• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

Scheduled Pinned Locked Moved
Portuguese
129
593
345.0k
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • marcellocM
    marcelloc
    last edited by May 23, 2014, 3:07 AM

    @lhpaladin:

    Obrigado por tirar as dúvidas Marcello, quanto a questão do Chrome, o CA estava configurado nos navegadores e mesmo assim apresentava este erro,

    Confere o procedimento que você seguiu.
    Com a CA instalada corretamente no browser, google, gmail, gtalk abrem sem erro.

    Treinamentos de Elite: http://sys-squad.com

    Help a community developer! ;D

    1 Reply Last reply Reply Quote 0
    • machadomallM
      machadomall
      last edited by May 24, 2014, 3:42 PM

      Olá Marcelo,

      Obrigado pela implantação,
      Eu fiz todos os passos e funcionou perfeitamente, não deu nenhum erro no processo de instalação  :D

      Eu gostaria agora era de dar um pente fino nas configurações do Squid3 e Squidguard3 pra deixar ele redondinho sem erros.
      Eu tenho a minha rede próximo de 130 maquinas, vai atender bem sem problemas?

      Obs: o que se trata essas configurações abaixo? Quero entende-las

      Custom ACLS (Before_Auth), no squid3  :o
      always_direct allow all
      ssl_bump server-first all

      Abraços.

      Márcio Machado
      Analista de Suporte Técnico
      Brasília-DF

      1 Reply Last reply Reply Quote 0
      • W
        wesleycorrea
        last edited by May 24, 2014, 6:12 PM

        Bom dia !

        Já instalou as bibliotecas … ?

        outro detalhe  .... Services > proxy server > general
        adicione os seguintes campos :

        em Custom Settings ...

        Custom ACLS
        (Before Auth)

        always_direct allow all
        ssl_bump server-first all ...

        Faz o teste aí ...

        Ei desisti e resolvi fazer hoje Proxy separado do meu FW, subi PFSENSE em outra maquina e agora vou instalar SQUID e SQUIDGUARD, estes parametros que voce comentou sao necessarios em qualquer cenario?

        1 Reply Last reply Reply Quote 0
        • W
          wesleycorrea
          last edited by May 24, 2014, 6:18 PM

          @Márcio:

          Olá Marcelo,

          Obrigado pela implantação,
          Eu fiz todos os passos e funcionou perfeitamente, não deu nenhum erro no processo de instalação  :D

          Eu gostaria agora era de dar um pente fino nas configurações do Squid3 e Squidguard3 pra deixar ele redondinho sem erros.
          Eu tenho a minha rede próximo de 130 maquinas, vai atender bem sem problemas?

          Obs: o que se trata essas configurações abaixo? Quero entende-las

          Custom ACLS (Before_Auth), no squid3  :o
          always_direct allow all
          ssl_bump server-first all

          Abraços.

          Marcio,

          Voce seguiu o tutorial ? voce esta usando 32 ou 64?

          1 Reply Last reply Reply Quote 0
          • machadomallM
            machadomall
            last edited by May 25, 2014, 10:47 PM

            Olá,
            Eu vi que na ultima versão do pFsense isso não é mais preciso, já esta atualizado. Pelo ao menos na ultima versão que estou usando eu não tive que utilizar.

            Estou utilizando a ultima versão do Pfsense 32 Bits.

            Obrigado a todos.

            Márcio Machado
            Analista de Suporte Técnico
            Brasília-DF

            1 Reply Last reply Reply Quote 0
            • W
              wesleycorrea
              last edited by May 26, 2014, 3:42 PM May 26, 2014, 3:30 PM

              @drohden:

              @Reginaldo:

              @drohden:

              Boa tarde, estou com problemas ao enviar nfe
              sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

              sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

              No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
              Se tiver alguma outra alternativa, registra aqui.

              Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
              Obrigado

              Estou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico

              sefaz.PNG
              sefaz.PNG_thumb

              1 Reply Last reply Reply Quote 0
              • D
                drohden
                last edited by May 26, 2014, 4:07 PM

                @nblx96:

                @drohden:

                @Reginaldo:

                @drohden:

                Boa tarde, estou com problemas ao enviar nfe
                sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

                sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

                No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
                Se tiver alguma outra alternativa, registra aqui.

                Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
                Obrigado

                Estou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico

                nblx96 adicione esses ip em bypass de destino 200.241.32.196;189.30.131.200;200.241.32.197;189.30.131.198;201.49.164.105

                1 Reply Last reply Reply Quote 0
                • W
                  wesleycorrea
                  last edited by May 26, 2014, 4:20 PM May 26, 2014, 4:17 PM

                  @drohden:

                  @nblx96:

                  @drohden:

                  @Reginaldo:

                  @drohden:

                  Boa tarde, estou com problemas ao enviar nfe
                  sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

                  sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

                  No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
                  Se tiver alguma outra alternativa, registra aqui.

                  Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
                  Obrigado

                  Estou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico

                  nblx96 adicione esses ip em bypass de destino 200.241.32.196;189.30.131.200;200.241.32.197;189.30.131.198;201.49.164.105

                  Nao deu certo, mas o seguinte meu PROXY e separado do meu FW PFSENSE. sera que e isso?

                  fiz exatamente isso, funcionando 100% mas bypass nao funciona.

                  Crie um novo gateway em (system -> routing) com o ip do seu servidor proxy.

                  Na regra da lan que libera o acesso http/https, procure as opções avançadas e defina o gateway com o ip do seu servidor proxy.

                  Simples assim.

                  obs: Não esqueça de criar uma regra antes liberando acesso do ip do seu servidor proxy para a internet.

                  ![Libera rede do proxy.PNG](/public/imported_attachments/1/Libera rede do proxy.PNG)
                  ![Libera rede do proxy.PNG_thumb](/public/imported_attachments/1/Libera rede do proxy.PNG_thumb)
                  proxy.PNG
                  proxy.PNG_thumb

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by May 26, 2014, 11:12 PM

                    always_direct allow all
                    ssl_bump server-first all …

                    Estes parametros ativam a interceptação de ssl.
                    Na próxima versão do pacote esses parâmetros já são definidos automaticamente.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • C
                      caitec
                      last edited by May 27, 2014, 6:05 PM

                      Caros Marcelloc e membros, estou passando por uma situação inusitada, fiz uma mescla de instalação utilizando o filtro de SSL/HTTPS e autenticação com AD, usando os tutoriais do nosso mestre Marcelloc que encontrei no forum, porém a autenticação e as ACLs configuradas para um determinado grupo do AD só funcionam primeiramente, se o proxy estiver configurado nos browsers. Caso o proxy não esteja configurado no browser e apesar do squid estar configurado para trabalhar no modo transparente, ele não reconhece o usuário e aplica a ACL Default do squidGuard, mas o inusitado, e o que está me matando de raiva, é que quando eu desativo o proxy no browser, fecho o browser e navego novamente, tudo funciona normal, aplicando as ACLs para aquele grupo do AD. Alguém já passou por isso?
                      Estou usando:
                      2.1.3-RELEASE (amd64) FreeBSD 8.3-RELEASE-p16
                      squid3-dev 3.3.10 pkg 2.2.2
                      squidGuard-squid3 1.4_4 pkg v.1.9.5

                      Obrigado a todos pela ajuda

                      1 Reply Last reply Reply Quote 0
                      • marcellocM
                        marcelloc
                        last edited by May 27, 2014, 8:45 PM

                        caitec,

                        Só a autenticação capitve portal funciona com proxy transparente, em todos os outros casos que precisam de helpers de autenticação, o proxy precisa estar marcado(de forma automática ou manual)

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • reginaldo_barretoR
                          reginaldo_barreto
                          last edited by May 28, 2014, 3:38 AM

                          @drohden:

                          @Reginaldo:

                          @drohden:

                          Boa tarde, estou com problemas ao enviar nfe
                          sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

                          sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

                          No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
                          Se tiver alguma outra alternativa, registra aqui.

                          Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
                          Obrigado

                          Não estou conseguindo pegar o ip do Sefaz SP

                          Reginaldo Barreto

                          1 Reply Last reply Reply Quote 0
                          • marcellocM
                            marcelloc
                            last edited by May 28, 2014, 6:22 AM

                            @Reginaldo:

                            Não estou conseguindo pegar o ip do Sefaz SP

                            Use o tcpdump para verificar o ip durante a tentativa de conexão

                            Treinamentos de Elite: http://sys-squad.com

                            Help a community developer! ;D

                            1 Reply Last reply Reply Quote 0
                            • C
                              caitec
                              last edited by Jun 3, 2014, 6:08 PM

                              @marcelloc:

                              caitec,

                              Só a autenticação capitve portal funciona com proxy transparente, em todos os outros casos que precisam de helpers de autenticação, o proxy precisa estar marcado(de forma automática ou manual)

                              Oi Marcelo, surgiram outras 2 dúvidas com relação a sua resposta, eu conseguiria fazer autenticação via capitive portal com proxy transparente e aplicar as ACLs no squidguard de acordo com os grupos no AD? Caso sim eu não precisaria dos helpers, correto?

                              A outra dúvida não está relacionada a autenticação, mas ao certificado, eu poderia utilizar outro certificado que não fosse o que eu tivesse gerado? Pergunto isso pois pelo site startssl.com que você consegue certificados gratuitos que são reconhecidos por todos os browsers sem que haja a necessidade de você ter que importar o certificado para todas as máquinas, porém ao configurá-lo o squid não sobe.

                              Obrigado pela ajuda novamente. Grande abraço.

                              Agora entendi o pq da sua foto ser aquele cara maluquinho digitando… mais de 10.000 posts é foda d+. Parabéns e obrigado

                              1 Reply Last reply Reply Quote 0
                              • P
                                pfirewa
                                last edited by Jun 9, 2014, 5:47 PM

                                Eu tive a mesma duvida sera que consegue?

                                poderia utilizar outro certificado que não fosse o que eu tivesse gerado? Pergunto isso pois pelo site startssl.com que você consegue certificados gratuitos que são reconhecidos por todos os browsers sem que haja a necessidade de você ter que importar o certificado para todas as máquinas, porém ao configurá-lo o squid não sobe.

                                1 Reply Last reply Reply Quote 0
                                • L
                                  lucasperegrino
                                  last edited by Jun 11, 2014, 12:43 PM

                                  Bom dia estou tendo um problema com squid + ssl não em bloquear paginas e sim ter acesso a uma apos esta habilitado o controle de ssl em proxy transparent se eu tento acessa a pagina a baixo com o um certificado digital ele não me da acesso não aparece a aba para selecionar o certificado caso eu desmarque a opção do ssl ele me aparece a aba para selecionar o certificado. Bem alguém ja teve este tipo de problema.

                                  https://cav.receita.fazenda.gov.br/eCAC/publico/login.aspx

                                  Lucas Peregrino

                                  1 Reply Last reply Reply Quote 0
                                  • machadomallM
                                    machadomall
                                    last edited by Jun 11, 2014, 3:24 PM Jun 11, 2014, 3:16 PM

                                    Olá Lucas,
                                    Você esta dizendo que o site da o erro abaixo no browser quando o ssl esta habilitado no squid?

                                    Há um problema no certificado de segurança do site.

                                    É isso?

                                    Márcio Machado
                                    Analista de Suporte Técnico
                                    Brasília-DF

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by Jun 11, 2014, 5:06 PM

                                      @caitec:

                                      eu poderia utilizar outro certificado que não fosse o que eu tivesse gerado?

                                      Se você conseguir comprar um certificado do tipo CA e não server, pode usar sim.

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by Jun 11, 2014, 5:08 PM

                                        @lucasperegrino:

                                        Bom dia estou tendo um problema com squid + ssl não em bloquear paginas e sim ter acesso a uma apos esta habilitado o controle de ssl em proxy transparent se eu tento acessa a pagina a baixo com o um certificado digital ele não me da acesso não aparece a aba para selecionar o certificado caso eu desmarque a opção do ssl ele me aparece a aba para selecionar o certificado.

                                        Já tentou colocar este site na whitelist e acompanhar pelos logs se o squid para de interceptar e faz apenas proxy da conexão ssl?

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • machadomallM
                                          machadomall
                                          last edited by Jun 11, 2014, 7:56 PM

                                          Olá Marcello,

                                          Funciona sim, testei também na Bypass proxy for these destination IPs no Proxy Server.
                                          Inseri o ip do site ou também "gov.br" esse erro de ssl em site do governo dá muito esse tipo de erro.

                                          At.

                                          Márcio Machado
                                          Analista de Suporte Técnico
                                          Brasília-DF

                                          1 Reply Last reply Reply Quote 0
                                          • marcellocM
                                            marcelloc
                                            last edited by Jun 11, 2014, 9:01 PM

                                            @Márcio:

                                            em site do governo dá muito esse tipo de erro.

                                            Dá principalmente por conta dos certificados da icp brasil.

                                            Treinamentos de Elite: http://sys-squad.com

                                            Help a community developer! ;D

                                            1 Reply Last reply Reply Quote 0
                                            • H
                                              holiveira
                                              last edited by Jun 12, 2014, 5:58 PM

                                              É possivel fazer a filtragem de HTTPS sem utilizar o proxy transparente ?

                                              1 Reply Last reply Reply Quote 0
                                              • L
                                                lucasperegrino
                                                last edited by Jun 12, 2014, 11:31 PM

                                                Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.

                                                Lucas Peregrino

                                                1 Reply Last reply Reply Quote 0
                                                • marcellocM
                                                  marcelloc
                                                  last edited by Jun 13, 2014, 9:42 PM

                                                  @holiveira:

                                                  É possivel fazer a filtragem de HTTPS sem utilizar o proxy transparente ?

                                                  Sim. Fica até melhor para aplicativos como o skype.

                                                  Treinamentos de Elite: http://sys-squad.com

                                                  Help a community developer! ;D

                                                  1 Reply Last reply Reply Quote 0
                                                  • marcellocM
                                                    marcelloc
                                                    last edited by Jun 13, 2014, 9:43 PM

                                                    @lucasperegrino:

                                                    Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.

                                                    Provavelmente você vai ter que configurar estes sites para não passar pelo proxy.

                                                    Treinamentos de Elite: http://sys-squad.com

                                                    Help a community developer! ;D

                                                    1 Reply Last reply Reply Quote 0
                                                    • L
                                                      lucasperegrino
                                                      last edited by Jun 13, 2014, 11:34 PM

                                                      bom dia so que se fosse esse problema ainda esta bom so que tem diversos sites onde da o msm problema como caixa economica federal dentre outros pois depende de uso de certificado digital para se conseguir logar no site.

                                                      Lucas Peregrino

                                                      1 Reply Last reply Reply Quote 0
                                                      • H
                                                        holiveira
                                                        last edited by Jun 14, 2014, 12:02 PM

                                                        Bom dia,

                                                        Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
                                                        Já fiz a configuração dos certificados e instalei em meu browser.
                                                        Está autenticando no AD e os bloqueios por Grupo está funcionando.

                                                        O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?

                                                        1 Reply Last reply Reply Quote 0
                                                        • E
                                                          evagoras
                                                          last edited by Jun 15, 2014, 7:20 PM

                                                          @holiveira:

                                                          Bom dia,

                                                          Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
                                                          Já fiz a configuração dos certificados e instalei em meu browser.
                                                          Está autenticando no AD e os bloqueios por Grupo está funcionando.

                                                          O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?

                                                          Resposta aqui (talvez resolva o problema do Chrome, relatado acima):

                                                          @marcelloc:

                                                          always_direct allow all
                                                          ssl_bump server-first all …

                                                          Estes parametros ativam a interceptação de ssl.
                                                          Na próxima versão do pacote esses parâmetros já são definidos automaticamente.

                                                          Coloque estas acl no campo Custom ACLS (Before_Auth)

                                                          1 Reply Last reply Reply Quote 0
                                                          • C
                                                            carloscrt
                                                            last edited by Jun 16, 2014, 1:22 PM

                                                            Bom dia, consegui que funciona-se o ssl perfeitamente no eu que preciso! bloqueios etc!, mas sempre aparece o elemento não esperado, um dos donos usa o celular no wi-fi com sistema Android 2.2 o qual o certificado por algum motivo não funciona nesse celular!.
                                                            A minha duvida é a seguinte, é possível fazer um ip passar direto sem passar pelo filtro SSL ou que não necessite usar o certificado.
                                                            Fico agradecido desde já.

                                                            1 Reply Last reply Reply Quote 0
                                                            • H
                                                              holiveira
                                                              last edited by Jun 16, 2014, 8:54 PM

                                                              @holiveira:

                                                              Bom dia,

                                                              Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
                                                              Já fiz a configuração dos certificados e instalei em meu browser.
                                                              Está autenticando no AD e os bloqueios por Grupo está funcionando.

                                                              O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?

                                                              Alguem com cenário parecido ?

                                                              1 Reply Last reply Reply Quote 0
                                                              • C
                                                                carloscrt
                                                                last edited by Jun 17, 2014, 1:02 PM

                                                                @holiveira:

                                                                @holiveira:

                                                                Bom dia,

                                                                Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
                                                                Já fiz a configuração dos certificados e instalei em meu browser.
                                                                Está autenticando no AD e os bloqueios por Grupo está funcionando.

                                                                O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?

                                                                Alguem com cenário parecido ?

                                                                Bom dia,
                                                                em Service - proxy server
                                                                HTTPS/SSL interception
                                                                Enable SSL filtering.  esta ativa?

                                                                1 Reply Last reply Reply Quote 0
                                                                • rogercwbR
                                                                  rogercwb
                                                                  last edited by Jun 17, 2014, 1:26 PM

                                                                  @marcelloc:

                                                                  Coloque estas acl no campo Custom ACLS (Before_Auth)

                                                                  
                                                                  always_direct allow all
                                                                  ssl_bump server-first all
                                                                  

                                                                  Na versão 3.2.3 já está corrigida, mas infelizmente o repositório dos pacotes agora só é alterado pelo core team.

                                                                  Uma atualização que demorava minutos agora pode levar dias… como acontece com o snort.

                                                                  Marcellloc VC É O CARA!!! Se vc não fosse homem e feio eu ti beijava!  ;D

                                                                  Depois de ler 19 páginas tentando resolver o problema das páginas HTTPS do Google que ficava só dando erro de certificado, vc com duas linhas de configuração solucionou tudo!

                                                                  Muito obrigado!

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • H
                                                                    holiveira
                                                                    last edited by Jun 17, 2014, 1:48 PM

                                                                    @carloscrt:

                                                                    @holiveira:

                                                                    @holiveira:

                                                                    Bom dia,

                                                                    Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
                                                                    Já fiz a configuração dos certificados e instalei em meu browser.
                                                                    Está autenticando no AD e os bloqueios por Grupo está funcionando.

                                                                    O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?

                                                                    Alguem com cenário parecido ?

                                                                    Bom dia,
                                                                    em Service - proxy server
                                                                    HTTPS/SSL interception
                                                                    Enable SSL filtering.  esta ativa?

                                                                    Sim, está.

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • rogercwbR
                                                                      rogercwb
                                                                      last edited by Jun 17, 2014, 3:41 PM

                                                                      Olá,

                                                                      Consegui fazer funcionar, esta bloqueando Facebook via squidguard + blacklist, só que alguns sites esta (http) esta dando o erro abaixo:

                                                                      –-----------------------------
                                                                      Request denied by pfSense proxy: 403 Forbidden

                                                                      Reason:
                                                                      Client address: 192.168.100.50
                                                                      Client group: default
                                                                      Target group: none
                                                                      URL: http://www.speedtest.net/
                                                                      –-----------------------------

                                                                      Mas é um site simples não tem nenhuma regra para bloquear ele, estou só bloqueando redes sociais.

                                                                      E o mais estranho é que outros sites http e até mesmo https (gmail, etc...) carregam normalmente.

                                                                      Alguém tem uma dica?

                                                                      Obrigado!

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • marcosjostM
                                                                        marcosjost
                                                                        last edited by Jun 17, 2014, 4:12 PM

                                                                        Seu Default access [all] no Commom ACL do squidguard nao esta como deny ?

                                                                        1 Reply Last reply Reply Quote 0
                                                                        • C
                                                                          celsosticanella
                                                                          last edited by Jun 18, 2014, 11:21 AM

                                                                          Bom dia, estou configurando e quase terminando meu PFSense 2.1.3-RELEASE (amd64), com squid3-dev 3.3.10 e squidGuard-squid3 1.9.5. Está tudo funcionando perfeitamente, bloqueios https, http e captive portal, mas um detalhe que depois que configurei o Squid percebi, minhas rotas de saída para as portas 80 e 443 não funcionam mais, eu tinha por exemplo, uma rota de saida para cada porta, onde cada uma delas iriam sair por determinados gateways, ou determinada porta sairia pelo Load Balance(Gateway Groups Criado para 3 links WAN).
                                                                          Será que estou esquecendo de fazer alguma configuração? Alguém poderia me dar uma dica?

                                                                          Obrigado por enquanto….


                                                                          att.
                                                                          Celso Sticanella
                                                                          celsosticanella@hotmail.com
                                                                          Administrador de Redes
                                                                          TI - Tecnologia da Informação -

                                                                          1 Reply Last reply Reply Quote 0
                                                                          • rogercwbR
                                                                            rogercwb
                                                                            last edited by Jun 18, 2014, 11:47 AM Jun 18, 2014, 11:31 AM

                                                                            @marcosjost:

                                                                            Seu Default access [all] no Commom ACL do squidguard nao esta como deny ?

                                                                            Esta como ALL, to achando muito estranho pq vários sites funcionam é um ou outro que ele bloqueia mesmo sem ter regras para isso.

                                                                            Agora fiz um outro teste e descobri que o facebook esta sendo bloqueado mesmo quando eu desativo a regra de bloqueio ou mudo o horário que ele deveria ser bloqueado, vou fazer mais testes.

                                                                            –--------------

                                                                            EDIT (SOLUCIONADO):

                                                                            Era algum bug, hoje eu fui olhar e tinha uma atualização do PKG do squid3-dev da versão 2.2.5 para a 2.2.6 mandei atualizar e agora esta funcionando os sites http que ele bloqueava as vezes, mesmo sem ter regras para isso.

                                                                            Só a questão da regra de bloqueio do Facebook que mesmo depois de eu desativar e dar um Apply continua bloqueando, mas acredito que seja alguma coisa do cache ainda não descobri como limpar o cache do squid para testar.

                                                                            1 Reply Last reply Reply Quote 0
                                                                            • J
                                                                              juninhoandrade
                                                                              last edited by Jun 20, 2014, 5:38 PM

                                                                              Alguém com solução para Smartphone? alem da DMZ?

                                                                              1 Reply Last reply Reply Quote 0
                                                                              • G
                                                                                giaco
                                                                                last edited by Jun 23, 2014, 5:22 PM Jun 20, 2014, 8:22 PM

                                                                                @VoiD_Junior:

                                                                                Alguém com solução para Smartphone? alem da DMZ?

                                                                                No Android 4.4.2 fiz o seguinte:
                                                                                Importei o CA nas opções de segurança. Dessa forma o Chrome funcionou ao acessar HTTPS.
                                                                                O Firefox usa um repositório interno de certificados, por isso usei o complemento CACert (https://addons.mozilla.org/pt-BR/firefox/addon/cacert-root-certificate/?src=search) que importa os certificados do Android para o Firefox.

                                                                                Havia funcionado, mas instalei o pfSense do zero e agora não funciona mais :(

                                                                                Corrigido: eu havia marcado a opção Certificate adapt. Ela deve ficar desmarcada. Para desmarcar a opção basta manter a tecla CRTL pressionada e clicar na opção. Assim funciona perfeitamente no Firefox e no Chrome.

                                                                                Também percebi que o Squid precisa estar transparente para o Captive Portal funcionar. Não funciona se eu configurar manualmente o proxy?

                                                                                1 Reply Last reply Reply Quote 0
                                                                                • J
                                                                                  joaonetojocum
                                                                                  last edited by Jun 24, 2014, 12:13 PM

                                                                                  Bom dia pessoal,

                                                                                  Primeiro que dar aos parabéns ao Marcelo, pelo bom material.

                                                                                  Mas estou tendo apenas dois problemas:

                                                                                  1 - Na minha rede tenho dois links de Internet e duas redes LANs. Sendo defini na regra de saída de cada interface LAN para que cada uma saia por um Link diferente, gerando um Load Balancer.
                                                                                  O problema é que o filtro do squid está operando acima destas regras de saída fazendo com que as requisições HTTP/HTTPs saim sempre pelo Link Default. Imagens abaixo.


                                                                                  2 - O Google Chrome não consegue operar com o filtro SSL ativado, mesmo com o certificado importado.

                                                                                  Se puderem gostaria de ajuda para solucionar, principalmente o primeiro problema, pois este Load Balancer é muito importante para minha rede.

                                                                                  1 Reply Last reply Reply Quote 0
                                                                                  337 out of 593
                                                                                  • First post
                                                                                    Last post
                                                                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.

                                                                                  Looks like your connection to Netgate Forum was lost, please wait while we try to reconnect.