Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Opa. Eu recomendo as aulas. Além de aprender o passo a passo, você ainda contribui com o desenvolvedor e todo mundo sai ganhando. ;D
-
Bom dia!
Entendo, meu problema é que não existe AD nessa rede. Quanto aos cursos, não acho um problema relaciona-los aqui. Assim que sobrar um tempo (entenda-se $) vou assistir alguns.
Começo de ano não é fácil pra ninguém! :P
Captive Portal + FreeRadius + Squid 3.
Isso é interessante, nessa rede já roda um Capitive + radius filtrando por MAC. Vou verificar a integração com SQUID3.
No mais, feliz ano novo a todos!
Abraços!
-
Bom dia
Pessoal lendo o post verifiquei que uma situação onde um colega colocou que o hoje não necessita da instalação das bibliotecas no squid3-dev, pois já esta vindo com ela e no dele funcionou perfeitamento, alguém testou ai?
Já fiz de tudo e nada.
Sobre a instalação ou não utilização do certificado teria como?
Marcelo
-
Sobre a instalação ou não utilização do certificado teria como?
Para interceptação de ssl, você vai precisar do certificado (ca) instalado nas estações.
Sem isso, qualquer site vai dar erro de ssl.
-
olá pessoal, talvez aguem esteja passando a mesma situação que eu, instalei o Pfsense 2.2 do zero, adicionei o pacote squid 3.4.10_2 pkg 0.2.6, com o proxy transparente marcado em proxy server , saídas pela porta 80 sem navegador configurado proxy não conecta, fica syn_sent, só acessa 443 normal.
nesta instalação não adicionei as bibliotecas como mostra no primeiro post, é necessário? caso não seja isso o que pode ser?
também na versao pf 2.2 nao aparece mais o squid3-dev.
obrigado. -
O squid3-dev é o squid3 na 2.2.
Marcou a lan nas interfaces do Proxy transparente?
-
com certeza, LAN marcado.
-
Execute o squid -k parse como sugeri no outro tópico.
-
executei o squid -k parse,
[2.2-RELEASE][admin@pfSense.localdomain]/root: squid -k parse 2015/01/28 08:49:13| Startup: Initializing Authentication Schemes ... 2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'basic' 2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'digest' 2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'negotiate' 2015/01/28 08:49:13| Startup: Initialized Authentication Scheme 'ntlm' 2015/01/28 08:49:13| Startup: Initialized Authentication. 2015/01/28 08:49:13| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0) 2015/01/28 08:49:13| Processing: http_port 192.168.1.1:3128 2015/01/28 08:49:13| Processing: http_port 127.0.0.1:3128 intercept 2015/01/28 08:49:13| Starting Authentication on port 127.0.0.1:3128 2015/01/28 08:49:13| Disabling Authentication on port 127.0.0.1:3128 (interception enabled) 2015/01/28 08:49:13| Processing: icp_port 0 2015/01/28 08:49:13| Processing: dns_v4_first off 2015/01/28 08:49:13| Processing: pid_filename /var/run/squid/squid.pid 2015/01/28 08:49:13| Processing: cache_effective_user proxy 2015/01/28 08:49:13| Processing: cache_effective_group proxy 2015/01/28 08:49:13| Processing: error_default_language en 2015/01/28 08:49:13| Processing: icon_directory /usr/pbi/squid-i386/local/etc/squid/icons 2015/01/28 08:49:13| Processing: visible_hostname localhost 2015/01/28 08:49:13| Processing: cache_mgr admin@localhost 2015/01/28 08:49:13| Processing: access_log /dev/null 2015/01/28 08:49:13| Processing: cache_log /var/squid/logs/cache.log 2015/01/28 08:49:13| Processing: cache_store_log none 2015/01/28 08:49:13| Processing: netdb_filename /var/squid/logs/netdb.state 2015/01/28 08:49:13| Processing: pinger_enable on 2015/01/28 08:49:13| Processing: pinger_program /usr/pbi/squid-i386/local/libexec/squid/pinger 2015/01/28 08:49:13| Processing: logfile_rotate 0 2015/01/28 08:49:13| Processing: debug_options rotate=0 2015/01/28 08:49:13| Processing: shutdown_lifetime 3 seconds 2015/01/28 08:49:13| Processing: acl localnet src 192.168.1.0/24 2015/01/28 08:49:13| Processing: uri_whitespace strip 2015/01/28 08:49:13| Processing: acl dynamic urlpath_regex cgi-bin \? 2015/01/28 08:49:13| Processing: cache deny dynamic 2015/01/28 08:49:13| Processing: cache_mem 8 MB 2015/01/28 08:49:13| Processing: maximum_object_size_in_memory 32 KB 2015/01/28 08:49:13| Processing: memory_replacement_policy heap GDSF 2015/01/28 08:49:13| Processing: cache_replacement_policy heap LFUDA 2015/01/28 08:49:13| Processing: minimum_object_size 0 KB 2015/01/28 08:49:13| Processing: maximum_object_size 10 KB 2015/01/28 08:49:13| Processing: offline_mode off 2015/01/28 08:49:13| Processing: cache allow all 2015/01/28 08:49:13| Processing: acl allsrc src all 2015/01/28 08:49:13| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3127 1025-65535 2015/01/28 08:49:13| Processing: acl sslports port 443 563 2015/01/28 08:49:13| Processing: acl purge method PURGE 2015/01/28 08:49:13| Processing: acl connect method CONNECT 2015/01/28 08:49:13| Processing: acl HTTP proto HTTP 2015/01/28 08:49:13| Processing: acl HTTPS proto HTTPS 2015/01/28 08:49:13| Processing: http_access allow manager localhost 2015/01/28 08:49:13| Processing: http_access deny manager 2015/01/28 08:49:13| Processing: http_access allow purge localhost 2015/01/28 08:49:13| Processing: http_access deny purge 2015/01/28 08:49:13| Processing: http_access deny !safeports 2015/01/28 08:49:13| Processing: http_access deny CONNECT !sslports 2015/01/28 08:49:13| Processing: request_body_max_size 0 KB 2015/01/28 08:49:13| Processing: delay_pools 1 2015/01/28 08:49:13| Processing: delay_class 1 2 2015/01/28 08:49:13| Processing: delay_parameters 1 -1/-1 -1/-1 2015/01/28 08:49:13| Processing: delay_initial_bucket_level 100 2015/01/28 08:49:13| Processing: delay_access 1 allow allsrc 2015/01/28 08:49:13| Processing: http_access allow localnet 2015/01/28 08:49:13| Processing: http_access deny allsrc 2015/01/28 08:49:13| Initializing https proxy context [2.2-RELEASE][admin@pfSense.localdomain]/root:
-
aparentemente nenhum erro de configuração.
Consegue testar a versão 64bits?
-
Boa tarde,
Gostaria de saber, baseado no que foi discutido nesse tópico, se consigo apenas registrar o log dos acessos https, sem a instalação de certificados nos clientes. Preciso implementar essa solução em um sistema de hotspot e ficaria inviável a instalação do certificado em cada usuári
Nesse caso não preciso filtrar nada, apenas registar.
Já uso proxy transparente com o captive portal registrando os acessos http normalmente.Obrigado
-
Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.
-
Sem proxy ativo ou interceptação de ssl, você só vai conseguir registrar acesso de ip e porta no firewall.
Valeu Marcelo!
-
farei a instalação com 64bits, mostrarei resultados aqui
obrigado. -
Na versao 2.1.5 precisa instalar as bibliotecas?
-
não precisa adicionar as bibliotecas !
é Marcelo, meu computador não suporta 64 bits, porem instalei o 2.1.5 I386 e está funcionando normal o proxy transparente squid 3 - dev, na filtragem SSL também está normal, porem o Gmail e Facebook não aceita o certificado que criei, o que faço?
obrigado. :(
-
Você provavelmente esta instalando o certificado no lugar errado.
-
em proxy server/general/transparent proxy.tem uma nota como diz abaixo:
To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp.
estas opções WPAD/PAC onde encontro em DNS e DHCP?
obrigado
-
Desculpas Marcelo, passei cego nas paginas 24 e 25 do forum, onde diz
#Coloque estas acl no campo Custom ACLS (Before_Auth), no squid3 - Custom Settings
always_direct allow all
ssl_bump server-first all- por isso que não dava certo o acesso a gmail e facebook.
Quanto ao acesso a dispositivos moveis whats app e outros consegui bypassar no proxy criando aliases, porem no caso da rede google, alguns aplicativos não conecta na internet, ai ponho a rede google que esta bloqueando no bypass do proxy, e tudo que passa pelo google em computadores desktop, para de ser monitorado claro, será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall ???
obrigado.
-
será que é possivel bypassar somente pedidos para 443 no range dos dispositivos moveis ? tem outra forma de fazer isso usando o firewall ???
Com o que tem na interface web do pacote atual não. O bypass vai funcionar para 80 e 443.
