Sites fora do SSL do Squid
-
Estou com o pfSense 2.1 + squid3-dev + squidguard-squid3 autenticando no AD.
Fiz uma CA no pfsense e um certificado para o servidor. Tem funcionado satisfatoriamente(Sem a opção Sets CN Property no Certificate adapt).
Entretanto, alguns sitescomo a caixadão muito erro de certificado e nem acessa algumas áreas!
Tem alguma forma de fazer alguns sites não passarem pelo SSL? -
Teoricamente só precisa cadastrar o site na whitelist do squid.
parte do squid.inc que trata isso…
// SSL interception acl options part 1 if ($settingsconfig['ssl_proxy'] == "on" && ! empty($settingsnac['whitelist'])){ $conf .= "always_direct allow whitelist\n"; $conf .= "ssl_bump none whitelist\n"; -
Hi,
I'm new on the forum and PFSense. I'm loving PFSense, and all capabilities.
I have some situations that I liked to adjust.
My version is PFsense 2.1 + Squid3-dev(3.3.10) + squidguard-squid3(1.4_4). I use SSL as transparent proxy.
I have the certificate on trusted root, some sites work fine, but some not.
One example is Join.me app, I added the domain on the whitelist, but the app cannot connect. If I turn off the SSL on Proxy it works.Other situation is if it is possible using computer name on ACL lists of proxy filter?
For some computers I want allow all sites, but I don't want create reservations of IPs on DHCP server. The computer name is always the same, so should be possible to do this.Thanks.
-
Boa tarde,
escrevi em Inglês, peço desculpa.
Sou novo no fórum e pfSense, estou adorar todas as capacidades da ferramenta.Tenho algumas situações que eu gostava de ajustar.
Minha versão é pfSense 2.1 + squid3-dev (3.3.10) + squidguard-squid3 (1.4_4) e uso o SSL como proxy transparente.
Eu tenho o certificado confiável na raiz, alguns sites funcionam bem, mas alguns não.
Um exemplo é a aplicação do Join.me, adicionei o domínio na "Whitelist" do squid, mas o aplicativo não consegue se conectar.
Se eu desligar o SSL no Proxy funciona.Outra situação é se é possível utilizar o nome do computador nas listas ACL?
Para alguns computadores eu quero permitir todos os sites, mas não quero criar reservas de IPs no servidor DHCP. O nome do computador é sempre o mesmo, devia ser possível fazer isto?!
Obrigado.
Cumprimentos
-
Se o nome da estação existir no ad, você pode colocar o nome na acl, tenho quase certeza que funciona.
Com relação aos sites, você pode criar um alias no pfsense com os sites que dão problema com a interceptação e colocar nas configurações do squid para não fazer proxy transparente destes sites.
Se estiver usando proxy não transparente, coloque o site na lista de sites que não passam pelo proxy. Esta configuração pode ser feita manualmente, via gpo ou WPAD.
-
Boa tarde,
obrigado "marcelloc"!
Já tinha feito essa configuração, criei o Aliases na Firewall e adicionei o endereço do site. Ficou a funcionar! :)
Vou testar a situação do nome do posto na ACL.
Continuação do um excelente trabalho!
Cumprimentos
-
Continua a não funcionar.
Já coloquei apenas o nome do posto "ex. POSTO123" e adicionei o FQDN completo "ex.POSTO123.dominio.xx".
Se usar o Diagnostics -> Ping, para o nome é suposto responder? Se usar o nome não funciona, o IP funciona.
Em System -> General Setup, tenho os IPs corretos dos servidores de domínio.
Obrigado
-
Boa tarde mais uma vez,
já encontrei o problema.
Tive de selecionar o Interface - LAN em "Services -> DNS forwarder".
Neste momento já faz ping para o nome do posto. -
Fiz uma alteração,
retirei a seleção da LAN nos Interfaces.
Adicionei o IP do DNS server do domínio em "Domain Overrides".Testei desta forma porque ao selecionar LAN nos Interfaces, a abertura das páginas ficou bastante lento.
Com isto tudo, continuo a não conseguir validar o posto pelo nome na ACL. :( Só funciona pelo IP!
-
Boa tarde Marcelloc,
alguma dica/ajuda para o Squid Filter funcionar com o nome do posto nas ACLs?
Obrigado.
Cumprimentos
