Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

isaiasbertin · May 2, 2016, 3:18 PM

Principais alterações
Atualização do squid para a última versão estável (3.3.5)
ativação do proxy por interface
ativação do proxy transparente por interface

Pesei que poderia fazer isso sem muitos aranjos somente com as próprias função pelo mencionado no início do tópico
Então somente em custom mesmo

Se for isso vou fazer um tópico solicitando seu auxílio

sandrosls · Jun 23, 2016, 6:21 PM

Boa tarde pessoal.

Estou com o PfSense 2.3.1 + Squid + SquidGuard autenticando no AD. Tudo funcionando. Agora estou querendo filtrar os acessos via SSL. Tentei fazer habilitando o "SSL Man In the Middle Filtering" seguindo os tutorias disponíveis porém não funcionou. Vi que funciona no proxy transparente.

Não tem como funcionar no proxy autenticado?

Grato desde já.

danilosv.03 · Sep 5, 2016, 4:54 PM

Galera,
Estou usando o squid e o squidguard ambos trabalhando juntos. E estou querendo bloqueia páginas HTTPS conforme minha black list no squidguard e na ACLS no squid. Já tentei fazer com certificado, só que eu tenho mais de 60 máquinas aqui e fiz a instalação do certificado pelo a GPO também, porém não foi muito sucesso assim. Estou interessado em usar o não transparente também e bloqueia as páginas https. Alguém poderia me ajudar?

Muito obrigado pfsenses.

tomaswaldow · Sep 5, 2016, 5:35 PM

Desabilite o proxy automático tanto para 3128 e 3129.
No navegador informe a porta 3128, e somente ermita portas/serviços necessários.
Não tem segredo.

danilosv.03 · Sep 5, 2016, 7:39 PM

Eu tenho 60 destk, terei que fazer isso máquina por máquina?

tomaswaldow · Sep 5, 2016, 8:12 PM

Sim. Pode automatizar o processo via AD/GPO ou WPAD.

danilosv.03 · Sep 5, 2016, 8:22 PM

Existe algum passo a passo para fazermos via GPO?

marcelloc · Sep 6, 2016, 3:59 PM

@danilosv.03:

Existe algum passo a passo para fazermos via GPO?

Para marcar o proxy no ie/chrome, com certeza…

Para o firefox, precisa de um script para configurar. Não tenho ele por aqui agora.

machadomall · Sep 6, 2016, 4:57 PM

Danilosv.03,

Dê uma olhada nesse link que vai lhe ajudar configurar o Firefox via GPO.

http://social.technet.microsoft.com/wiki/pt-br/contents/articles/10385.aspx?goback=.gde_2795949_member_277878575

joaopaulobiesek · Oct 2, 2016, 1:07 AM

Boa noite! estou tentando fazer o procedimento porem estou a usar pfSense-CE-2.3.2-RELEASE-i386 e la tem o squid 3.5 posso usar a mesma bibliotecas? consigo usar método transparent com autenticação?

tomaswaldow · Oct 2, 2016, 10:18 AM

Na versão atual só instalar o Squid e habilitar a interceptação, o pacote já está pronto.

joaopaulobiesek · Oct 2, 2016, 5:08 PM

amigo me da uma mão ja fiz tudo isso. ja instalei com as bibliotecas testei sem as mesma. ja coloquei Custom ACLS (Before_Auth)"
always_direct allow all
ssl_bump server-first all
so que se colocar na blacklist ele bloqueia o site porem se nao estiver la da erro de certificado. ja fiz diversos certificado mudei a hora do servidor para UTC ja mexi em tudo porem empaquei da sempre o mesmo erro "ERR_CERT_AUTHORITY_INVALID". estou quase para desiti, ja fiz isso
https://forum.pfsense.org/index.php?topic=113307.0
se puder me da uma luz
configurei igual a este video tambem
https://www.youtube.com/watch?v=neXcYtFDRLA
e tambem ja fiz assim
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense

se tiver algum link de explicações que funcione agradeço…

Att Joao Paulo

tomaswaldow · Oct 3, 2016, 9:58 AM

Fico te devendo, não trabalho com proxy transparente, só com proxy ativo.

danilosv.03 · Oct 3, 2016, 12:24 PM

Amigo joaopaulobiesek,
Eu tenho esse mesmo problema que esse seu. Eu também uso o proxy transparente com certificação, porém quando eu habilito o SSL ele bloqueia uma porrada de coisa fora os erros de HTTPS que aparece em algumas máquinas. O engraçado é que quando a gente faz essa aplicação em uma cenário virtual, o SSL com proxy transparente funciona perfeitamente, agora quando tu parte pra produção ele gera esse erro de certificado, mesmo tu instalando todos os certificados manual ou via GPO.

Solução:
O que eu fiz, amarrei os bloqueios com Aliases + Rules. Instalei Squid e SquiGuard (proxy transparente), porém não uso o SSL. A única coisa que acontece é que ele não aparece a página personalizada, a página simplesmente da erro e também não bloqueia algumas redes sociais. Coisa que você pode resolver criando as regras.

kazimates · Jul 9, 2017, 7:14 PM

If you change pFSense / Services / Squid Proxy Server / GEneral tab Then check the SSL Man In The Middle Filtering area and change the SSL/MITM Mode from Splice WhiteList, Bumb OtherWise to the Splice ALL

the problem can be solve with a this shape.

OR

With a default value of the SSL/MITM Mode with Splice WhiteList, Bumb OtherWise you can goto ACLs atb and add desıred web site url to the WhiteList area ie: online.kktcmaliye.com