Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.
Provavelmente você vai ter que configurar estes sites para não passar pelo proxy.
-
bom dia so que se fosse esse problema ainda esta bom so que tem diversos sites onde da o msm problema como caixa economica federal dentre outros pois depende de uso de certificado digital para se conseguir logar no site.
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Resposta aqui (talvez resolva o problema do Chrome, relatado acima):
always_direct allow all
ssl_bump server-first all …Estes parametros ativam a interceptação de ssl.
Na próxima versão do pacote esses parâmetros já são definidos automaticamente.Coloque estas acl no campo Custom ACLS (Before_Auth)
-
Bom dia, consegui que funciona-se o ssl perfeitamente no eu que preciso! bloqueios etc!, mas sempre aparece o elemento não esperado, um dos donos usa o celular no wi-fi com sistema Android 2.2 o qual o certificado por algum motivo não funciona nesse celular!.
A minha duvida é a seguinte, é possível fazer um ip passar direto sem passar pelo filtro SSL ou que não necessite usar o certificado.
Fico agradecido desde já. -
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
Bom dia,
em Service - proxy server
HTTPS/SSL interception
Enable SSL filtering. esta ativa? -
Coloque estas acl no campo Custom ACLS (Before_Auth)
always_direct allow all ssl_bump server-first all
Na versão 3.2.3 já está corrigida, mas infelizmente o repositório dos pacotes agora só é alterado pelo core team.
Uma atualização que demorava minutos agora pode levar dias… como acontece com o snort.
Marcellloc VC É O CARA!!! Se vc não fosse homem e feio eu ti beijava! ;D
Depois de ler 19 páginas tentando resolver o problema das páginas HTTPS do Google que ficava só dando erro de certificado, vc com duas linhas de configuração solucionou tudo!
Muito obrigado!
-
Bom dia,
Estou rodando o squid3-dev + squidguard-squid3 não está como transparente.
Já fiz a configuração dos certificados e instalei em meu browser.
Está autenticando no AD e os bloqueios por Grupo está funcionando.O único problema é que não está interceptando as paginas https, alguem poderia dar um help ?
Alguem com cenário parecido ?
Bom dia,
em Service - proxy server
HTTPS/SSL interception
Enable SSL filtering. esta ativa?Sim, está.
-
Olá,
Consegui fazer funcionar, esta bloqueando Facebook via squidguard + blacklist, só que alguns sites esta (http) esta dando o erro abaixo:
–-----------------------------
Request denied by pfSense proxy: 403 ForbiddenReason:
Client address: 192.168.100.50
Client group: default
Target group: none
URL: http://www.speedtest.net/
–-----------------------------Mas é um site simples não tem nenhuma regra para bloquear ele, estou só bloqueando redes sociais.
E o mais estranho é que outros sites http e até mesmo https (gmail, etc...) carregam normalmente.
Alguém tem uma dica?
Obrigado!
-
Seu Default access [all] no Commom ACL do squidguard nao esta como deny ?
-
Bom dia, estou configurando e quase terminando meu PFSense 2.1.3-RELEASE (amd64), com squid3-dev 3.3.10 e squidGuard-squid3 1.9.5. Está tudo funcionando perfeitamente, bloqueios https, http e captive portal, mas um detalhe que depois que configurei o Squid percebi, minhas rotas de saída para as portas 80 e 443 não funcionam mais, eu tinha por exemplo, uma rota de saida para cada porta, onde cada uma delas iriam sair por determinados gateways, ou determinada porta sairia pelo Load Balance(Gateway Groups Criado para 3 links WAN).
Será que estou esquecendo de fazer alguma configuração? Alguém poderia me dar uma dica?Obrigado por enquanto….
-
Seu Default access [all] no Commom ACL do squidguard nao esta como deny ?
Esta como ALL, to achando muito estranho pq vários sites funcionam é um ou outro que ele bloqueia mesmo sem ter regras para isso.Agora fiz um outro teste e descobri que o facebook esta sendo bloqueado mesmo quando eu desativo a regra de bloqueio ou mudo o horário que ele deveria ser bloqueado, vou fazer mais testes.
–--------------
EDIT (SOLUCIONADO):
Era algum bug, hoje eu fui olhar e tinha uma atualização do PKG do squid3-dev da versão 2.2.5 para a 2.2.6 mandei atualizar e agora esta funcionando os sites http que ele bloqueava as vezes, mesmo sem ter regras para isso.
Só a questão da regra de bloqueio do Facebook que mesmo depois de eu desativar e dar um Apply continua bloqueando, mas acredito que seja alguma coisa do cache ainda não descobri como limpar o cache do squid para testar.
-
Alguém com solução para Smartphone? alem da DMZ?
-
@VoiD_Junior:
Alguém com solução para Smartphone? alem da DMZ?
No Android 4.4.2 fiz o seguinte:
Importei o CA nas opções de segurança. Dessa forma o Chrome funcionou ao acessar HTTPS.
O Firefox usa um repositório interno de certificados, por isso usei o complemento CACert (https://addons.mozilla.org/pt-BR/firefox/addon/cacert-root-certificate/?src=search) que importa os certificados do Android para o Firefox.Havia funcionado, mas instalei o pfSense do zero e agora não funciona mais :(
Corrigido: eu havia marcado a opção Certificate adapt. Ela deve ficar desmarcada. Para desmarcar a opção basta manter a tecla CRTL pressionada e clicar na opção. Assim funciona perfeitamente no Firefox e no Chrome.
Também percebi que o Squid precisa estar transparente para o Captive Portal funcionar. Não funciona se eu configurar manualmente o proxy?
-
Bom dia pessoal,
Primeiro que dar aos parabéns ao Marcelo, pelo bom material.
Mas estou tendo apenas dois problemas:
1 - Na minha rede tenho dois links de Internet e duas redes LANs. Sendo defini na regra de saída de cada interface LAN para que cada uma saia por um Link diferente, gerando um Load Balancer.
O problema é que o filtro do squid está operando acima destas regras de saída fazendo com que as requisições HTTP/HTTPs saim sempre pelo Link Default. Imagens abaixo.
2 - O Google Chrome não consegue operar com o filtro SSL ativado, mesmo com o certificado importado.
Se puderem gostaria de ajuda para solucionar, principalmente o primeiro problema, pois este Load Balancer é muito importante para minha rede.
-
Blz Pessoal!
Aconteceu algo muito estranho, estava testando o Squid3-dev + SquidGuard3-dev e estava funcionando, mas hoje eu vi que a Blacklist não havia sido carregado e mandei atualizar só q depois da atualização o SquidGuard3-dev não inicia mais o serviço.
No log aparece esse erro:
php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'
O serviço do Squid esta rodando, só consigo acesso a internet se desabilito o Transparent HTTP proxy.
PS.: já tenho os comandos always_direct allow all e ssl_bump server-first all no Custom ACLS.
Alguém mais esta tendo esse problema?
EDIT: estou começando a acreditar que o problema seja pq atualizei o pfSense para a versão 2.1.4, pois reinstalei tudo do zero e tanto o squid3-dev como o squidguard3-dev não conseguem mais iniciar.
-
estou tendo um problema parecido com o do rogercwb
php: swapstate_check.php: The command '/usr/pbi/squid-i386/sbin/squid -k kill -f /usr/pbi/squid-i386/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'
em seguida
Jul 3 08:19:24 php: rc.filter_configure_sync: SQUID is installed but not started. Not installing "filter" rules.
Jul 3 08:19:24 php: rc.filter_configure_sync: SQUID is installed but not started. Not installing "pfearly" rules.
Jul 3 08:19:23 php: rc.filter_configure_sync: SQUID is installed but not started. Not installing "nat" rules.ao verificar o meu SQUID esta parado, e eu tendo que ir a tela de configurações e clicar em SALVAR, volta a funcionar perfeitamente. Utilizo o Squid com Squidguard+SSL, notei que existe uma tarefa no cron rodando todo dia as 00:00:00
/usr/local/pkg/swapstate_check.php clean; /usr/pbi/squid-i386/sbin/squid -k rotate -f /usr/pbi/squid-i386/etc/squid/squid.conf
e percebo que ao rodar a tarefa geram os erros acima e para meu SQUID, ja tentei várias dicas em tópicos com problemas parecidos mas sem sucesso…
se alguém tiver uma dica agradeço!
-
Bom dia Pessoal do fórum e Marcelo!
Tudo bem?Marcelo,
Sou novato no forum porem ja acompanho seu trabalho fazem algumas semanas. Antes de mais nada, OBRIGADO pelo que já fez aqui! =)
Excelente trabalho!Mas vamos lá. Adianto que sou um cara que conhece razoavelmente bem sobre TCP/IP.
Meu intuito aqui é somente entender o comportamento do pfsense, pois esta sim é uma ferramenta mais nova para mim. Porém, se mostrou muito confiável.Bom, configurei meu FW com Squid+Squiguard com filtro de SSL de forma transparente. Funcionando perfeitamente bem.
Instalei as libs adicionais solicitadas, adicionei as famosas linhas na "Custom ACLS", e instalei o certificado nas estações para evitar o erro no navegador. Versões: pfsense (2.1.3-RELEASE (amd64), Squid3-dev (3.3.10 pkg 2.2.6) e Squidguard-squid3 (1.4_4 pkg v.1.9.5).Meu problema é que não consigo BYPASSAR o Dropbox nessa história. Fiz regra no firewall liberando todos os CIDR do Dropbox que peguei aqui
(http://bgp.he.net/search?search[search]=dropbox&commit=Search).
Não funcionou.Após peguei esta mesma lista e coloquei nas configs do "Proxy Server". Funcionou parcial. O dropbox oscila sincronizando e depois dá erro.
Enfim, gostaria de saber como devo contornar essa situação. Se tiveres uma luz me passe!! rsrs
Obrigado!
Estou às ordens! =)Gustavo
-
Olá, estou com problema de certificado quando ativo o https no proxy server.
Fiz tudo certinho umas 10 vezes pra garantir.
Mesmo criando o certificado em CA e depois em certificado server, baixo o CA instalo na raiz confiavel limpo os cookies mas não da certo.
Ao tentar abrir qualquer site HTTPS da erro de certificado mas o ip do firewall exibi como confiavel.
Oque poderia ser?Segue os print.
-
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first all
Talvez seja isso.
At.
-
@Márcio:
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first all
Talvez seja isso.
At.
Obrigado Márcio só faltou funcionar o gmail sera que tem solução?
Adicionar na White list resolve? -
@Márcio:
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first all
Talvez seja isso.
At.
Obrigado Márcio só faltou funcionar o gmail sera que tem solução?
Adicionar na White list resolve?Manipulação de White List e Black faz toda pelo squidguard.
-
thezzari… depois de tudo isso tente limpar o histórico de navegação completo tudo... o gmail tem esses piseiros mesmo... falow
-
Bom dia Marcelo,
Fiz o passo a passo correto e está funcionando.
Tenho apenas um problema: Mesmo após importar o certificado gerado no pfSense nos navegadores, sempre que tento acessar uma url que utiliza protocolo https, aparece o aviso de certificado não confiável.
O que pode estar ocorrendo?
Parabens pelo post!
-
Isso acontece com todos navegadores ? ser for o mozilla deverá ser importado internamente por dentro dele mesmo…. ???
-
Estou tendo problema com alguns sites em HTTPS
Está dando erro de certificado.
-
Olá pessoal,
Comigo ocorre a mensagem de certificado não confiável em todos os navegadores (Firefox, Chrome e I.E)
Importei o certificado em ambos e coloquei dentro de certificados confiáveis.
Detalhe > Utilizo 2.1.4-RELEASE (amd64) mas utilizei os arquivos específicos conforme plataforma.
Alguém conseguio solucionar este problema?
Desde já agradeço por todos que postaram a respeito!
Att,
-
pode ser o algoritmo de criptografia do certificado que pode da incompatibilidade com alguns sites.
-
Alguma maneira de mostrar pagina de erro para as páginas https ?
-
Alguma maneira de mostrar pagina de erro para as páginas https ?
diz que o certificado está incorreto e blah blah.. eu tenho só no trabalho, hoje é feriado aqui !
-
@JuniorAndrade:
Alguma maneira de mostrar pagina de erro para as páginas https ?
diz que o certificado está incorreto e blah blah.. eu tenho só no trabalho, hoje é feriado aqui !
Isso mesmo, quando puder, poste aqui blz ?
-
Boa tarde, segui todo o procedimento e está funcionando bacana, porém no internet explorer não confia no certificado mesmo após a instalação no repositório de certificados confiáveis.
Alguém que tenha conseguido configurar perfeitamente poderia me ajudar ?
Estou usando a versão do pfsense 2.1.4 e as últimas versões dos pacotes do squid3-dev e squidguard-dev.Att,
Alexandre Barbosa -
Boa tarde, segui todo o procedimento e está funcionando bacana, porém no internet explorer não confia no certificado mesmo após a instalação no repositório de certificados confiáveis.
Alguém que tenha conseguido configurar perfeitamente poderia me ajudar ?
Estou usando a versão do pfsense 2.1.4 e as últimas versões dos pacotes do squid3-dev e squidguard-dev.Att,
Alexandre BarbosaJá tentou limpar o cache do navegador ? Qual foi o outro navegador que testou e funcionou ?
-
João Batista,
Segui o tutoria do youtube, tudo certo por aqui… agora é fazer demais configurações.
-
-
Estou com problemas ao liberar alguns sites do governo, ja importei o certificado em autoridade certificadora confiavel e mesmo assim alguns sites nao entram, da erro. Se alguem puder ajudar. Segue print do erro e do squid.
isso mesmo ! mesmo eu colocando na autoridade raiz. não vai.
-
delay pool vai conseguir limitar banda das extensões a baixo com interceptação de ssl/https?
#### Por rede ##### acl admin url_regex -i 192.168.1 #Limiar a velocidade por urls atravez de uma lista acl lento url_regex -i "/etc/squid/urls/lento" # Limitar por extensões acl extensoes url_regex -i .exe .mp3 .vqf .tar.gz .gz .rpm .zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov # Definimos a seguir a quantidade de Pools (pool são as acls criadas acima) delay_pools 3 # Definimos a classe a qual cada Delay pool pertence, deve haver uma classe # para cada pool (acl) delay_class 1 2 # Aqui definiremos a velociade de nossa conexão # Composto por # delay_parameters (delay pool) total de banda (rede) total de banda (por usuário) delay_parameters 1 5000 /5000 5000/5000 delay_class 2 2 delay_parameters 2 5000/5000 5000/5000 delay_class 3 2 delay_parameters 3 1000/1000 1000/1000 #### No exemplo acima determinamos a velocidade em bits/sengundo 5000 (5kb/s) #### 5000/5000 o primeiro valor corresponde ao restore que é o total de dados que pode #### trafegar por segundo. O segundo valor é número máximo de bits por segundo #### que podem trafegar ### Permite/Nega as as acl's criadas anteriormente ######################## # Delay_access - Determina em qual delay pool uma requisição será encaixada. # ######################################################################### delay_access 1 allow casa delay_access 2 allow lento delay_access 3 allow extensoes #### Nega tudo que nao tiver nas acl's never_direct allow all
-
-
Boa tarde.
O procedimento para instalação ainda é o mesmo? Tenho que efetuar os procedimentos informados pelo Marcelo nos primeiros posts?
Grato