Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Seu Default access [all] no Commom ACL do squidguard nao esta como deny ?
Esta como ALL, to achando muito estranho pq vários sites funcionam é um ou outro que ele bloqueia mesmo sem ter regras para isso.Agora fiz um outro teste e descobri que o facebook esta sendo bloqueado mesmo quando eu desativo a regra de bloqueio ou mudo o horário que ele deveria ser bloqueado, vou fazer mais testes.
–--------------
EDIT (SOLUCIONADO):
Era algum bug, hoje eu fui olhar e tinha uma atualização do PKG do squid3-dev da versão 2.2.5 para a 2.2.6 mandei atualizar e agora esta funcionando os sites http que ele bloqueava as vezes, mesmo sem ter regras para isso.
Só a questão da regra de bloqueio do Facebook que mesmo depois de eu desativar e dar um Apply continua bloqueando, mas acredito que seja alguma coisa do cache ainda não descobri como limpar o cache do squid para testar.
-
Alguém com solução para Smartphone? alem da DMZ?
-
@VoiD_Junior:
Alguém com solução para Smartphone? alem da DMZ?
No Android 4.4.2 fiz o seguinte:
Importei o CA nas opções de segurança. Dessa forma o Chrome funcionou ao acessar HTTPS.
O Firefox usa um repositório interno de certificados, por isso usei o complemento CACert (https://addons.mozilla.org/pt-BR/firefox/addon/cacert-root-certificate/?src=search) que importa os certificados do Android para o Firefox.Havia funcionado, mas instalei o pfSense do zero e agora não funciona mais :(
Corrigido: eu havia marcado a opção Certificate adapt. Ela deve ficar desmarcada. Para desmarcar a opção basta manter a tecla CRTL pressionada e clicar na opção. Assim funciona perfeitamente no Firefox e no Chrome.
Também percebi que o Squid precisa estar transparente para o Captive Portal funcionar. Não funciona se eu configurar manualmente o proxy?
-
Bom dia pessoal,
Primeiro que dar aos parabéns ao Marcelo, pelo bom material.
Mas estou tendo apenas dois problemas:
1 - Na minha rede tenho dois links de Internet e duas redes LANs. Sendo defini na regra de saída de cada interface LAN para que cada uma saia por um Link diferente, gerando um Load Balancer.
O problema é que o filtro do squid está operando acima destas regras de saída fazendo com que as requisições HTTP/HTTPs saim sempre pelo Link Default. Imagens abaixo.
2 - O Google Chrome não consegue operar com o filtro SSL ativado, mesmo com o certificado importado.
Se puderem gostaria de ajuda para solucionar, principalmente o primeiro problema, pois este Load Balancer é muito importante para minha rede.
-
Blz Pessoal!
Aconteceu algo muito estranho, estava testando o Squid3-dev + SquidGuard3-dev e estava funcionando, mas hoje eu vi que a Blacklist não havia sido carregado e mandei atualizar só q depois da atualização o SquidGuard3-dev não inicia mais o serviço.
No log aparece esse erro:
php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'
O serviço do Squid esta rodando, só consigo acesso a internet se desabilito o Transparent HTTP proxy.
PS.: já tenho os comandos always_direct allow all e ssl_bump server-first all no Custom ACLS.
Alguém mais esta tendo esse problema?
EDIT: estou começando a acreditar que o problema seja pq atualizei o pfSense para a versão 2.1.4, pois reinstalei tudo do zero e tanto o squid3-dev como o squidguard3-dev não conseguem mais iniciar.
-
estou tendo um problema parecido com o do rogercwb
php: swapstate_check.php: The command '/usr/pbi/squid-i386/sbin/squid -k kill -f /usr/pbi/squid-i386/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'
em seguida
Jul 3 08:19:24 php: rc.filter_configure_sync: SQUID is installed but not started. Not installing "filter" rules.
Jul 3 08:19:24 php: rc.filter_configure_sync: SQUID is installed but not started. Not installing "pfearly" rules.
Jul 3 08:19:23 php: rc.filter_configure_sync: SQUID is installed but not started. Not installing "nat" rules.ao verificar o meu SQUID esta parado, e eu tendo que ir a tela de configurações e clicar em SALVAR, volta a funcionar perfeitamente. Utilizo o Squid com Squidguard+SSL, notei que existe uma tarefa no cron rodando todo dia as 00:00:00
/usr/local/pkg/swapstate_check.php clean; /usr/pbi/squid-i386/sbin/squid -k rotate -f /usr/pbi/squid-i386/etc/squid/squid.conf
e percebo que ao rodar a tarefa geram os erros acima e para meu SQUID, ja tentei várias dicas em tópicos com problemas parecidos mas sem sucesso…
se alguém tiver uma dica agradeço!
-
Bom dia Pessoal do fórum e Marcelo!
Tudo bem?Marcelo,
Sou novato no forum porem ja acompanho seu trabalho fazem algumas semanas. Antes de mais nada, OBRIGADO pelo que já fez aqui! =)
Excelente trabalho!Mas vamos lá. Adianto que sou um cara que conhece razoavelmente bem sobre TCP/IP.
Meu intuito aqui é somente entender o comportamento do pfsense, pois esta sim é uma ferramenta mais nova para mim. Porém, se mostrou muito confiável.Bom, configurei meu FW com Squid+Squiguard com filtro de SSL de forma transparente. Funcionando perfeitamente bem.
Instalei as libs adicionais solicitadas, adicionei as famosas linhas na "Custom ACLS", e instalei o certificado nas estações para evitar o erro no navegador. Versões: pfsense (2.1.3-RELEASE (amd64), Squid3-dev (3.3.10 pkg 2.2.6) e Squidguard-squid3 (1.4_4 pkg v.1.9.5).Meu problema é que não consigo BYPASSAR o Dropbox nessa história. Fiz regra no firewall liberando todos os CIDR do Dropbox que peguei aqui
(http://bgp.he.net/search?search[search]=dropbox&commit=Search).
Não funcionou.Após peguei esta mesma lista e coloquei nas configs do "Proxy Server". Funcionou parcial. O dropbox oscila sincronizando e depois dá erro.
Enfim, gostaria de saber como devo contornar essa situação. Se tiveres uma luz me passe!! rsrs
Obrigado!
Estou às ordens! =)Gustavo
-
Olá, estou com problema de certificado quando ativo o https no proxy server.
Fiz tudo certinho umas 10 vezes pra garantir.
Mesmo criando o certificado em CA e depois em certificado server, baixo o CA instalo na raiz confiavel limpo os cookies mas não da certo.
Ao tentar abrir qualquer site HTTPS da erro de certificado mas o ip do firewall exibi como confiavel.
Oque poderia ser?Segue os print.
-
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first allTalvez seja isso.
At.
-
@Márcio:
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first allTalvez seja isso.
At.
Obrigado Márcio só faltou funcionar o gmail sera que tem solução?
Adicionar na White list resolve? -
@Márcio:
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first allTalvez seja isso.
At.
Obrigado Márcio só faltou funcionar o gmail sera que tem solução?
Adicionar na White list resolve?Manipulação de White List e Black faz toda pelo squidguard.
-
thezzari… depois de tudo isso tente limpar o histórico de navegação completo tudo... o gmail tem esses piseiros mesmo... falow
-
Bom dia Marcelo,
Fiz o passo a passo correto e está funcionando.
Tenho apenas um problema: Mesmo após importar o certificado gerado no pfSense nos navegadores, sempre que tento acessar uma url que utiliza protocolo https, aparece o aviso de certificado não confiável.
O que pode estar ocorrendo?
Parabens pelo post!
-
Isso acontece com todos navegadores ? ser for o mozilla deverá ser importado internamente por dentro dele mesmo…. ???
-
Estou tendo problema com alguns sites em HTTPS
Está dando erro de certificado.
-
Olá pessoal,
Comigo ocorre a mensagem de certificado não confiável em todos os navegadores (Firefox, Chrome e I.E)
Importei o certificado em ambos e coloquei dentro de certificados confiáveis.
Detalhe > Utilizo 2.1.4-RELEASE (amd64) mas utilizei os arquivos específicos conforme plataforma.
Alguém conseguio solucionar este problema?
Desde já agradeço por todos que postaram a respeito!
Att,
-
pode ser o algoritmo de criptografia do certificado que pode da incompatibilidade com alguns sites.
-
Alguma maneira de mostrar pagina de erro para as páginas https ?
-
Alguma maneira de mostrar pagina de erro para as páginas https ?
diz que o certificado está incorreto e blah blah.. eu tenho só no trabalho, hoje é feriado aqui !
-
@JuniorAndrade:
Alguma maneira de mostrar pagina de erro para as páginas https ?
diz que o certificado está incorreto e blah blah.. eu tenho só no trabalho, hoje é feriado aqui !
Isso mesmo, quando puder, poste aqui blz ?
