Problema con Squid3 + https



  • Hola a todos, despues de un tiempo leyendo y probando me veo obligado a consultaros unas cosillas….

    Estoy intentando montar un proxy tanto para http como https, mi problema esta en que el proxy no puede estar en modo transparente ya que lo tengo todo detras de un firewall Sonicwall y este no lo permite.

    El caso esta en que desde el firewall puedo especificar que ip y puerto usa el proxy para que obligue a todos los cliente a salir por el.

    Por http funciona bien pero por https no funciona no es capaz de pillar mi CA, si conecto alguna maquina mas a la red de la DMZ, como tengo el proxy configurado en modo transparente funciona perfectamente pero claro esta no es mi solucion.

    Me aconsejais alguna otra forma?

    P.D. segui este manual: https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349



  • Si deseas SSL Bump en modo NO transparente tendrás que tunear tu instalación.

    La forma de hacerlo es modificar el código PHP del paquete squid para que no escriba el archivo squid.conf

    32 bit –-> /usr/pbi/squid-i386/etc/squid/squid.conf
    64 bit ---> /usr/pbi/squid-amd64/etc/squid/squid.conf

    y después de esto:

    • editar squid.conf a mano.
    • reiniciar el servicio squid

    De esta forma tendrás control absoluto de lo quieras para tu squid en pfSense, sacrificando el configurador web para squid, claro.

    Google squid ssl bump

    No obstante, decirte que si no vas a hacer inspección de contenido (icap) no tiene sentido hacer SSL Bump sólo para las URLs (direcciones de internet). Cuando el navegador "sabe" donde tiene el proxy (NO transparente) le pasa la URL, tanto si está en modo http como https.



  • Muchas gracias por la información.

    Al final he conseguido en parte lo que necesitaba, ahora tengo otras dudas pero vamos avanzando con toda la documentación que hay en el foro.

    De nuevo gracias!!!


Log in to reply