Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Gostaria de agradecer ao marcelloc e a todos que contribuíram com este tópico, pois graças a vocês estou com pfsense 2.1.5 + squid3-dev + squidGuard-squid3 funcionando em modo transparente! :)
Tenho uma dúvida e creio que seja por minha falta de conhecimento.
Tentei colocar alguns sites que dão problema de certificado como Bypass, mas não consegui, eles continuam passando pelo proxy. E o tentei fazer um redirecionamento do www.gmail.com para www.lemail.com.br via squidguard, e tive problemas. Depois de criada a ACL o squidguard começava liberar sites bloqueados. Quando deleto a ACL o squidguard volta a bloquear normalmente. Isso pode ser alguma configuração errada?
-
Excelente tuto, porem a fiz a configuração e instalação do certificado e mesmo assim está com erro de certificado quando acessa https. Pode me dar uma luz? Usando windows 8.1!
Havia me esquecido do "always_direct allow all
ssl_bump server-first all"Tudo funcionando perfeito!!
Valeu!!
-
Bom Dia a todos,
Marcelo gostaria de saber qual o tipo de cetificado e onde comprar para que não de o erro de certificado autoassinado.
Obrigado pelo maravilhoso projeto!!!
-
Boa tarde,
Estou com problemas de filtragem de SSL.
Está tudo feito conforme o tutorial e as demais dicas deste post, porém continua não funcionando.
Acredito que a intercepção SSL não está rodando pois quando tento dar um telnet na porta q eu especifiquei, a porta está fechada, enquanto na porta do HTTP a conexão funciona.Alguém tem alguma ideia?
Bom dia galera, estou tento o mesmo problema do certificado, quando fiz o bloqueio do facebook eo youtube quando vou acessa a pagina do google.com aparece assim
Sua conexão não é particular e no final da pagina aparece o erro" Não é possível acessar www.google.com.br no momento, porque o website usa HSTS. Ataques e erros de rede geralmente são temporários. Portanto, essa página deve funcionar mais tarde.
NET::ERR_CERT_AUTHORITY_INVALID"
ALGUEM PODERIA ME AJUDA ESTOU TENTO MUITO DIFICULDADE COM ISSO,
ABS
-
Pra mim quando ocorreu esta mensagem…Limpei todos dados de Navegação e instalei CERTIFICADO e funcionou ok!
-
@nblx96:
Pra mim quando ocorreu esta mensagem…Limpei todos dados de Navegação e instalei CERTIFICADO e funcionou ok!
faz isso da o mesmo erro mesmo erro, :'(
- 8 days later
-
Olá alguém sabe me dizer se ele é compatível com o squidguard porque quando instalo o squidguard a lista Bypass proxy for these destination IPs para de funcionar e começa a dar erro de certificado.
Quando está só o squid fica liso. -
Galera, quem ta com problemas para acessar o Gmail, eu consegui contornar o problema, configurei o Squidguard para toda vez qeu a pessoa entrar nos sites www.gmail.com e www.gmail.com.br ele redirecione para a pagina www.lemail.com.br
Muito top essa ideia em
mais como faiz isso eu nao sei
poderia explicar fazendo favor
muito obrigado - about a month later
-
Marcelloc, boa tarde!
Uma dúvida bem básica sobre esse procedimento, não sei se já responderam.
É possível esse procedimento rodar em o certificado no cliente local?
Pergunto pois minha principal aplicação é em uma escola com 700+ clients, e seria uma tarefa no mínimo interessante instalar certificado, sem contar que a grande parte é móvel.
Testei um ambiente de testes e não consegui sem o certificado local :(
Grato e boas festas!
Abraços!
-
Pergunto pois minha principal aplicação é em uma escola com 700+ clients, e seria uma tarefa no mínimo interessante instalar certificado, sem contar que a grande parte é móvel.
Dica extra: Dê uma olhada com bastante atenção para as aulas do Curso pfSense Intranet, gravadas pelo próprio Marcelloc. Veja que há várias opções disponíveis, a partir do Squid 3 para o seu caso - que precisa fazer autenticação transparente e interceptação de tráfego SSL.
Tudo, normalmente, é muito mais uma questão conceitual do que prática. Por isso sugiro as aulas do Marcello. Elas ficaram completas e mto didáticas!
Link curso on-line: http://sys-squad.com/sys/curso/48
Abraços!
Jack -
Agradeço jackL, vou olhar depois os cursos.
Mas se alguém tiver conseguido fazer sem a necessidade de instalar manualmente o certificado, ou uma maneira de fazer um push do mesmo para as estações com o pfsense seria interessante compartilhar.
Grato!
-
Mas se alguém tiver conseguido fazer sem a necessidade de instalar manualmente o certificado, ou uma maneira de fazer um push do mesmo para as estações com o pfsense seria interessante compartilhar.
Não conheço nenhuma ferramenta, nem mesmo com licenciamento comercial, que faça o que você quer… totalmente transparente.
Você até pode automatizar algumas coisas se tiver um PDC/AD na sua rede, mas certamente não no nível de '100% transparente e automático'. É importante entender que o que você propõe distorce boa parte das garantias mínimas de segurança de qualquer SO (instalar um certificado SSL para que o navegador confie no seu firewall e de quebra interceptar tráfego encriptado sem seu usuário saber). Concordas?
Sugiro fortemente, no seu caso, dar uma olhada nesta solução de integração com Captive Portal + FreeRadius + Squid 3. Nesta aula, gravada pelo próprio marcelloc, você aprenderá a integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes). Você ainda aprende nesta aula como configurar limites de tráfego, tempo de navegação, quantidade de download e muito mais aos seus usuários através do FreeRadius.
Importante: Não estou tentando 'empurrar' aqui o treinamento. Apenas dizendo que existem formas racionais e eficientes de suprir o que você quer e temos desenvolvedores (brasileiros inclusive) que já trabalharam nisso. Está pronto, e existe pelo menos uma aula que lhe mostra como fazer isso - gravada pelo próprio desenvolvedor! ;)
Abraços!
Jack -
Opa. Eu recomendo as aulas. Além de aprender o passo a passo, você ainda contribui com o desenvolvedor e todo mundo sai ganhando. ;D
-
Bom dia!
Entendo, meu problema é que não existe AD nessa rede. Quanto aos cursos, não acho um problema relaciona-los aqui. Assim que sobrar um tempo (entenda-se $) vou assistir alguns.
Começo de ano não é fácil pra ninguém! :P
Captive Portal + FreeRadius + Squid 3.
Isso é interessante, nessa rede já roda um Capitive + radius filtrando por MAC. Vou verificar a integração com SQUID3.
No mais, feliz ano novo a todos!
Abraços!
- 10 days later
-
Bom dia
Pessoal lendo o post verifiquei que uma situação onde um colega colocou que o hoje não necessita da instalação das bibliotecas no squid3-dev, pois já esta vindo com ela e no dele funcionou perfeitamento, alguém testou ai?
Já fiz de tudo e nada.
Sobre a instalação ou não utilização do certificado teria como?
Marcelo
-
Sobre a instalação ou não utilização do certificado teria como?
Para interceptação de ssl, você vai precisar do certificado (ca) instalado nas estações.
Sem isso, qualquer site vai dar erro de ssl.
- 15 days later
-
olá pessoal, talvez aguem esteja passando a mesma situação que eu, instalei o Pfsense 2.2 do zero, adicionei o pacote squid 3.4.10_2 pkg 0.2.6, com o proxy transparente marcado em proxy server , saídas pela porta 80 sem navegador configurado proxy não conecta, fica syn_sent, só acessa 443 normal.
nesta instalação não adicionei as bibliotecas como mostra no primeiro post, é necessário? caso não seja isso o que pode ser?
também na versao pf 2.2 nao aparece mais o squid3-dev.
obrigado. -
O squid3-dev é o squid3 na 2.2.
Marcou a lan nas interfaces do Proxy transparente?
-
com certeza, LAN marcado.
-
Execute o squid -k parse como sugeri no outro tópico.
-
executei o squid -k parse,
[2.2-RELEASE][admin@pfSense.localdomain]/root: squid -k parse 2015/01/28 08:49:13| Startup: Initializing Authentication Schemes ... 2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'basic' 2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'digest' 2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'negotiate' 2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'ntlm' 2015/01/28 08:49:13| Startup: Initialized Authentication. 2015/01/28 08:49:13| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0) 2015/01/28 08:49:13| Processing: http_port 192.168.1.1:3128 2015/01/28 08:49:13| Processing: http_port 127.0.0.1:3128 intercept 2015/01/28 08:49:13| Starting Authentication on port 127.0.0.1:3128 2015/01/28 08:49:13| Disabling Authentication on port 127.0.0.1:3128 (interception enabled) 2015/01/28 08:49:13| Processing: icp_port 0 2015/01/28 08:49:13| Processing: dns_v4_first off 2015/01/28 08:49:13| Processing: pid_filename /var/run/squid/squid.pid 2015/01/28 08:49:13| Processing: cache_effective_user proxy 2015/01/28 08:49:13| Processing: cache_effective_group proxy 2015/01/28 08:49:13| Processing: error_default_language en 2015/01/28 08:49:13| Processing: icon_directory /usr/pbi/squid-i386/local/etc/squid/icons 2015/01/28 08:49:13| Processing: visible_hostname localhost 2015/01/28 08:49:13| Processing: cache_mgr admin@localhost 2015/01/28 08:49:13| Processing: access_log /dev/null 2015/01/28 08:49:13| Processing: cache_log /var/squid/logs/cache.log 2015/01/28 08:49:13| Processing: cache_store_log none 2015/01/28 08:49:13| Processing: netdb_filename /var/squid/logs/netdb.state 2015/01/28 08:49:13| Processing: pinger_enable on 2015/01/28 08:49:13| Processing: pinger_program /usr/pbi/squid-i386/local/libexec/squid/pinger 2015/01/28 08:49:13| Processing: logfile_rotate 0 2015/01/28 08:49:13| Processing: debug_options rotate=0 2015/01/28 08:49:13| Processing: shutdown_lifetime 3 seconds 2015/01/28 08:49:13| Processing: acl localnet src 192.168.1.0/24 2015/01/28 08:49:13| Processing: uri_whitespace strip 2015/01/28 08:49:13| Processing: acl dynamic urlpath_regex cgi-bin \? 2015/01/28 08:49:13| Processing: cache deny dynamic 2015/01/28 08:49:13| Processing: cache_mem 8 MB 2015/01/28 08:49:13| Processing: maximum_object_size_in_memory 32 KB 2015/01/28 08:49:13| Processing: memory_replacement_policy heap GDSF 2015/01/28 08:49:13| Processing: cache_replacement_policy heap LFUDA 2015/01/28 08:49:13| Processing: minimum_object_size 0 KB 2015/01/28 08:49:13| Processing: maximum_object_size 10 KB 2015/01/28 08:49:13| Processing: offline_mode off 2015/01/28 08:49:13| Processing: cache allow all 2015/01/28 08:49:13| Processing: acl allsrc src all 2015/01/28 08:49:13| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3127 1025-65535 2015/01/28 08:49:13| Processing: acl sslports port 443 563 2015/01/28 08:49:13| Processing: acl purge method PURGE 2015/01/28 08:49:13| Processing: acl connect method CONNECT 2015/01/28 08:49:13| Processing: acl HTTP proto HTTP 2015/01/28 08:49:13| Processing: acl HTTPS proto HTTPS 2015/01/28 08:49:13| Processing: http_access allow manager localhost 2015/01/28 08:49:13| Processing: http_access deny manager 2015/01/28 08:49:13| Processing: http_access allow purge localhost 2015/01/28 08:49:13| Processing: http_access deny purge 2015/01/28 08:49:13| Processing: http_access deny !safeports 2015/01/28 08:49:13| Processing: http_access deny CONNECT !sslports 2015/01/28 08:49:13| Processing: request_body_max_size 0 KB 2015/01/28 08:49:13| Processing: delay_pools 1 2015/01/28 08:49:13| Processing: delay_class 1 2 2015/01/28 08:49:13| Processing: delay_parameters 1 -1/-1 -1/-1 2015/01/28 08:49:13| Processing: delay_initial_bucket_level 100 2015/01/28 08:49:13| Processing: delay_access 1 allow allsrc 2015/01/28 08:49:13| Processing: http_access allow localnet 2015/01/28 08:49:13| Processing: http_access deny allsrc 2015/01/28 08:49:13| Initializing https proxy context [2.2-RELEASE][admin@pfSense.localdomain]/root:
-
aparentemente nenhum erro de configuração.
Consegue testar a versão 64bits?
-
Boa tarde,
Gostaria de saber, baseado no que foi discutido nesse tópico, se consigo apenas registrar o log dos acessos https, sem a instalação de certificados nos clientes. Preciso implementar essa solução em um sistema de hotspot e ficaria inviável a instalação do certificado em cada usuári
Nesse caso não preciso filtrar nada, apenas registar.
Já uso proxy transparente com o captive portal registrando os acessos http normalmente.Obrigado
-
Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.
-
Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.
Valeu Marcelo!
-
farei a instalação com 64bits, mostrarei resultados aqui
obrigado. -
Na versao 2.1.5 precisa instalar as bibliotecas?
-
-
Você provavelmente esta instalando o certificado no lugar errado.
-
em proxy server/general/transparent proxy.tem uma nota como diz abaixo:
To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp.
estas opções WPAD/PAC onde encontro em DNS e DHCP?
obrigado
- 7 days later
-
Desculpas Marcelo, passei cego nas paginas 24 e 25 do forum, onde diz
#Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all
ssl_bump server-first all- por isso que não dava certo o acesso a gmail e facebook.
Quanto ao acesso a dispositivos moveis whats app e outros consegui bypassar no proxy criando aliases, porem no caso da rede google, alguns aplicativos não conecta na internet, ai ponho a rede google que esta bloqueando no bypass do proxy, e tudo que passa pelo google em computadores desktop, para de ser monitorado claro, será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall ???
obrigado.
-
será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall ???
Com o que tem na interface web do pacote atual não. O bypass vai funcionar para 80 e 443.
-
Boa noite pessoal, tudo bem?
Em primeiro lugar, parabéns ao Marcello pelo excelente trabalho.
Fiz a instalação do Squid3 e também do SquidGuard direto pelos packages (minha versão é a nova 2.2).
Habilitei o proxy server transparente e também o filtro SSL. Criei uma CA no pfSense e exportei o certificado para uma estação de testes.
Antes de instalar o certificado, como foi dito, todos os sites SSL apresentavam erro. Após a instalação do certificado na pasta de Autoridades Certificadoras Confiáveis, os sites passaram a ser acessados, sem o erro de certificado, com exceção de um…
Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).
Se eu acesso mail.google.com, aí sim ele acessa sem erros.
Tentei colocar na whitelist do Proxy Server os seguintes domínios:
*.gmail.com
*.gmail.com.br
.gmail.com
.gmail.com.br
gmail.com
gmail.com.brTambém tentei na CommonACL e no GroupACL do Proxy Filter
Todos sem sucesso, o site continua com erro de SSL. Não que isso seja um problema urgente, mas preciso saber como adicionar endereços de forma correta na whitelist para o caso de mais sites apresentarem esse comportamento.
Alguem já passou por algo parecido ou sabe a maneira correta de inserir domínios no Whitelist do Server ou do Filter?
Abraços e obrigado!
-
Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).
Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".
se acessar o gmail.com sem ssl ele não redireciona para o site certo?
-
Quando acessamos gmail.com ou gmail.com.br (com ou sem www), ele apresenta o erro. Quando clico no certificado, ele informa que o certificado é emitido para mail.google.com (e não para gmail.com).
Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".
se acessar o gmail.com sem ssl ele não redireciona para o site certo?
Tem uma solução ! alguns posts atrás tem dizendo !
tem um site do mail google (gmail) que entra sem passar pelo certificado!
só é colocar na blacklist o mail google padrão e mandar redirecionar para esse que não passa pelo certificado !
poem o gmail.com gmail.com.br na black e manda redirecionar para > mail.google.com
Ou Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br
-
Se o certificado é para mail.google.com, não sei como fazer o squid "forjar isso".
se acessar o gmail.com sem ssl ele não redireciona para o site certo?
É que as vezes, navegadores como o Chrome já entram direto no HTTPS. Mas isso nem é tão impeditivo. Vou informar os usuários a usar 'mail.google.com'.
@JuniorAndrade:
Tem uma solução ! alguns posts atrás tem dizendo !
tem um site do mail google (gmail) que entra sem passar pelo certificado!
só é colocar na blacklist o mail google padrão e mandar redirecionar para esse que não passa pelo certificado !
poem o gmail.com gmail.com.br na black e manda redirecionar para > mail.google.com
Ou Cria um Aliases Modo "Host" Passproxy e poem no ByPass Proxy "Squid" as URL : gmail.com gmail.com.br
Vou fazer esse teste.
Apenas para finalizar, qual o modo certo de colocar sites de banco na Whitelist? Pelo Server (na guia ACLs) ou pelo Filter (Criando um Target e selecionando Whitelist)?
Tentei pelo Server e mesmo com 'gmail.com' na whitelist, apresenta o erro.
Abraços
-
Acredito que o melhor é o bypass via alias de firewall.
- about a month later
-
Estou com problemas quanto ao acesso de dois sites…
Um deles é o Outlook.com onde após a digitação do usuário e senha, este fica com a tela branca e não mostra os emails, sem o firewall do pfsense acessa o site sem problemas...( obs.: não há nenhuma porta fechada e nenhuma regra de bloqueio)
E o outro é o site mega.co.nz que de um dia para o outro começou a dar erro de certificado e mesmo reinstalando o squid e squidguard o site não conecta, e isso somente ocorre com o gateway do pfsense.
Ficaria grato se pudessem me auxiliar a contornar essa situação.
![Captura de tela - 18-03-2015 - 15:24:52.png](/public/imported_attachments/1/Captura de tela - 18-03-2015 - 15:24:52.png)
![Captura de tela - 18-03-2015 - 15:24:52.png_thumb](/public/imported_attachments/1/Captura de tela - 18-03-2015 - 15:24:52.png_thumb) - about a month later
-
Bom dia Pessoal.
Primeiro gostaria de parabenizar pelo belo trabalho. Sou analista de segurança e trabalho mais com a linha da CheckPoint e Cisco, surgiu um cliente que não gostaria de investir em appliances por seu custo elevado, então em pesquisas feitas optei por utilizar o pfsense, estou gostando muito da ferramenta não perde em nada para as ferramentas pagas.
Bom como em todas ferramentas que já trabalhei sempre ocorrem problemas, então gostaria de passar meu cenário abaixo:
Estou com problema com a navegação https via IE que está com a ultima versão nos windows 7 e chrome também última versão, no firefox a navegação https ocorre normalmente(instalei o certificado criado nos navegadores), neste mesmo cenário os windows 2012 server identificam o certificado criado certinho e a navegação ocorre 100%.
Gostaria de saber se alguém já teve este problema se é um erro do S.O ou tenho que fazer mais alguma coisa no pfsense.
Estou com os seguintes pacotes instalados:
2.2.2-RELEASE (amd64)
built on Mon Apr 13 20:10:22 CDT 2015
FreeBSD 10.1-RELEASE-p9
squid3 - 3.4.10_2 pkg 0.2.8
squidGuard - 1.4_7 pkg v.1.9.14Desde já agradeço
-
Olá!
Quando colocamos um Domínio ex:"gmail.com" no campo Bypass proxy for these destination IPs do Squid, o site 'gmail.com' deveria ser acessado sem passar pelo proxy correto?
Se o site não passa pelo squid, então o Certificado não é utilizado.
Porém ao digitar 'www.gmail.com' no navegador o certificado que está sendo carregado continua sendo o meu.
Já limpei o cache, reiniciei o servidor e o problema persiste, é como se a opção Bypass proxy for these destination IPs não estivesse funcionando adequadamente.Enfim, acredito que a solução esteja unicamente em possibilitar a criação de uma lista de domínios que não irão utilizar o certificado.
O resto está perfeito.
Utilizei os seguintes comandos:
always_direct allow all
ssl_bump server-first allEstou utilizando:
Pfsense 2.2.2-RELEASE (i386)
squid3 3.4.10_2 pkg 0.2.8
squidGuard 1.4_7 pkg v.1.9.14