Sites fora do SSL do Squid



  • Estou com o pfSense 2.1 + squid3-dev + squidguard-squid3 autenticando no AD.
    Fiz uma CA no pfsense e um certificado para o servidor. Tem funcionado satisfatoriamente (Sem a opção Sets CN Property no Certificate adapt).
    Entretanto, alguns sites como a caixa dão muito erro de certificado e nem acessa algumas áreas!
    Tem alguma forma de fazer alguns sites não passarem pelo SSL?



  • Teoricamente só precisa cadastrar o site na whitelist do squid.

    parte do squid.inc que trata isso…

    
    // SSL interception acl options part 1
    	if ($settingsconfig['ssl_proxy'] == "on" && ! empty($settingsnac['whitelist'])){
    		$conf .= "always_direct allow whitelist\n";
    		$conf .= "ssl_bump none whitelist\n";
    
    


  • Hi,

    I'm new on the forum and PFSense. I'm loving PFSense, and all capabilities.

    I have some situations that I liked to adjust.

    My version is PFsense 2.1 + Squid3-dev(3.3.10) + squidguard-squid3(1.4_4). I use SSL as transparent proxy.

    I have the certificate on trusted root, some sites work fine, but some not.
    One example is Join.me app, I added the domain on the whitelist, but the app cannot connect. If I turn off the SSL on Proxy it works.

    Other situation is if it is possible using computer name on ACL lists of proxy filter?
    For some computers I want allow all sites, but I don't want create reservations of IPs on DHCP server. The computer name is always the same, so should be possible to do this.

    Thanks.



  • Boa tarde,

    escrevi em Inglês, peço desculpa.
    Sou novo no fórum e pfSense, estou adorar todas as capacidades da ferramenta.

    Tenho algumas situações que eu gostava de ajustar.

    Minha versão é pfSense 2.1 + squid3-dev (3.3.10) + squidguard-squid3 (1.4_4) e uso o SSL como proxy transparente.

    Eu tenho o certificado confiável na raiz, alguns sites funcionam bem, mas alguns não.
    Um exemplo é a aplicação do Join.me, adicionei o domínio na "Whitelist" do squid, mas o aplicativo não consegue se conectar.
    Se eu desligar o SSL no Proxy funciona.

    Outra situação é se é possível utilizar o nome do computador nas listas ACL?

    Para alguns computadores eu quero permitir todos os sites, mas não quero criar reservas de IPs no servidor DHCP. O nome do computador é sempre o mesmo, devia ser possível fazer isto?!

    Obrigado.

    Cumprimentos



  • Se o nome da estação existir no ad, você pode colocar o nome na acl, tenho quase certeza que funciona.

    Com relação aos sites, você pode criar um alias no pfsense com os sites que dão problema com a interceptação e colocar nas configurações do squid para não fazer proxy transparente destes sites.

    Se estiver usando proxy não transparente, coloque o site na lista de sites que não passam pelo proxy. Esta configuração pode ser feita manualmente, via gpo ou WPAD.



  • Boa tarde,

    obrigado "marcelloc"!

    Já tinha feito essa configuração, criei o Aliases na Firewall e adicionei o endereço do site. Ficou a funcionar! :)

    Vou testar a situação do nome do posto na ACL.

    Continuação do um excelente trabalho!

    Cumprimentos



  • Continua a não funcionar.

    Já coloquei apenas o nome do posto "ex. POSTO123" e adicionei o FQDN completo "ex.POSTO123.dominio.xx".

    Se usar o Diagnostics -> Ping, para o nome é suposto responder? Se usar o nome não funciona, o IP funciona.

    Em System -> General Setup, tenho os IPs corretos dos servidores de domínio.

    Obrigado



  • Boa tarde mais uma vez,

    já encontrei o problema.

    Tive de selecionar o Interface - LAN em "Services -> DNS forwarder".
    Neste momento já faz ping para o nome do posto.



  • Fiz uma alteração,

    retirei a seleção da LAN nos Interfaces.
    Adicionei o IP do DNS server do domínio em "Domain Overrides".

    Testei desta forma porque ao selecionar LAN nos Interfaces, a abertura das páginas ficou bastante lento.

    Com isto tudo, continuo a não conseguir validar o posto pelo nome na ACL.  :(  Só funciona pelo IP!



  • Boa tarde Marcelloc,

    alguma dica/ajuda para o Squid Filter funcionar com o nome do posto nas ACLs?

    Obrigado.

    Cumprimentos