Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Boa tarde,
Estou com problemas de filtragem de SSL.
Está tudo feito conforme o tutorial e as demais dicas deste post, porém continua não funcionando.
Acredito que a intercepção SSL não está rodando pois quando tento dar um telnet na porta q eu especifiquei, a porta está fechada, enquanto na porta do HTTP a conexão funciona.Alguém tem alguma ideia?
-
Gostaria de agradecer ao marcelloc e a todos que contribuíram com este tópico, pois graças a vocês estou com pfsense 2.1.5 + squid3-dev + squidGuard-squid3 funcionando em modo transparente! :)
Tenho uma dúvida e creio que seja por minha falta de conhecimento.
Tentei colocar alguns sites que dão problema de certificado como Bypass, mas não consegui, eles continuam passando pelo proxy. E o tentei fazer um redirecionamento do www.gmail.com para www.lemail.com.br via squidguard, e tive problemas. Depois de criada a ACL o squidguard começava liberar sites bloqueados. Quando deleto a ACL o squidguard volta a bloquear normalmente. Isso pode ser alguma configuração errada?
-
Excelente tuto, porem a fiz a configuração e instalação do certificado e mesmo assim está com erro de certificado quando acessa https. Pode me dar uma luz? Usando windows 8.1!
Havia me esquecido do "always_direct allow all
ssl_bump server-first all"Tudo funcionando perfeito!!
Valeu!!
-
Bom Dia a todos,
Marcelo gostaria de saber qual o tipo de cetificado e onde comprar para que não de o erro de certificado autoassinado.
Obrigado pelo maravilhoso projeto!!!
-
Boa tarde,
Estou com problemas de filtragem de SSL.
Está tudo feito conforme o tutorial e as demais dicas deste post, porém continua não funcionando.
Acredito que a intercepção SSL não está rodando pois quando tento dar um telnet na porta q eu especifiquei, a porta está fechada, enquanto na porta do HTTP a conexão funciona.Alguém tem alguma ideia?
Bom dia galera, estou tento o mesmo problema do certificado, quando fiz o bloqueio do facebook eo youtube quando vou acessa a pagina do google.com aparece assim
Sua conexão não é particular e no final da pagina aparece o erro" Não é possível acessar www.google.com.br no momento, porque o website usa HSTS. Ataques e erros de rede geralmente são temporários. Portanto, essa página deve funcionar mais tarde.
NET::ERR_CERT_AUTHORITY_INVALID"
ALGUEM PODERIA ME AJUDA ESTOU TENTO MUITO DIFICULDADE COM ISSO,
ABS
-
Pra mim quando ocorreu esta mensagem…Limpei todos dados de Navegação e instalei CERTIFICADO e funcionou ok!
-
@nblx96:
Pra mim quando ocorreu esta mensagem…Limpei todos dados de Navegação e instalei CERTIFICADO e funcionou ok!
faz isso da o mesmo erro mesmo erro, :'(
-
Olá alguém sabe me dizer se ele é compatível com o squidguard porque quando instalo o squidguard a lista Bypass proxy for these destination IPs para de funcionar e começa a dar erro de certificado.
Quando está só o squid fica liso. -
Galera, quem ta com problemas para acessar o Gmail, eu consegui contornar o problema, configurei o Squidguard para toda vez qeu a pessoa entrar nos sites www.gmail.com e www.gmail.com.br ele redirecione para a pagina www.lemail.com.br
Muito top essa ideia em
mais como faiz isso eu nao sei
poderia explicar fazendo favor
muito obrigado -
Marcelloc, boa tarde!
Uma dúvida bem básica sobre esse procedimento, não sei se já responderam.
É possível esse procedimento rodar em o certificado no cliente local?
Pergunto pois minha principal aplicação é em uma escola com 700+ clients, e seria uma tarefa no mínimo interessante instalar certificado, sem contar que a grande parte é móvel.
Testei um ambiente de testes e não consegui sem o certificado local :(
Grato e boas festas!
Abraços!
-
Pergunto pois minha principal aplicação é em uma escola com 700+ clients, e seria uma tarefa no mínimo interessante instalar certificado, sem contar que a grande parte é móvel.
Dica extra: Dê uma olhada com bastante atenção para as aulas do Curso pfSense Intranet, gravadas pelo próprio Marcelloc. Veja que há várias opções disponíveis, a partir do Squid 3 para o seu caso - que precisa fazer autenticação transparente e interceptação de tráfego SSL.
Tudo, normalmente, é muito mais uma questão conceitual do que prática. Por isso sugiro as aulas do Marcello. Elas ficaram completas e mto didáticas!
Link curso on-line: http://sys-squad.com/sys/curso/48
Abraços!
Jack -
Agradeço jackL, vou olhar depois os cursos.
Mas se alguém tiver conseguido fazer sem a necessidade de instalar manualmente o certificado, ou uma maneira de fazer um push do mesmo para as estações com o pfsense seria interessante compartilhar.
Grato!
-
Mas se alguém tiver conseguido fazer sem a necessidade de instalar manualmente o certificado, ou uma maneira de fazer um push do mesmo para as estações com o pfsense seria interessante compartilhar.
Não conheço nenhuma ferramenta, nem mesmo com licenciamento comercial, que faça o que você quer… totalmente transparente.
Você até pode automatizar algumas coisas se tiver um PDC/AD na sua rede, mas certamente não no nível de '100% transparente e automático'. É importante entender que o que você propõe distorce boa parte das garantias mínimas de segurança de qualquer SO (instalar um certificado SSL para que o navegador confie no seu firewall e de quebra interceptar tráfego encriptado sem seu usuário saber). Concordas?
Sugiro fortemente, no seu caso, dar uma olhada nesta solução de integração com Captive Portal + FreeRadius + Squid 3. Nesta aula, gravada pelo próprio marcelloc, você aprenderá a integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes). Você ainda aprende nesta aula como configurar limites de tráfego, tempo de navegação, quantidade de download e muito mais aos seus usuários através do FreeRadius.
Importante: Não estou tentando 'empurrar' aqui o treinamento. Apenas dizendo que existem formas racionais e eficientes de suprir o que você quer e temos desenvolvedores (brasileiros inclusive) que já trabalharam nisso. Está pronto, e existe pelo menos uma aula que lhe mostra como fazer isso - gravada pelo próprio desenvolvedor! ;)
Abraços!
Jack -
Opa. Eu recomendo as aulas. Além de aprender o passo a passo, você ainda contribui com o desenvolvedor e todo mundo sai ganhando. ;D
-
Bom dia!
Entendo, meu problema é que não existe AD nessa rede. Quanto aos cursos, não acho um problema relaciona-los aqui. Assim que sobrar um tempo (entenda-se $) vou assistir alguns.
Começo de ano não é fácil pra ninguém! :P
Captive Portal + FreeRadius + Squid 3.
Isso é interessante, nessa rede já roda um Capitive + radius filtrando por MAC. Vou verificar a integração com SQUID3.
No mais, feliz ano novo a todos!
Abraços!
-
Bom dia
Pessoal lendo o post verifiquei que uma situação onde um colega colocou que o hoje não necessita da instalação das bibliotecas no squid3-dev, pois já esta vindo com ela e no dele funcionou perfeitamento, alguém testou ai?
Já fiz de tudo e nada.
Sobre a instalação ou não utilização do certificado teria como?
Marcelo
-
Sobre a instalação ou não utilização do certificado teria como?
Para interceptação de ssl, você vai precisar do certificado (ca) instalado nas estações.
Sem isso, qualquer site vai dar erro de ssl.
-
olá pessoal, talvez aguem esteja passando a mesma situação que eu, instalei o Pfsense 2.2 do zero, adicionei o pacote squid 3.4.10_2 pkg 0.2.6, com o proxy transparente marcado em proxy server , saídas pela porta 80 sem navegador configurado proxy não conecta, fica syn_sent, só acessa 443 normal.
nesta instalação não adicionei as bibliotecas como mostra no primeiro post, é necessário? caso não seja isso o que pode ser?
também na versao pf 2.2 nao aparece mais o squid3-dev.
obrigado. -
O squid3-dev é o squid3 na 2.2.
Marcou a lan nas interfaces do Proxy transparente?
-
com certeza, LAN marcado.
