PFSense + Squi em outra maquina + HTTPS FAILED



  • Bom dia senhores …

    Tenho um PFSense 2.2-RELEASE (amd64)  rodando 100% aqui na empresa.

    Tenho uma segunda máquina onde instalei o SQUID configurado com autenticação no meu Active Directory (single sign on).

    No Squid, fiz a configuração de horários, sites e usuários que podem acessar as páginas e está funcionando quase perfeito.

    Os sites que são HTTP ( 80) quando o acesso está proibido para o usuário aparece a página do SQUID de Acesso Negado.

    Os sites que são HTTPS (443) quando o acesso está proibido para o usuário aparece a seguinte mensagem: ERR_TUNNEL_CONNECTION_FAILED ao invés de acesso negado.

    Alguém tem alguma dica de como resolver isso ?

    No PFSense fiz o seguinte:

    1. Criei um gateway com o IP do host onde está instalado o Squid.
    2. Depois crie uma regra na lan de lannet para any da porta 80 e 443 (tenho um alias de porta) usando o gateway criado.

    Na estação do usuário:

    1. Configurei o PROXY na mão.

    A principio configurei dessa forma, mas depois pretendo fazer um NAT onde toda navegação 80 / 443 seja redirecionado para o meu proxy.

    Obrigado pela ajuda

    Ronaldo Araujo



  • @ronaldog.araujo:

    Os sites que são HTTPS (443) quando o acesso está proibido para o usuário aparece a seguinte mensagem: ERR_TUNNEL_CONNECTION_FAILED ao invés de acesso negado.

    Alguém tem alguma dica de como resolver isso ?

    Não, esse comportamento é normal, pois o Squid não pode ter entregar uma pagina de erro HTTPs, pois ele não vê o que está sendo trafegado e sim a URL.
    Só é possível se fizer interceptação de trafego SSL.



  • Obrigado Tomas pela resposta …

    O bloqueio que estou fazendo é por URL e não por conteúdo (pelo motivo que você explicou).

    Eu tinha um firewall configurado na mão com iptables que funcionava esse bloqueio por URL em página HTTPS e que quando a URL era proibida para aquele horário, o usuário recebia a página de Acesso Negado do SQUID.



  • Tem certeza, pois esse é um comportamento padrão do Squid. Nunca vi bloquear site HTTPs e redirecionar para uma pagina de erro HTTP.



  • Tenho sim …

    Eu tinha esse servidor até dezembro quando deu pau no HD. Então resolvi montar o PFSense no lugar dele ...

    Lembro que os usuários tentavam acessar o facebook e ele mostrava a página de acesso negado.

    Qual seria a forma correta de se fazer esse controle ? Quero ter regra de bloqueio para páginas HTTPs e que o SQUID consiga mostrar a página de acesso negado.

    Lembrando que meus usuários navegam pro proxy autenticado.

    Obrigado



  • Eu simplesmente não me preocupo com a pagina de bloqueio em sites HTTPs, deixo com o erro de conexão mesmo. Não sei te dizer.
    Pra mim o importante é bloquear.