PFSense + Squi em outra maquina + HTTPS FAILED
-
Bom dia senhores …
Tenho um PFSense 2.2-RELEASE (amd64) rodando 100% aqui na empresa.
Tenho uma segunda máquina onde instalei o SQUID configurado com autenticação no meu Active Directory (single sign on).
No Squid, fiz a configuração de horários, sites e usuários que podem acessar as páginas e está funcionando quase perfeito.
Os sites que são HTTP ( 80) quando o acesso está proibido para o usuário aparece a página do SQUID de Acesso Negado.
Os sites que são HTTPS (443) quando o acesso está proibido para o usuário aparece a seguinte mensagem: ERR_TUNNEL_CONNECTION_FAILED ao invés de acesso negado.
Alguém tem alguma dica de como resolver isso ?
No PFSense fiz o seguinte:
- Criei um gateway com o IP do host onde está instalado o Squid.
- Depois crie uma regra na lan de lannet para any da porta 80 e 443 (tenho um alias de porta) usando o gateway criado.
Na estação do usuário:
- Configurei o PROXY na mão.
A principio configurei dessa forma, mas depois pretendo fazer um NAT onde toda navegação 80 / 443 seja redirecionado para o meu proxy.
Obrigado pela ajuda
Ronaldo Araujo
-
Os sites que são HTTPS (443) quando o acesso está proibido para o usuário aparece a seguinte mensagem: ERR_TUNNEL_CONNECTION_FAILED ao invés de acesso negado.
Alguém tem alguma dica de como resolver isso ?
Não, esse comportamento é normal, pois o Squid não pode ter entregar uma pagina de erro HTTPs, pois ele não vê o que está sendo trafegado e sim a URL.
Só é possível se fizer interceptação de trafego SSL. -
Obrigado Tomas pela resposta …
O bloqueio que estou fazendo é por URL e não por conteúdo (pelo motivo que você explicou).
Eu tinha um firewall configurado na mão com iptables que funcionava esse bloqueio por URL em página HTTPS e que quando a URL era proibida para aquele horário, o usuário recebia a página de Acesso Negado do SQUID.
-
Tem certeza, pois esse é um comportamento padrão do Squid. Nunca vi bloquear site HTTPs e redirecionar para uma pagina de erro HTTP.
-
Tenho sim …
Eu tinha esse servidor até dezembro quando deu pau no HD. Então resolvi montar o PFSense no lugar dele ...
Lembro que os usuários tentavam acessar o facebook e ele mostrava a página de acesso negado.
Qual seria a forma correta de se fazer esse controle ? Quero ter regra de bloqueio para páginas HTTPs e que o SQUID consiga mostrar a página de acesso negado.
Lembrando que meus usuários navegam pro proxy autenticado.
Obrigado
-
Eu simplesmente não me preocupo com a pagina de bloqueio em sites HTTPs, deixo com o erro de conexão mesmo. Não sei te dizer.
Pra mim o importante é bloquear.