Pfsense 2.1 Squid 2.7 serviço para sempre que ativo o transparent



  • Olá, amigo, uso o PFsense como gateway na minha rede, e fui ativar o package do Squid 2.7, porém todas as vezes que vou ativar o squid apenas como cache, sem blacklist nem nada, usando apenas 5000 MB para cache sendo que tenho 30000 disponiveis, ao marcar a opção transparente proxy e salvar e tentar navegar o os sites não abrem, e ao verificar os serviços o serviço do squid aparece parado.
    Alguém tem alguma dica do que pode estar acontecendo?



  • Lnredivo boa noite,

    Da uma olhada no link abaixo, estou demonstrando na versao 3 do squid mas o processo é mesmo.

    Youtube Video

    Qualquer duvida retorne!!

    Obrigado!!



  • @joaobrn:

    Lnredivo boa noite,

    Da uma olhada no link abaixo, estou demonstrando na versao 3 do squid mas o processo é mesmo.

    Youtube Video

    Qualquer duvida retorne!!

    Obrigado!!

    João, primeiramente parabéns pelo video, conteúdo bastante diferenciado.
    Bom, vi no seu vídeo que você nem mexe na parte de configurações de cache, lá eu mexo, aumento espaço em disco, tamanho minimo de memória e etc. Por incrível que pareça já tentei ativar o Squid em mais de 1 firewall, e em ambos os casos tive esse problema do serviço parar quando tento startar, no primeiro firewall que tentei quando deu erro no 2.7 desinstalei o package e instalei o squid3, mesmo erro aconteceu, e quando eu usava a 2.03 não tinha esse problema, estou curioso em tentar descobrir o que pode ser.

    Agora fugindo do assunto do meu post, o certificado que vc criou é que faz o squid filtrar o conteúdo https em modo transparente ou é a configuração no próprio squid na porta 3129? Pergunto isso porque é a primeira vez que vejo o proxy filtrar https no modo transparente.



  • marcou tambem a opção  "Allow users on interface" ?
    checou a opção Enable logging?
    em access control no campo "Allowed subnets" indicou qual subred o squid vai atual?



  • Funciona o seguinte, no video me referi a certificado mas depois embaixo nos comentarios ateh coloquei uma correcao, na verdade vc cria uma autoridade certificadora e todo trafego é intermediado pelo pfsense assim quem solicita td eh o pfsense. Desta forma quando vc solicita qualqier acesso que ele chega no firewall ele pega essa url q vc solicitou e valida p ver se estao de acordo c as regras q vc criou fazendo assim a bloqueio ou liberacao da regra. Por isso existe a autoridade certificadora pq assim o seu trafego eh descriptografado pelo pfsense analisado criptografado novamente e entao entregue a vc…
    A porta 3129 é a porta utilizada para redirecionar seu trafego https ou seja, todo trafego da porta 443 quando chega no firewall é redirecionado para 3129 para q o pfsense faca as verificacoes de bloqueio.



  • @guitarcleiton:

    marcou tambem a opção  "Allow users on interface" ?
    checou a opção Enable logging?
    em access control no campo "Allowed subnets" indicou qual subred o squid vai atual?

    Opção "Allow user on interface" marcada, ativei o enable logging e em relação ao access control, eu já tinha incluído a rede, porém pela descrição do próprio PFSense isso é redundante pois ele já entende a subnet da lan como uma rede autorizada a usar o proxy: "Note that the proxy interface subnet is already an allowed subnet."

    O problema persiste, marco a opção "Transparent Proxy" salvo, starto o serviço, tento navegar a pagina fica tentando carregar até dar erro e quando vou olhar o serviço está Stopped.

    Alguém mais tem alguma dica?



  • @joaobrn:

    Funciona o seguinte, no vídeo me referi a certificado mas depois embaixo nos comentários ateh coloquei uma correção, na verdade vc cria uma autoridade certificadora e todo trafego é intermediado pelo pfsense assim quem solicita td eh o pfsense. Desta forma quando vc solicita qualquer acesso que ele chega no firewall ele pega essa url q vc solicitou e valida p ver se estao de acordo c as regras q vc criou fazendo assim a bloqueio ou liberação da regra. Por isso existe a autoridade certificadora pq assim o seu trafego eh descriptografado pelo pfsense analisado criptografado novamente e entao entregue a vc…
    A porta 3129 é a porta utilizada para redirecionar seu trafego https ou seja, todo trafego da porta 443 quando chega no firewall é redirecionado para 3129 para q o pfsense faca as verificações de bloqueio.

    João, A pergunta é se usando o PFSense como unidade certificadora, não existe a possibilidade de conflitos em sites de bancos, e com certificados para emissão de notas fiscais eletrônicas na SEFAZ e etc.

    PS… Tem alguma dica para solução do problema listada acima.



  • Boa noite Lnredivo,

    Tenho implantado em todos os meus clientes e não tenho nenhum problema com acesso à sites de banco.

    Em relação ao seu problema, poderia por gentileza mandar um print das telas de configuração do squid+squidguard para que eu possa olhar??? Manda tb um print das regras de firewall da sua lan.


Log in to reply