Algunas dudas sobre Squid

ZAC

Bueno eh estado leyendo un poco sobre el squid que en modo transparente ya gestiona https, lo que lo hace interesante para mis fines, solo tengo algunas dudas.

Yo la “hago” de ISP, por lo que no podía yo usar uno no transparente, sería super engorroso, etc, etc.

Solo que con todo lo que eh leído, aparte de pequeños detalles con algunas compras y cosas de bancos, parece que funciona, lo único que tengo duda es que leo que hay problemas con los certificados, y que hay que agregarlos en los navegadores (cosa que no puedo estar haciendo cliente por cliente), pero también vi lo de agregar los certificados comodo, aquí viene mi duda, en el hilo que leí no se explica si necesita tener un dominio o lo puedo hacer en forma local (yo no cuento con un nombre de dominio ya que mis IP son dinámicas y aunque quisiera los DNS reversos siempre dan el nombre de mi ISP).

bellera

Por favor, lee bien los pasos de esto ARRIBA, en Documentación o en Últimas aportaciones a Documentación.

squid3-dev (paquete para filtrado https en modo transparente)

El filtrado de https requiere que tú seas entidad certificadora y emitas el certificado a instalar en los navegadores. No hay otra solución.

amnarl

Saludos mi estimado zac, primeramente te puedo aportar que lo de proxy no transparente es totalmente funcional hoy dia para ti como WISP por WPAD. Si te animas te podria aportar parte de mi trabajo en esta area para hacer un funcionar esto en una red de servicios. Por lo demas te puedo indicar que actualmente trabajo en desarrollo de soluciones para pequeños WISP y en estos normalmente fijo servicios como DNS, PROXY, WEB bajo un dominio completamente funcional tanto local como en internet y tambien en dominios fijado solo localmente haciendo asi funcionar al mismo sin mayores problemas. Estamos a tu orden

Sudwind

en mi experiencia, uso pfsense con squid y squidguard para filtro de contenidos, los sitios como facebook, twitter los bloqueo usando DNS Forward, haciendo que no sea posible resolver los dominios que quiero restringir. como solucion para clientes que puedan tener acceso a todo y sin filtrar podrias tener muchas opciones, en tu caso creo que podrías montar otro server dns sin filtrar contenido alguno. espero te sea útil.

ZAC

@bellera:

Por favor, lee bien los pasos de esto ARRIBA, en Documentación o en Últimas aportaciones a Documentación.

squid3-dev (paquete para filtrado https en modo transparente)

El filtrado de https requiere que tú seas entidad certificadora y emitas el certificado a instalar en los navegadores. No hay otra solución.

Si leí todos los hilos, por eso me preguntaba, porque en uno de ellos da instrucciones para hacerlo con un certificado real (uno que tenga confianza el navegador), sin que yo tenga que hacer nada.

@amnarl:

Saludos mi estimado zac, primeramente te puedo aportar que lo de proxy no transparente es totalmente funcional hoy dia para ti como WISP por WPAD. Si te animas te podria aportar parte de mi trabajo en esta area para hacer un funcionar esto en una red de servicios. Por lo demas te puedo indicar que actualmente trabajo en desarrollo de soluciones para pequeños WISP y en estos normalmente fijo servicios como DNS, PROXY, WEB bajo un dominio completamente funcional tanto local como en internet y tambien en dominios fijado solo localmente haciendo asi funcionar al mismo sin mayores problemas. Estamos a tu orden

¿sin hacer absolutamente nada en el equipo del cliente?

@Sudwind:

en mi experiencia, uso pfsense con squid y squidguard para filtro de contenidos, los sitios como facebook, twitter los bloqueo usando DNS Forward, haciendo que no sea posible resolver los dominios que quiero restringir. como solucion para clientes que puedan tener acceso a todo y sin filtrar podrias tener muchas opciones, en tu caso creo que podrías montar otro server dns sin filtrar contenido alguno. espero te sea útil.

Si, la idea es no bloquear nada, solo es para cachear algo, para evitar un poco de trafico, aunque debido a las complicaciones, debería poner en una balanza si me convendría o no (meterme en engorrarme en eso :P).

bellera

@ZAC:

@bellera:

Por favor, lee bien los pasos de esto ARRIBA, en Documentación o en Últimas aportaciones a Documentación.

squid3-dev (paquete para filtrado https en modo transparente)

El filtrado de https requiere que tú seas entidad certificadora y emitas el certificado a instalar en los navegadores. No hay otra solución.

Si leí todos los hilos, por eso me preguntaba, porque en uno de ellos da instrucciones para hacerlo con un certificado real (uno que tenga confianza el navegador), sin que yo tenga que hacer nada.

Sólo hay un hilo sobre este tema, https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

Y dice claramente:

01. Crear una autoridad certificadora (CA) propia en pfSense
System: Cert Manager: CAs

Y se insiste ante la misma pregunta por parte de un usuario:

https://forum.pfsense.org/index.php?topic=73007.msg402902#msg402902

Lo aclaro de nuevo para que no quede duda alguna.

ZAC

Ok muchas gracias