[Resolvido] Liberação ao sistema FCI



  • Pessoal bom dia, vamos ver se alguem consegue me dar uma luz. Tenho um PfSense versao 2.1.5 AMD64 com squid3-dev + squidGuard-squid3 em proxy transparente interceptando SSL. Acontece que ao tentar entrar em um sistema importação no site da receita (https://www.fazenda.sp.gov.br/CCIWEB/Account/Login.aspx?ReturnUrl=%2Fcciweb%2Fdefault.aspx) ele nem abre a janela pedindo para escolher meu certificado e ja da um erro. Se eu coloco o ip da maquina em Bypass proxy for these source IPs, funciona normalmente. Ja coloquei os sites de destino em Bypass proxy for these destination IPs em um alias, porém nada feito. Ja monitorei via tcpdump a interface da LAN com o ip liberado e vejo varias conexões na porta 443 de destino, porém as portas de origem são variadas.

    Alguem ja passou por isso ou tem alguma idéia de como eu libero o acesso a este sistema sem ter que liberar o IP como um todo ???

    Grato qualquer ajuda



  • A porta de origem sempre vai variar, é da natureza da comunicação tcp/ip.

    Veja em diagnostic-> tables se o pfsense conseguiu resolver o ip dos hosts que você cadastrou no alias.

    Nessa situação você consegue ver as requisições chegando e logando no squid?



  • Marcelo bom dia. Agradeço pela rapida resposta.

    Seguinte, a solução estava mais simples do que eu imaginava, e eu tentando criar regras no firewall para liberar, fazendo monte de coisa e nada.

    Bom, os hosts que aparecia no log do squid eram:

    fazenda.sp.gov.br
    identity.fazenda.sp.gov.br

    Cadastrei os dois no Alias que criei para setar em Bypass proxy for these destination IPs, teoricamente ja teria que funcionar, mais por algum motivo ele nao abria a tela pedindo o certificado.

    Coloquei os sites em ACL - Whitelist:

    .identity.fazenda.sp.gov.br
    identity.fazenda.sp.gov.br
    .fazenda.sp.gov.br
    fazenda.sp.gov.br

    e funcionou !!!

    Então fica a dica para quem precisa liberar algum site https que acesse um certificado local na maquina, libere na Whitelist e crie um Alias Bypassando ele da interceptação do ssl.

    Grato