Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [Resolvido] Liberação ao sistema FCI

    Portuguese
    2
    3
    802
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      eumesmoluiz last edited by

      Pessoal bom dia, vamos ver se alguem consegue me dar uma luz. Tenho um PfSense versao 2.1.5 AMD64 com squid3-dev + squidGuard-squid3 em proxy transparente interceptando SSL. Acontece que ao tentar entrar em um sistema importação no site da receita (https://www.fazenda.sp.gov.br/CCIWEB/Account/Login.aspx?ReturnUrl=%2fcciweb%2fdefault.aspx) ele nem abre a janela pedindo para escolher meu certificado e ja da um erro. Se eu coloco o ip da maquina em Bypass proxy for these source IPs, funciona normalmente. Ja coloquei os sites de destino em Bypass proxy for these destination IPs em um alias, porém nada feito. Ja monitorei via tcpdump a interface da LAN com o ip liberado e vejo varias conexões na porta 443 de destino, porém as portas de origem são variadas.

      Alguem ja passou por isso ou tem alguma idéia de como eu libero o acesso a este sistema sem ter que liberar o IP como um todo ???

      Grato qualquer ajuda

      1 Reply Last reply Reply Quote 0
      • marcelloc
        marcelloc last edited by

        A porta de origem sempre vai variar, é da natureza da comunicação tcp/ip.

        Veja em diagnostic-> tables se o pfsense conseguiu resolver o ip dos hosts que você cadastrou no alias.

        Nessa situação você consegue ver as requisições chegando e logando no squid?

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • E
          eumesmoluiz last edited by

          Marcelo bom dia. Agradeço pela rapida resposta.

          Seguinte, a solução estava mais simples do que eu imaginava, e eu tentando criar regras no firewall para liberar, fazendo monte de coisa e nada.

          Bom, os hosts que aparecia no log do squid eram:

          fazenda.sp.gov.br
          identity.fazenda.sp.gov.br

          Cadastrei os dois no Alias que criei para setar em Bypass proxy for these destination IPs, teoricamente ja teria que funcionar, mais por algum motivo ele nao abria a tela pedindo o certificado.

          Coloquei os sites em ACL - Whitelist:

          .identity.fazenda.sp.gov.br
          identity.fazenda.sp.gov.br
          .fazenda.sp.gov.br
          fazenda.sp.gov.br

          e funcionou !!!

          Então fica a dica para quem precisa liberar algum site https que acesse um certificado local na maquina, libere na Whitelist e crie um Alias Bypassando ele da interceptação do ssl.

          Grato

          1 Reply Last reply Reply Quote 0
          • First post
            Last post