Squid com SquidGuard - TCP_MISS/404 error



  • Ola pessoal !!!

    Meu cenário eh o seguinte, quero fazer um proxy não transparente, marcando apenas os navegadores para usar o proxy.
    Sem uso de senha e tal. Mas preciso sites bloqueados HTTPS, seja redirecionado para uma tela de erro, assim como já acontece com o protocolo http.

    Da o erro TCP_MISS/404  direct, e não rediciona.



  • Alguém pode me ajudar?



  • Olá, acho dessa forma só usando a com interceptsção de trafego SSL.
    Eu tenho alguns bloqueios HTTPS dessa forma que você tem e não tem consegui também.



  • Como o Tomas Waldow informormou.
    Isso e interceptação de trafego https, somente o squid3-dev configurado como certificado você conseguira fazer isso.



  • So que eu não quero usar transparente, quero marcar nos proxy dos browsers.

    Tem como ?



  • Creio que sim, seria o caso de habilitar a interceptação SSL e não ativar o proxy transparente.
    Então nos navegadores ficaria porta 3128 para HTTP e por exemplo 3129 para HTTPS.

    Funciona bem, mas tem algumas questões que você pode ver no tópico específico no fórum que trata desse assunto, como por exemplo a questão do certificado que tem que instalar em todas as máquinas, e me parece que alguns sites dão um pouco de trabalho para funcionar.
    Acompanhe o tópico que tem bastaste coisa lá sobre isso.

    Tópico:
    https://forum.pfsense.org/index.php?topic=62263.0

    Vídeo demonstrando como fazer:
    https://www.youtube.com/watch?v=neXcYtFDRLA



  • é só habilitar a interceptação e utilizar normalmente, mas não pode esquecer dos certificados que vc irá precisar ter nas estações.



  • Então Cristiano, ainda não achei como isso acontece especificamente, mas é mais ou menos assim.

    O navegador precisa receber uma reescrita de url do proxy (pag de erro do proxy), mas ainda não sei como, por essa conexão chegar criptografada no proxy, ele não consegue enviar a pagina de erro. Acho que isso é padrão do protocolo para evitar ataque "man in the middle".

    Nós entendemos que voce quer usar proxy ativo, mas para você ter sua pagina de erro para acesso de sites https bloqueado, você precisará ativar o bump-ssl (–enable-ssl) o mais conhecido https transparente. (eu acho que não vale a pena no seu cenário).

    att,

    Bruno Pinheiro.