Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Eu tive a mesma duvida sera que consegue?
poderia utilizar outro certificado que não fosse o que eu tivesse gerado? Pergunto isso pois pelo site startssl.com que você consegue certificados gratuitos que são reconhecidos por todos os browsers sem que haja a necessidade de você ter que importar o certificado para todas as máquinas, porém ao configurá-lo o squid não sobe.
-
Bom dia estou tendo um problema com squid + ssl não em bloquear paginas e sim ter acesso a uma apos esta habilitado o controle de ssl em proxy transparent se eu tento acessa a pagina a baixo com o um certificado digital ele não me da acesso não aparece a aba para selecionar o certificado caso eu desmarque a opção do ssl ele me aparece a aba para selecionar o certificado. Bem alguém ja teve este tipo de problema.
https://cav.receita.fazenda.gov.br/eCAC/publico/login.aspx
-
Olá Lucas,
Você esta dizendo que o site da o erro abaixo no browser quando o ssl esta habilitado no squid?Há um problema no certificado de segurança do site.
É isso?
-
eu poderia utilizar outro certificado que não fosse o que eu tivesse gerado?
Se você conseguir comprar um certificado do tipo CA e não server, pode usar sim.
-
Bom dia estou tendo um problema com squid + ssl não em bloquear paginas e sim ter acesso a uma apos esta habilitado o controle de ssl em proxy transparent se eu tento acessa a pagina a baixo com o um certificado digital ele não me da acesso não aparece a aba para selecionar o certificado caso eu desmarque a opção do ssl ele me aparece a aba para selecionar o certificado.
Já tentou colocar este site na whitelist e acompanhar pelos logs se o squid para de interceptar e faz apenas proxy da conexão ssl?
-
Olá Marcello,
Funciona sim, testei também na Bypass proxy for these destination IPs no Proxy Server.
Inseri o ip do site ou também "gov.br" esse erro de ssl em site do governo dá muito esse tipo de erro.At.
-
@Márcio:
em site do governo dá muito esse tipo de erro.
Dá principalmente por conta dos certificados da icp brasil.
-
É possivel fazer a filtragem de HTTPS sem utilizar o proxy transparente ?
-
Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.
-
É possivel fazer a filtragem de HTTPS sem utilizar o proxy transparente ?
Sim. Fica até melhor para aplicativos como o skype.
-
Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.
Provavelmente você vai ter que configurar estes sites para não passar pelo proxy.
-
bom dia so que se fosse esse problema ainda esta bom so que tem diversos sites onde da o msm problema como caixa economica federal dentre outros pois depende de uso de certificado digital para se conseguir logar no site.
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Resposta aqui (talvez resolva o problema do Chrome, relatado acima):
always_direct allow all
ssl_bump server-first all …Estes parametros ativam a interceptação de ssl.
Na próxima versão do pacote esses parâmetros já são definidos automaticamente.Coloque estas acl no campo Custom ACLS (Before_Auth)
-
Bom dia, consegui que funciona-se o ssl perfeitamente no eu que preciso! bloqueios etc!, mas sempre aparece o elemento não esperado, um dos donos usa o celular no wi-fi com sistema Android 2.2 o qual o certificado por algum motivo não funciona nesse celular!.
A minha duvida é a seguinte, é possível fazer um ip passar direto sem passar pelo filtro SSL ou que não necessite usar o certificado.
Fico agradecido desde já. -
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
Bom dia,
em Service - proxy server
HTTPS/SSL interception
Enable SSL filtering. esta ativa? -
Coloque estas acl no campo Custom ACLS (Before_Auth)
always_direct allow all ssl_bump server-first allNa versão 3.2.3 já está corrigida, mas infelizmente o repositório dos pacotes agora só é alterado pelo core team.
Uma atualização que demorava minutos agora pode levar dias… como acontece com o snort.
Marcellloc VC É O CARA!!! Se vc não fosse homem e feio eu ti beijava! ;D
Depois de ler 19 páginas tentando resolver o problema das páginas HTTPS do Google que ficava só dando erro de certificado, vc com duas linhas de configuração solucionou tudo!
Muito obrigado!
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
Bom dia,
em Service - proxy server
HTTPS/SSL interception
Enable SSL filtering. esta ativa?Sim, está.
-
Olá,
Consegui fazer funcionar, esta bloqueando Facebook via squidguard + blacklist, só que alguns sites esta (http) esta dando o erro abaixo:
–-----------------------------
Request denied by pfSense proxy: 403 ForbiddenReason:
Client address: 192.168.100.50
Client group: default
Target group: none
URL: http://www.speedtest.net/
–-----------------------------Mas é um site simples não tem nenhuma regra para bloquear ele, estou só bloqueando redes sociais.
E o mais estranho é que outros sites http e até mesmo https (gmail, etc...) carregam normalmente.
Alguém tem uma dica?
Obrigado!
