Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Marcelloc ainda precisar preencher before auth ??
De configuração de patch, nada. Para alguns métodos de autenticação e acls personalizadas sim.
-
marcelooc vc poderia fazer algumas explicaçoes para ssl baseada nas versoes 2.2.2
os procedimentos que mudaram por favor
-
marcelooc vc poderia fazer algumas explicaçoes para ssl baseada nas versoes 2.2.2
Simples:
-
Instale o pacote
-
Crie o certificado CA
-
Habilite o serviço
-
Instale o certificado nas estações / navegadores
-
Use
-
-
Olá Marcelo, boa tarde.
Fiz exatamente esse procedimento mas não rolou, o pacote é o squid3?
Fica com Deus.
Att., -
-
Basta criar alias para o endereço do google.com.br e gmail.com e colocar no bypass que para de dar erro de certificado no google chrome.
-
Ola estou usando pfSense 2.2.4 com squid3 e filtro ssl, estou tendo problemas com o skype, demora no envio e recebimeno de mensagens, principalmente em conversa em grupo.. alguem com o mesmo problema?
-
Bom dia pessoal,
Estou com uma dificuldade ma configuração, a aba de configuração do squid não salva as marcações. Alguém sabe oque é?
-
Boa tarde a todos.
Estou com a versão pfsense 2.2.4, squid 0.3.8, squidguard 1.9.15, proxy transparente, certificado gerado e instalados nas máquinas dos usuários, tudo ok, menos:
Google Drive, DropBox e Windows Update, os quais não funcionam nas máquinas dos usuários.
Depois de tanto pesquisar, nestes quase 2 meses (inclusive verifiquei aqui no forum que tem outros camaradas enfrentando o mesmo problema), cheguei a conclusão de que o problema não está nas regras do firewall e nem no squidguard, mas no Squid. Quando o desativei hoje, os programas acima funcionaram normalmente.
Por gentileza, alguém conseguiu encontrar uma solução para este problema?
Desde já agradeço!
Rangel
-
O que sei tem sido feito é colocar esses domínios para não passar pelo proxy, o que ao meu ver é um problema.
Prefiro usar proxy ativo.
-
Boa tarde a todos.
Estou com a versão pfsense 2.2.4, squid 0.3.8, squidguard 1.9.15, proxy transparente, certificado gerado e instalados nas máquinas dos usuários, tudo ok, menos:
Google Drive, DropBox e Windows Update, os quais não funcionam nas máquinas dos usuários.
Depois de tanto pesquisar, nestes quase 2 meses (inclusive verifiquei aqui no forum que tem outros camaradas enfrentando o mesmo problema), cheguei a conclusão de que o problema não está nas regras do firewall e nem no squidguard, mas no Squid. Quando o desativei hoje, os programas acima funcionaram normalmente.
Por gentileza, alguém conseguiu encontrar uma solução para este problema?
Desde já agradeço!
Rangel
Google Drive, DropBox e ambos tem configuração de proxy, é só ir nos softwares e informar os dados de seu firewall
Windows Update é só colocar as url na whitelistdownload.windowsupdate.com
Update.Microsoft.com
windowsupdate.com
download.Microsoft.com
windowsupdate.Microsoft.com
NtServicePack.Microsoft.com
wustat.Windows.comatt.
-
Galera boa tarde, já li este tópico de ponta a ponta mas não consigo fazer o squid funcionar de forma transparente, ao habilitar a função ele para de navegar. Estou confuso de tanta informação que li durante essa semana de busca pra este problema.
O que preciso é que de maneira totalmente transparente pro usuário verificar as urls navegadas (http / https), a rede é aberta e não tenho controle sobre os dispositivos dos clientes.
Tentei inclusive utilizar wpad / pac mas não funcionou direito (Celulares com android não recebem a conexão).Imagino que o proxy transparente seja a melhor opção. Se alguém puder dar um pequeno passo a passo de como proceder.
Estou utilizando:
PFSense 2.2.4-RELEASE (amd64)
squid3 package 0.4.1.1Preciso adicionar alguma regra de redirecionamento no firewall (NAT) ?
Obrigado.
-
venho aqui deixar meu muito obrigado ao marcelloc, e ao jão rocha neto pela video aula, e todos os colaboradores é claro…. sem voces não teria conseguido..
segue esta video aula, é exatamente sobre este topico.... depois de umas 3 semanas quebrando a cabeça deu certo...
https://www.youtube.com/watch?v=neXcYtFDRLA
não consegui usar elias para deixar determinado ip liberado, mas, se adicionar o ip individualmente libera ele tranquilamente no bypass proxy source..... maquinas que acessam banco programas da caixa e outras conexões seguras, eu estou deixando liberado(no bypass proxy)
unica coisa diferente da video aula e das instruções do forum que fiz foi:
na configuração do https/ssl intercept - na opção remote cert cheks, marque as duas opções ("accept remote server certificate erros" e "do not verify remote certificate")...... no de baixo, CERTIFICATE ADAPT: NÂO MARQUE NADA. NENHUM!
se eu entendi corretamente, a primeira opção é sobre aceitar certificados externos (bancos, receita, caixa, notafiscal,etc.), por tanto deixei habilitado aceitar certificado com erro e nao verificar certificados remotos (neste ponto acho que certificado remoto é o certificado do servidor da caixa por exemplo.) a segunda opção entendi como sendo um gerenciador local de certificados... o que para qualquer conexão segura, teria o mesmo comportamento de uma violação de segurança, acredito que se habilitar qualquer uma das tres opções no campo de certificate adapt,, voce estara habilitando a interceptação do certificado (da caixa, do gmail, dos bancos) o certificado precisa de uma conexão direta à estação, acredito que essa configuração gerou muitos dos erros que vi acima, aqui pra mim, foi desabilitar essas opções que corrigiu o erro ao acessar gmail.mesmo quando fizer alteração no proxy server, vá no proxy filter e clique em apply..... sempre faça a limpeza do cache do navegador perdi muito tempo por não faze-lo. fiz tudo certo e nao funcionou, agora, tranquilo, com tudo funcionando, acredito que muitos dos meus testes nao funcionaram por nao limpar cache do navegador.
primeira vez que instalo o pfsense, foi uma experiencia muito boa, ja to planejando a proxima implementação.
obrigado a todos!
PROJETOS FUTUROS ( colocar multi wan, criar dois escopos no dhcp, 192.168.10.3-192.168.10.99 (dhcp) e 192.168.10.100-192.168.10.252(dhcp, não aceitar maquina que nao tenha sido cadastrada pelo mac) e por fim, negar o trafego de um escopo para o outro.... 10.3-10.99 não conversar com escopo 10.100-10.252 ..... é possivel? ou to querendo demais? a ideia é na mesma estrutura fisica, aceitar conexoes (10.3-10.99) sem acesso as maq da empresa e o servidor, e quando criar a reserva de ip pelo mac, ela passe a fazer parte do escopo interno(10.100-10.252) e ae sim acessar servidor e as demais maquinas do meu parque.
sobre o finalzinho ae, se tiverem uma horientação vou atraz do resto. obrigado -
Bom dia pessoal,
Estou com uma dificuldade ma configuração, a aba de configuração do squid não salva as marcações. Alguém sabe oque é?
tenta tirar espaços acentos, ou algum valor invalido para o campo, passei por isso, não lembro onde mas enquanto nao tirei o espaco do nome nao salvou… tava fazendo "ip diretoria" e nao salvava coloquei "ipDIRETORIA" ele salvou
-
Olá Pessoal…
Depois de muitos testes e tentativas, até que consegui fazer funcionar o bloqueio de HTTPS via certificado. Porém, necessito desse bloqueio funcionando também em celulares, e esse foi o motivo que tive para desistir dessa interceptação.
Minha última e talvez única alternativa, será a dica do Roney que pode ser vista no post https://forum.pfsense.org/index.php?topic=63412.0
Alguém já testou ela na versão 2.2.4 ?
-
Forever up!
-
Alguém conseguiu fazer bloqueios https no celulares? com certificado?
-
Olá Alan..
Então, eu até consegui, depois de muita insistência com o Android deu certo, porém, não é viável, pois sempre vai aparecer notificações para o usuário do celular.
Ex: Seu celular pode conter vírus, Seus dados podem estar comprometidos, Sua navegação está sendo monitorada e muitos outros.
E pra piorar, aparece a opção de corrigir esse problema, basta tocar nela, e Puf, certificado excluído.
:(
-
Boa tarde, eu preciso de ajuda
Para baixar as bibliotecas pelo Shell, atraves de um tutorial cheguei até esse blog, mais não sei como se faz para
dar o comando pelo shell para baixar essa biblioteca.
Será que alguém poderia me fazer uma explicação de como se faz.
Sou iniciante.Grato
-
Olha, no Squid3 não precisa fazer mais isso, só instalar e configurar via interface.
