Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Boa tarde pessoal.
Estou com o PfSense 2.3.1 + Squid + SquidGuard autenticando no AD. Tudo funcionando. Agora estou querendo filtrar os acessos via SSL. Tentei fazer habilitando o "SSL Man In the Middle Filtering" seguindo os tutorias disponíveis porém não funcionou. Vi que funciona no proxy transparente.
Não tem como funcionar no proxy autenticado?
Grato desde já.
-
Galera,
Estou usando o squid e o squidguard ambos trabalhando juntos. E estou querendo bloqueia páginas HTTPS conforme minha black list no squidguard e na ACLS no squid. Já tentei fazer com certificado, só que eu tenho mais de 60 máquinas aqui e fiz a instalação do certificado pelo a GPO também, porém não foi muito sucesso assim. Estou interessado em usar o não transparente também e bloqueia as páginas https. Alguém poderia me ajudar?Muito obrigado pfsenses.
-
Desabilite o proxy automático tanto para 3128 e 3129.
No navegador informe a porta 3128, e somente ermita portas/serviços necessários.
Não tem segredo. -
Eu tenho 60 destk, terei que fazer isso máquina por máquina?
-
Sim. Pode automatizar o processo via AD/GPO ou WPAD.
-
Existe algum passo a passo para fazermos via GPO?
-
Existe algum passo a passo para fazermos via GPO?
Para marcar o proxy no ie/chrome, com certeza…
Para o firefox, precisa de um script para configurar. Não tenho ele por aqui agora.
-
Danilosv.03,
Dê uma olhada nesse link que vai lhe ajudar configurar o Firefox via GPO.
http://social.technet.microsoft.com/wiki/pt-br/contents/articles/10385.aspx?goback=.gde_2795949_member_277878575
-
Boa noite! estou tentando fazer o procedimento porem estou a usar pfSense-CE-2.3.2-RELEASE-i386 e la tem o squid 3.5 posso usar a mesma bibliotecas? consigo usar método transparent com autenticação?
-
Na versão atual só instalar o Squid e habilitar a interceptação, o pacote já está pronto.
-
amigo me da uma mão ja fiz tudo isso. ja instalei com as bibliotecas testei sem as mesma. ja coloquei Custom ACLS (Before_Auth)"
always_direct allow all
ssl_bump server-first all
so que se colocar na blacklist ele bloqueia o site porem se nao estiver la da erro de certificado. ja fiz diversos certificado mudei a hora do servidor para UTC ja mexi em tudo porem empaquei da sempre o mesmo erro "ERR_CERT_AUTHORITY_INVALID". estou quase para desiti, ja fiz isso
https://forum.pfsense.org/index.php?topic=113307.0
se puder me da uma luz
configurei igual a este video tambem
https://www.youtube.com/watch?v=neXcYtFDRLA
e tambem ja fiz assim
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSensese tiver algum link de explicações que funcione agradeço…
Att Joao Paulo
-
Fico te devendo, não trabalho com proxy transparente, só com proxy ativo.
-
Amigo joaopaulobiesek,
Eu tenho esse mesmo problema que esse seu. Eu também uso o proxy transparente com certificação, porém quando eu habilito o SSL ele bloqueia uma porrada de coisa fora os erros de HTTPS que aparece em algumas máquinas. O engraçado é que quando a gente faz essa aplicação em uma cenário virtual, o SSL com proxy transparente funciona perfeitamente, agora quando tu parte pra produção ele gera esse erro de certificado, mesmo tu instalando todos os certificados manual ou via GPO.Solução:
O que eu fiz, amarrei os bloqueios com Aliases + Rules. Instalei Squid e SquiGuard (proxy transparente), porém não uso o SSL. A única coisa que acontece é que ele não aparece a página personalizada, a página simplesmente da erro e também não bloqueia algumas redes sociais. Coisa que você pode resolver criando as regras. -
If you change pFSense / Services / Squid Proxy Server / GEneral tab Then check the SSL Man In The Middle Filtering area and change the SSL/MITM Mode from Splice WhiteList, Bumb OtherWise to the Splice ALL
the problem can be solve with a this shape.
OR
With a default value of the SSL/MITM Mode with Splice WhiteList, Bumb OtherWise you can goto ACLs atb and add desıred web site url to the WhiteList area ie: online.kktcmaliye.com