectar um dos web services é o seguinte:

"O seguinte erro foi encontrado ao tentar recuperar a URL: ://nfe.sefaz.mt.gov.br:443
Falha ao estabelecer uma conexão segura com 200.241.32.197
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure"

Alguém pode me auxiliar?

gilles.villeneuve

@diogocesartoigo:

Olá pessoal!

Sou novo no PfSense, instalei e configurei com a ajuda de um amigo.
Hoje colocamos em funcionamento porém logo me deparei com erro nos serviços da NFe.

Estou trabalhando com verão:
2.1.3-RELEASE (amd64)
built on Thu May 01 15:52:13 EDT 2014
FreeBSD 8.3-RELEASE-p16

Squid3-dev (3.3.10 pkg 2.2.2)
SquidGuard-squid3 (1.4_4 pkg v.1.9.5)

Proxy transparente e restrição de horário para acesso.

O servidor que hospeda o serviço de validação da NFe tem o IP listado num GroupACL, concedendo acesso irrestrito. O erro que ocorre ao conectar um dos web services é o seguinte:

"O seguinte erro foi encontrado ao tentar recuperar a URL: ://nfe.sefaz.mt.gov.br:443
Falha ao estabelecer uma conexão segura com 200.241.32.197
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure"

Alguém pode me auxiliar?

Olá Diogo, boa tarde.
Em proxy server, Bypass Destination, coloque o IP que deseja liberar.
Fiquem com Deus.
Abraços.

marcelloc

@nblx96:

Pessal acompahando o topico nao encontrei nada que resolve meu problema.

Tenho squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5
Com SSL em modo transparente.

SQUID esta rodando porem o SQUIDGUARD esta parado.

Na parte de pacotes e patches você encontra o patch para o squidguard não rodar somente on demand no squid3.x
Não sei como foi sua pesquisa, mas já discutimos isso em vários tópicos.

reginaldo_barreto

@drohden:

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.

drohden

@Reginaldo:

@drohden:

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.

Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
Obrigado

lhpaladin

Olá Marcelo,

Estamos implantando esta versão do squid3-dev no meu local de trabalho e gostaria de tirar algumas dúvidas…

Este pacote, trabalhando juntamente com o SquidGuard3 se encontra apto pra utilização em uma rede de tamanho médio, em torno de 150 computadores?

Eu não consegui fazer o certificado perfeitamente no Google Chrome, quando digitamos https://gmail.com apresenta uma página dizendo que não foi possível conectar ao gmail.com real... É alguma configuração errada? Nos demais navegadores não tenho tido este problema...

É preciso copiar aquelas bibliotecas para o funcionamento do squid3-dev no pfSense 2.1.3 amd64?

Quando o usuário loga no captive portal e o método de autenticação no Squid é o CaptivePortal, o usuário ao mesmo tempo faz login no Squid?

Grato pela atenção e ajuda!
Parabéns pelo trabalho!

rhallado

Ai galera, ja esta funcionando corretamente os filtros de HTTPs?

marcelloc

@lhpaladin:

Este pacote, trabalhando juntamente com o SquidGuard3 se encontra apto pra utilização em uma rede de tamanho médio, em torno de 150 computadores?

O squidguard não é tão esperto assim no tratamento de ssl, você pode ter problemas com alguns aplicativos (skype por exemplo).

@lhpaladin:

Eu não consegui fazer o certificado perfeitamente no Google Chrome, quando digitamos https://gmail.com apresenta uma página dizendo que não foi possível conectar ao gmail.com real… É alguma configuração errada? Nos demais navegadores não tenho tido este problema...

Sem instalar a ca configurada no pfsense, todo site ssl vai mostrar erro, no chrome especificamente, nem acesso ao site você vai ter.

@lhpaladin:

É preciso copiar aquelas bibliotecas para o funcionamento do squid3-dev no pfSense 2.1.3 amd64?

Se o squid está rodando, não precisa.

@lhpaladin:

Quando o usuário loga no captive portal e o método de autenticação no Squid é o CaptivePortal, o usuário ao mesmo tempo faz login no Squid?

Quando você define a autenticação como captive portal, o squid lê a base do captive para associar o usuário.

marcelloc

@rhallado:

Ai galera, ja esta funcionando corretamente os filtros de HTTPs?

pra mim sim.