Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Bom dia Pessoal do fórum e Marcelo!
Tudo bem?Marcelo,
Sou novato no forum porem ja acompanho seu trabalho fazem algumas semanas. Antes de mais nada, OBRIGADO pelo que já fez aqui! =)
Excelente trabalho!Mas vamos lá. Adianto que sou um cara que conhece razoavelmente bem sobre TCP/IP.
Meu intuito aqui é somente entender o comportamento do pfsense, pois esta sim é uma ferramenta mais nova para mim. Porém, se mostrou muito confiável.Bom, configurei meu FW com Squid+Squiguard com filtro de SSL de forma transparente. Funcionando perfeitamente bem.
Instalei as libs adicionais solicitadas, adicionei as famosas linhas na "Custom ACLS", e instalei o certificado nas estações para evitar o erro no navegador. Versões: pfsense (2.1.3-RELEASE (amd64), Squid3-dev (3.3.10 pkg 2.2.6) e Squidguard-squid3 (1.4_4 pkg v.1.9.5).Meu problema é que não consigo BYPASSAR o Dropbox nessa história. Fiz regra no firewall liberando todos os CIDR do Dropbox que peguei aqui
(http://bgp.he.net/search?search[search]=dropbox&commit=Search).
Não funcionou.Após peguei esta mesma lista e coloquei nas configs do "Proxy Server". Funcionou parcial. O dropbox oscila sincronizando e depois dá erro.
Enfim, gostaria de saber como devo contornar essa situação. Se tiveres uma luz me passe!! rsrs
Obrigado!
Estou às ordens! =)Gustavo
-
Olá, estou com problema de certificado quando ativo o https no proxy server.
Fiz tudo certinho umas 10 vezes pra garantir.
Mesmo criando o certificado em CA e depois em certificado server, baixo o CA instalo na raiz confiavel limpo os cookies mas não da certo.
Ao tentar abrir qualquer site HTTPS da erro de certificado mas o ip do firewall exibi como confiavel.
Oque poderia ser?Segue os print.
-
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first allTalvez seja isso.
At.
-
@Márcio:
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first allTalvez seja isso.
At.
Obrigado Márcio só faltou funcionar o gmail sera que tem solução?
Adicionar na White list resolve? -
@Márcio:
Olá tehzzari,
Você viu esse tópico?https://forum.pfsense.org/index.php?topic=62263.msg409514#msg409514
Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all ssl_bump server-first allTalvez seja isso.
At.
Obrigado Márcio só faltou funcionar o gmail sera que tem solução?
Adicionar na White list resolve?Manipulação de White List e Black faz toda pelo squidguard.
-
thezzari… depois de tudo isso tente limpar o histórico de navegação completo tudo... o gmail tem esses piseiros mesmo... falow
-
Bom dia Marcelo,
Fiz o passo a passo correto e está funcionando.
Tenho apenas um problema: Mesmo após importar o certificado gerado no pfSense nos navegadores, sempre que tento acessar uma url que utiliza protocolo https, aparece o aviso de certificado não confiável.
O que pode estar ocorrendo?
Parabens pelo post!
-
Isso acontece com todos navegadores ? ser for o mozilla deverá ser importado internamente por dentro dele mesmo…. ???
-
Estou tendo problema com alguns sites em HTTPS
Está dando erro de certificado.
-
Olá pessoal,
Comigo ocorre a mensagem de certificado não confiável em todos os navegadores (Firefox, Chrome e I.E)
Importei o certificado em ambos e coloquei dentro de certificados confiáveis.
Detalhe > Utilizo 2.1.4-RELEASE (amd64) mas utilizei os arquivos específicos conforme plataforma.
Alguém conseguio solucionar este problema?
Desde já agradeço por todos que postaram a respeito!
Att,
-
pode ser o algoritmo de criptografia do certificado que pode da incompatibilidade com alguns sites.
-
Alguma maneira de mostrar pagina de erro para as páginas https ?
-
Alguma maneira de mostrar pagina de erro para as páginas https ?
diz que o certificado está incorreto e blah blah.. eu tenho só no trabalho, hoje é feriado aqui !
-
@JuniorAndrade:
Alguma maneira de mostrar pagina de erro para as páginas https ?
diz que o certificado está incorreto e blah blah.. eu tenho só no trabalho, hoje é feriado aqui !
Isso mesmo, quando puder, poste aqui blz ?
-
Boa tarde, segui todo o procedimento e está funcionando bacana, porém no internet explorer não confia no certificado mesmo após a instalação no repositório de certificados confiáveis.
Alguém que tenha conseguido configurar perfeitamente poderia me ajudar ?
Estou usando a versão do pfsense 2.1.4 e as últimas versões dos pacotes do squid3-dev e squidguard-dev.Att,
Alexandre Barbosa -
Boa tarde, segui todo o procedimento e está funcionando bacana, porém no internet explorer não confia no certificado mesmo após a instalação no repositório de certificados confiáveis.
Alguém que tenha conseguido configurar perfeitamente poderia me ajudar ?
Estou usando a versão do pfsense 2.1.4 e as últimas versões dos pacotes do squid3-dev e squidguard-dev.Att,
Alexandre BarbosaJá tentou limpar o cache do navegador ? Qual foi o outro navegador que testou e funcionou ?
-
João Batista,
Segui o tutoria do youtube, tudo certo por aqui… agora é fazer demais configurações.
-
Estou com problemas ao liberar alguns sites do governo, ja importei o certificado em autoridade certificadora confiavel e mesmo assim alguns sites nao entram, da erro. Se alguem puder ajudar. Segue print do erro e do squid.
-
Estou com problemas ao liberar alguns sites do governo, ja importei o certificado em autoridade certificadora confiavel e mesmo assim alguns sites nao entram, da erro. Se alguem puder ajudar. Segue print do erro e do squid.
isso mesmo ! mesmo eu colocando na autoridade raiz. não vai.
-
delay pool vai conseguir limitar banda das extensões a baixo com interceptação de ssl/https?
#### Por rede ##### acl admin url_regex -i 192.168.1 #Limiar a velocidade por urls atravez de uma lista acl lento url_regex -i "/etc/squid/urls/lento" # Limitar por extensões acl extensoes url_regex -i .exe .mp3 .vqf .tar.gz .gz .rpm .zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov # Definimos a seguir a quantidade de Pools (pool são as acls criadas acima) delay_pools 3 # Definimos a classe a qual cada Delay pool pertence, deve haver uma classe # para cada pool (acl) delay_class 1 2 # Aqui definiremos a velociade de nossa conexão # Composto por # delay_parameters (delay pool) total de banda (rede) total de banda (por usuário) delay_parameters 1 5000 /5000 5000/5000 delay_class 2 2 delay_parameters 2 5000/5000 5000/5000 delay_class 3 2 delay_parameters 3 1000/1000 1000/1000 #### No exemplo acima determinamos a velocidade em bits/sengundo 5000 (5kb/s) #### 5000/5000 o primeiro valor corresponde ao restore que é o total de dados que pode #### trafegar por segundo. O segundo valor é número máximo de bits por segundo #### que podem trafegar ### Permite/Nega as as acl's criadas anteriormente ######################## # Delay_access - Determina em qual delay pool uma requisição será encaixada. # ######################################################################### delay_access 1 allow casa delay_access 2 allow lento delay_access 3 allow extensoes #### Nega tudo que nao tiver nas acl's never_direct allow all
