Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
quais os problemas da versão 2.1..
Melhor olhar no redmine, não sei o que falta funcionar para deixar de ser beta.
o squid3-dev para versão 2.0.3 só funciona ativando o IPv6 ?
A versão do repositório oficial sim, no meu repositório tem uma versão do squid sem ipv6.
-
A versão 3.3.4_1 do meu repositório está funcionando corretamente no 2.0.x
Achei um patch agora a noite e funcionou 100% ;D
vou fazer mais uns testes e partir para resolver a integração com antivírus.
1368761856.278 210 192.168.0.3 TCP_MISS/200 978 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json 1368761856.699 442 192.168.0.3 TCP_MISS/200 19903 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso n 1368761856.714 521 192.168.0.3 TCP_MISS/200 905 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json 1368761857.121 203 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html 1368761857.136 219 192.168.0.3 TCP_MISS/200 680 GET https://www.google.com.br/xjs/_/js/k=-im9hrMhEvY.en_US./m=wta/am=wA/r t=j/d=0/sv=1/rs=AItRSTMxcUTKX7_k7F3jagv1ABf8swPrOg - PINNED/189.86.41.119 text/javascript 1368761858.327 632 192.168.0.3 TCP_MISS/200 915 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json 1368761859.649 1548 192.168.0.3 TCP_MISS/200 14473 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso n 1368761859.661 228 192.168.0.3 TCP_MISS/200 850 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json 1368761860.026 220 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html 1368761860.970 397 192.168.0.3 TCP_MISS/200 851 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json 1368761861.121 388 192.168.0.3 TCP_MISS/200 856 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json 1368761861.223 311 192.168.0.3 TCP_MISS/200 855 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json 1368761861.410 397 192.168.0.3 TCP_MISS/200 860 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json 1368761862.720 1537 192.168.0.3 TCP_MISS/200 18542 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso n 1368761863.104 222 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html 1368761865.464 232 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html 1368761866.209 507 192.168.0.3 TCP_MISS/200 982 POST http://ui.ff.avast.com/urlinfo - HIER_DIRECT/77.234.43.81 applicatio n/octet-stream 1368761866.684 479 192.168.0.3 TCP_MISS/200 982 POST http://ui.ff.avast.com/urlinfo - HIER_DIRECT/77.234.43.81 applicatio
-
Já estou trabalhando no código da integração com o antivírus via i-cap.
-
Atualizei no meu repositório o squid para a versão 3.3.5.
Já submeti a alteração para o ports do freebsd, assim que for comitado por lá, solicito nova compilação no repositório oficial.
O filtro de ssl se mostrou bem estável até agora.
-
Até que o ports do freebsd seja atualizado, subi para o meu repositório o pbi do squid 3.3.5
Desta forma quem quiser testar o pacote na 2.1-rc0 já consegue usar o filtro de ssl sem maiores problemas
pfsnse 2.1 amd64
pbi_delete squid-3.3.4-amd64
fetch http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5-amd64.pbi
fetch http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5-amd64.pbi.sha256
pbi_add –no-checksig squid-3.3.5-amd64.pbi
rehashpfsnse 2.1 i386
pbi_delete squid-3.3.4-i386
fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi
fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi.sha256
pbi_add –no-checksig squid-3.3.5-i386.pbi
rehash -
tem algo de errado nos link.. erro no i386.
-
-
Olá Marcelloc
estou fazendo a atualização aqui para o squid-3.3.5 que está no seu repositório e estou recebendo essa mensagem
2013/05/27 20:28:42| Warning: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl"
pode me ajudar? utilizo o pfsense amd64 2.03
abraços,
Diego
-
É só um warning mostrando que na sua configuração de limitação de banda está marcada mas sem nenhuma informação no campo.
Isso não impede o funcionamento do squid.
-
Olá Marcelloc,
Desculpe por realizar 2 posts simultâneos, mas queria postar um feedback da instalação que fiz do squid-3.3.5 com squidguard.
Primeiramente gostaria de agradecer o seu trabalho pq está muito bem feito. O Squid-3.3.5 está rodando perfeitamente com squidguard iniciando sobdemanda. Acabei de realizar diversos testes e ele está bloqueando, rodando etc etc etc..
Para ajudar quem precisa vou relatar o que fiz para instalar…
1 - removi o squid o squid 3 e o squidguard, que tinha instalado pela aba system/packages do pfsense.
2 - instalei o squid3-dev, que está em packages disponíveis do pfsense.
3 - copiei as bibliotecas não inclusas para a pasta usr/local/lib conforme solicitado no seu 1º post (Utilizei o WinSCP).
4 - instalei o squidguard.
5 - pelo putty acessei o console e fui na opção 8.
6 - instalei o squid-3.3.5 a partir do seu repositório pelo console com o comando pkg_add -rf http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5.tbz .
7 - configurei o squid3 e habilitei a opção do SSL.
8 - como já tinha o squid3 instalado as configurações foram mantidas.. e o squid funcionou perfeitamente.para criar um certificado..
1 - acessei system/cert manager.
2 - em Cas cliquei no + para adicionar um novo certificado.
3 -preenchi os dados conforme solicitado.
4 - nas opções key lenght e lifetime mantive o default.
5 - country code coloquei br.
6 - depois que cliquei em salvar fui na segunda opção e exportei o certificado.para instalar nas maquinas cliquei no certificado, escolhi o repositório manualmente e adicionei o certificado em Autoridade de certificação raiz confiáveis.
O Único problema que identifiquei foi em relação a sgerror.php do squidguard, junto com o certificado SSL. (não sei se isso se dá ao fato do local onde instalei o certificado, mas se eu instalar ele em outro local não funciona).
Instalei o certificado em 2 maquinas para testes. Se eu executar algum site que está na lista de bloqueio em uma usuário com total acesso o site é acessado normalmente sem erro de certificado, mas seu eu acessar o site a partir de um usuário bloqueado, ele exibe as 2 imagens em anexo ( se eu não instalar o certificado na maquina, as paginas em https apresentam erro, em qualquer usuário..)
será que fiz algo de errado? pq ele deu erro de certificado e quando cliquei em continuar nesse site não exibiu a sgerror.php
abraços
diego
![erro 1.jpg](/public/imported_attachments/1/erro 1.jpg)
![erro 1.jpg_thumb](/public/imported_attachments/1/erro 1.jpg_thumb)
-
Veja as informações do certificado se aparecem o site e a ca que você instalou.
Só para confirmar, você instalou o crt do certificado, não a chave primária certo?
Das opções do filtro de ssl qual você marcou?
-
Veja as informações do certificado se aparecem o site e a ca que você instalou.
Só para confirmar, você instalou o crt do certificado, não a chave primária certo?
Das opções do filtro de ssl qual você marcou?
sim instalei o crt do certificado coloquei na pasta Autoridade de certificação raiz confiáveis.
em relação ao certificado e as opções do SSL.. estão nos prints em anexo.
Realizei 2 testes de certificado. Em um usuário que tem tudo liberado ( funcionou perfeitamente) e em um usuário que tem o facebook bloqueado.. (gerou o erro) parece q não consegue carregar a sgerror.php, pq aparentemente o certificado está ok.. olha como aparece o endereço no certificado
obrigado
abraços,
diego
![ssl squid.jpg_thumb](/public/imported_attachments/1/ssl squid.jpg_thumb)
![ssl squid.jpg](/public/imported_attachments/1/ssl squid.jpg) -
O ssl foi interceptado nas duas situações, parece ser um problema especificamente com o squidguard.
Passe sua interface gráfica para http e veja se o erro do squidguard aparece corretamente. existem vários posts aqui no fórum com esse mesmo problema com a página de erro do squidguard.
-
Olá Marcelloc,
Meu Webgui já está configurado para http, justamente por esta incompatibilidade com o squidguard.
mais alguma dica?
Abraços,
Diego
-
Opa, fiz a instalação tudo certinho, o squid está interceptando o ssl, mas continuo recebendo erro de certificado no log recebo este erro:
2013/05/28 22:17:03 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 93: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (1/-1)
-
primeiro parabens a todos no empenho,
Estou testando o squid 3.3.5i386 e o filtro https\ssl funciona no IE 8 com o bug de não mostrar a pagina de ERRO quando o acesso e configurado no squidguard no deny, como citou o amigo ai em cima, porem não e sobre isso que venho falar e sim sobre o firefox 20.0 que qualquer configuração com o certificado apresenta mensagem de erro.Seque a mensagem de erro no firefox.
-
sobre o firefox 20.0 que qualquer configuração com o certificado apresenta mensagem de erro.Seque a mensagem de erro no firefox.
Você já instalou o certificado (CA) no browser?
Você precisa fazer com o que o teu browser "confie" no teu pfSense. Esta questão, se não me engano, foi tratada aqui mesmo neste tópico!
Abraços!
Jack -
Opa, fiz a instalação tudo certinho, o squid está interceptando o ssl, mas continuo recebendo erro de certificado no log recebo este erro:
2013/05/28 22:17:03 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 93: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (1/-1)
Já testou outros sites?
Como está a configuração do filtro de ssl no seu squid?
Criou e configurou a CA?
Instalou o certificado no cliente?
Já leu este tópico? -
Opa, fiz a instalação tudo certinho, o squid está interceptando o ssl, mas continuo recebendo erro de certificado no log recebo este erro:
2013/05/28 22:17:03 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 93: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (1/-1)
Já testou outros sites?
Como está a configuração do filtro de ssl no seu squid?
Criou e configurou a CA?
Instalou o certificado no cliente?
Já leu este tópico?Opa Marcelo, acredito que tenha gerado o certificado errado…gerei novamente e tudo funcionou perfeitamente, parabens pela iniciativa!
So mais uma duvida, estou seguindo to tutorial para configuracao de multiwan no squid, na versao anterior funcionava bem, sera tem alguma mudanca no squid 3 que inviabiliza esse funcionamento?
Estou seguindo estes passos:
http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf
a unica diferenca eh que nao consigo setar a interface para o proxy para a LAN e loopback, se seleciono as duas o squid nao funciona (da erro de URL Invalida), selecionei tanto no proxy transparent tanto na listen interface.
Sera que teria a ver com o squid?
-
a unica diferenca eh que nao consigo setar a interface para o proxy para a LAN e loopback, se seleciono as duas o squid nao funciona (da erro de URL Invalida), selecionei tanto no proxy transparent tanto na listen interface.
Não escolha loopback se estiver usando proxy transparente. A configuração de loopback é feita automaticamente pelo pacote.