Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

Retire o site da interceptação do ssl se o java não está conseguindo usar a ca intalada.

redhaqi

@redhaqi:

no momento que eu tendo autenticar usando a conta microsoft … nao vai de maneira nenhuma ...

O que os logs te mostram?

Ops ! Beleza Marcelo

isso ai que est[a mostrando ..

16.05.2014 07:56:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:53:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:50:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:48:42 192.168.1.10/- 157.56.106.210:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:47:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:46:46 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:44:27 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:44:03 192.168.1.10/- 65.55.68.119:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:44:00 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:41:03 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:58 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:05 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:05 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:03 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:03 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:38:03 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:35:44 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:34:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:31:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:28:46 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:28:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:25:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:25:06 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:24:04 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:22:48 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:22:48 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:22:42 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:17 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:16 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:13 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:13 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:21:13 192.168.1.10/- 65.55.32.30:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:20:48 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:17:45 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:17:16 192.168.1.10/- 64.4.45.58:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:14:45 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:12:14 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:47 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:47 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:45 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:45 192.168.1.10/- 157.56.108.82:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:11:45 192.168.1.10/- 134.170.0.215:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT
16.05.2014 07:10:57 192.168.1.10/- 157.56.121.231:443 Request(ACESSO_TOTAL/in-addr/-) - CONNECT REDIRECT

mesmo que eu coloque os enderecos l[a no bypass do proxy …. ainda tenho problemas ....

Obrigado .....

drohden

Marcelloc eu deixei o ip na lista de Unrestricted IPs liberando qualquer site e mesmo assim não deu certo, como faço para liberar sites no ssl?

eldersouza

Não estou conseguindo fazer o tráfego do (exemplo) whatsapp (porta 5222) passar pelo Squid.

Já criei a NAT exatamente igual a porta 80 e 443 e mesmo assim o tráfego nao entra no squid… simplesmente vai direto pelo firewall! É como se a NAT de alguma forma não funcionasse...

If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports
LAN TCP REDE_LAN * * 5222 GWpfSense_LoopBack 3128

Daí se eu criar uma rule liberando pra todo mundo sair pela 5222 o firewall permite a passagem direta!

Proto Source Port Destination Port Gateway
TCP REDE_LAN * * 5222 *

Alguém tem alguma ideia???

mateus0032

Olá pessoal… Estou com o pf 2.1.3 funcionando de boa mas gostaria de ser informado mais claramente se existe um método de bloquear tudo e só liberar o sites que eu queira??? Lembrando com Squid3-Dev com SSL, Creio eu nesse mesmo tópico o marcelloc comentou isso de não ser possível mas e hoje com essas atualizações ainda não ser possível ??
:) :P :-\

wesleycorrea

Pessal acompahando o topico nao encontrei nada que resolve meu problema.

Tenho squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5
Com SSL em modo transparente.

SQUID esta rodando porem o SQUIDGUARD esta parado. segue alguns prints. observe que tenho uma target apenas com o terra.com.br
e default access esta deny mas nao bloqueia nada.

serviço do squid guard fica parado. instalei CA e segui certinho passo passo como posso fazer para uma melhor avaliação?

![Proxy server 01.PNG](/public/imported_attachments/1/Proxy server 01.PNG)
![Proxy server 01.PNG_thumb](/public/imported_attachments/1/Proxy server 01.PNG_thumb)
![Proxy server 02.PNG](/public/imported_attachments/1/Proxy server 02.PNG)
![Proxy server 02.PNG_thumb](/public/imported_attachments/1/Proxy server 02.PNG_thumb)
![Proxy server 03.PNG](/public/imported_attachments/1/Proxy server 03.PNG)
![Proxy server 03.PNG_thumb](/public/imported_attachments/1/Proxy server 03.PNG_thumb)
![Proxy server 04.PNG](/public/imported_attachments/1/Proxy server 04.PNG)
![Proxy server 04.PNG_thumb](/public/imported_attachments/1/Proxy server 04.PNG_thumb)
![Proxy server 05.PNG](/public/imported_attachments/1/Proxy server 05.PNG)
![Proxy server 05.PNG_thumb](/public/imported_attachments/1/Proxy server 05.PNG_thumb)

target.PNG_thumb

target02.PNG_thumb

filter01.PNG_thumb

filter02.PNG_thumb

custom_allow.PNG_thumb

custom_default_denny.PNG_thumb
serviço.PNG
serviço.PNG_thumb

redhaqi

@nblx96:

Pessal acompahando o topico nao encontrei nada que resolve meu problema.

Tenho squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5
Com SSL em modo transparente.

SQUID esta rodando porem o SQUIDGUARD esta parado. segue alguns prints. observe que tenho uma target apenas com o terra.com.br
e default access esta deny mas nao bloqueia nada.

serviço do squid guard fica parado. instalei CA e segui certinho passo passo como posso fazer para uma melhor avaliação?

Bom dia !

Já instalou as bibliotecas … ?

outro detalhe .... Services > proxy server > general
adicione os seguintes campos :

em Custom Settings ...

Custom ACLS
(Before Auth)

always_direct allow all
ssl_bump server-first all ...

Faz o teste aí ...

diogocesartoigo

Olá pessoal!

Sou novo no PfSense, instalei e configurei com a ajuda de um amigo.
Hoje colocamos em funcionamento porém logo me deparei com erro nos serviços da NFe.

Estou trabalhando com verão:
2.1.3-RELEASE (amd64)
built on Thu May 01 15:52:13 EDT 2014
FreeBSD 8.3-RELEASE-p16

Squid3-dev (3.3.10 pkg 2.2.2)
SquidGuard-squid3 (1.4_4 pkg v.1.9.5)

Proxy transparente e restrição de horário para acesso.

O servidor que hospeda o serviço de validação da NFe tem o IP listado num GroupACL, concedendo acesso irrestrito. O erro que ocorre ao conectar um dos web services é o seguinte:

"O seguinte erro foi encontrado ao tentar recuperar a URL: ://nfe.sefaz.mt.gov.br:443
Falha ao estabelecer uma conexão segura com 200.241.32.197
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure"

Alguém pode me auxiliar?

gilles.villeneuve

@diogocesartoigo:

Olá pessoal!

Sou novo no PfSense, instalei e configurei com a ajuda de um amigo.
Hoje colocamos em funcionamento porém logo me deparei com erro nos serviços da NFe.

Estou trabalhando com verão:
2.1.3-RELEASE (amd64)
built on Thu May 01 15:52:13 EDT 2014
FreeBSD 8.3-RELEASE-p16

Squid3-dev (3.3.10 pkg 2.2.2)
SquidGuard-squid3 (1.4_4 pkg v.1.9.5)

Proxy transparente e restrição de horário para acesso.

O servidor que hospeda o serviço de validação da NFe tem o IP listado num GroupACL, concedendo acesso irrestrito. O erro que ocorre ao conectar um dos web services é o seguinte:

"O seguinte erro foi encontrado ao tentar recuperar a URL: ://nfe.sefaz.mt.gov.br:443
Falha ao estabelecer uma conexão segura com 200.241.32.197
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure"

Alguém pode me auxiliar?

Olá Diogo, boa tarde.
Em proxy server, Bypass Destination, coloque o IP que deseja liberar.
Fiquem com Deus.
Abraços.

marcelloc

@nblx96:

Pessal acompahando o topico nao encontrei nada que resolve meu problema.

Tenho squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5
Com SSL em modo transparente.

SQUID esta rodando porem o SQUIDGUARD esta parado.

Na parte de pacotes e patches você encontra o patch para o squidguard não rodar somente on demand no squid3.x
Não sei como foi sua pesquisa, mas já discutimos isso em vários tópicos.

reginaldo_barreto

@drohden:

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.

drohden

@Reginaldo:

@drohden:

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.

Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
Obrigado

lhpaladin

Olá Marcelo,

Estamos implantando esta versão do squid3-dev no meu local de trabalho e gostaria de tirar algumas dúvidas…

Este pacote, trabalhando juntamente com o SquidGuard3 se encontra apto pra utilização em uma rede de tamanho médio, em torno de 150 computadores?

Eu não consegui fazer o certificado perfeitamente no Google Chrome, quando digitamos https://gmail.com apresenta uma página dizendo que não foi possível conectar ao gmail.com real... É alguma configuração errada? Nos demais navegadores não tenho tido este problema...

É preciso copiar aquelas bibliotecas para o funcionamento do squid3-dev no pfSense 2.1.3 amd64?

Quando o usuário loga no captive portal e o método de autenticação no Squid é o CaptivePortal, o usuário ao mesmo tempo faz login no Squid?

Grato pela atenção e ajuda!
Parabéns pelo trabalho!

rhallado

Ai galera, ja esta funcionando corretamente os filtros de HTTPs?

marcelloc

@lhpaladin:

Este pacote, trabalhando juntamente com o SquidGuard3 se encontra apto pra utilização em uma rede de tamanho médio, em torno de 150 computadores?

O squidguard não é tão esperto assim no tratamento de ssl, você pode ter problemas com alguns aplicativos (skype por exemplo).

@lhpaladin:

Eu não consegui fazer o certificado perfeitamente no Google Chrome, quando digitamos https://gmail.com apresenta uma página dizendo que não foi possível conectar ao gmail.com real… É alguma configuração errada? Nos demais navegadores não tenho tido este problema...

Sem instalar a ca configurada no pfsense, todo site ssl vai mostrar erro, no chrome especificamente, nem acesso ao site você vai ter.

@lhpaladin:

É preciso copiar aquelas bibliotecas para o funcionamento do squid3-dev no pfSense 2.1.3 amd64?

Se o squid está rodando, não precisa.

@lhpaladin:

Quando o usuário loga no captive portal e o método de autenticação no Squid é o CaptivePortal, o usuário ao mesmo tempo faz login no Squid?

Quando você define a autenticação como captive portal, o squid lê a base do captive para associar o usuário.

marcelloc

@rhallado:

Ai galera, ja esta funcionando corretamente os filtros de HTTPs?

pra mim sim.

lhpaladin

@marcelloc:

@lhpaladin:

Este pacote, trabalhando juntamente com o SquidGuard3 se encontra apto pra utilização em uma rede de tamanho médio, em torno de 150 computadores?

O squidguard não é tão esperto assim no tratamento de ssl, você pode ter problemas com alguns aplicativos (skype por exemplo).

@lhpaladin:

Eu não consegui fazer o certificado perfeitamente no Google Chrome, quando digitamos https://gmail.com apresenta uma página dizendo que não foi possível conectar ao gmail.com real… É alguma configuração errada? Nos demais navegadores não tenho tido este problema...

Sem instalar a ca configurada no pfsense, todo site ssl vai mostrar erro, no chrome especificamente, nem acesso ao site você vai ter.

@lhpaladin:

É preciso copiar aquelas bibliotecas para o funcionamento do squid3-dev no pfSense 2.1.3 amd64?

Se o squid está rodando, não precisa.

@lhpaladin:

Quando o usuário loga no captive portal e o método de autenticação no Squid é o CaptivePortal, o usuário ao mesmo tempo faz login no Squid?

Quando você define a autenticação como captive portal, o squid lê a base do captive para associar o usuário.

Obrigado por tirar as dúvidas Marcello, quanto a questão do Chrome, o CA estava configurado nos navegadores e mesmo assim apresentava este erro, fiz um alias e coloque na opção para não passar pelo proxy e o problema foi resolvido.

Sobre a questão do SquidGuard e Squid3-dev trabalharem bem juntos, é que notei que por vezes o proxy parece ser mais lento que o squid-2.7 com squidguard. Estou querendo colocar esta solução em ambiente de produção (Não utilizamos SKYPE, ainda bem).

Obrigado!

marcelloc

@lhpaladin:

Obrigado por tirar as dúvidas Marcello, quanto a questão do Chrome, o CA estava configurado nos navegadores e mesmo assim apresentava este erro,

Confere o procedimento que você seguiu.
Com a CA instalada corretamente no browser, google, gmail, gtalk abrem sem erro.

machadomall

Olá Marcelo,

Obrigado pela implantação,
Eu fiz todos os passos e funcionou perfeitamente, não deu nenhum erro no processo de instalação :D

Eu gostaria agora era de dar um pente fino nas configurações do Squid3 e Squidguard3 pra deixar ele redondinho sem erros.
Eu tenho a minha rede próximo de 130 maquinas, vai atender bem sem problemas?

Obs: o que se trata essas configurações abaixo? Quero entende-las

Custom ACLS (Before_Auth), no squid3 :o
always_direct allow all
ssl_bump server-first all

Abraços.

wesleycorrea

Bom dia !

Já instalou as bibliotecas … ?

outro detalhe .... Services > proxy server > general
adicione os seguintes campos :

em Custom Settings ...

Custom ACLS
(Before Auth)

always_direct allow all
ssl_bump server-first all ...

Faz o teste aí ...

Ei desisti e resolvi fazer hoje Proxy separado do meu FW, subi PFSENSE em outra maquina e agora vou instalar SQUID e SQUIDGUARD, estes parametros que voce comentou sao necessarios em qualquer cenario?