Falha Unrestricted IPs



  • Bom dia,

    Estou com um problema e gostaria de ajuda,

    Tenho pfsense 2.2.3 instalado com squid3 configurado e funcionando, tenho alguns sites bloqueados na minha black list inclusive o facebook, porem para alguns usuário o facebook e outros site bloqueados, são liberados.

    Coloquei os ips dos respectivos usuários no Unrestricted IPs para conceder essa liberação, porem o facebook fica com a pagina quebrava, no que entendi, não carrega o css da pagina.

    so funciona perfeitamente quando libero pelo bypass, mas liberando pelo bypass não consigo obter o relatório de acessos.

    alguem sabe como resolver isso?

    Abraço

    Segue imagem do erro



  • Abre o site no firefox com o plugin firebug habilitado na aba rede.

    Lá você deve conseguir ver que parte do site não baixa e qual código de erro está retornando.



  • Bom dia,

    segue os erros, basicamente so carrega o html puro.

    
    Failed to load resource: net::ERR_INSECURE_RESPONSE
    https://fbstatic-a.akamaihd.net/rsrc.php/v2/yb/r/htCIZhevY9I.css Failed to load resource: net::ERR_INSECURE_RESPONSE
    https://fbstatic-a.akamaihd.net/rsrc.php/v2/yv/r/OEjEHj6j8nv.css Failed to load resource: net::ERR_INSECURE_RESPONSE
    https://fbstatic-a.akamaihd.net/rsrc.php/v2/yQ/r/UN9PgnmtVQH.css Failed to load resource: net::ERR_INSECURE_RESPONSE
    https://fbstatic-a.akamaihd.net/rsrc.php/v2/yz/r/hU3aHsJP_pp.css Failed to load resource: net::ERR_INSECURE_RESPONSE
    https://fbstatic-a.akamaihd.net/rsrc.php/v2/yw/r/QFCzGMSautp.js Failed to load resource: net::ERR_INSECURE_RESPONSE
    www.facebook.com/:9 Uncaught ReferenceError: require is not defined
    www.facebook.com/:9 Uncaught ReferenceError: require is not defined
    www.facebook.com/:9 Uncaught ReferenceError: require is not defined
    www.facebook.com/:10 Uncaught ReferenceError: requireLazy is not defined
    www.facebook.com/:12 Uncaught ReferenceError: requireLazy is not defined
    www.facebook.com/:13 Uncaught ReferenceError: require is not defined
    www.facebook.com/:17 Uncaught ReferenceError: require is not defined
    www.facebook.com/:17 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:18 Uncaught ReferenceError: require is not defined
    www.facebook.com/:21 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:22 Uncaught ReferenceError: require is not defined
    www.facebook.com/:25 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:26 Uncaught ReferenceError: require is not defined
    www.facebook.com/:29 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:30 Uncaught ReferenceError: require is not defined
    www.facebook.com/:33 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:34 Uncaught ReferenceError: require is not defined
    https://fbstatic-a.akamaihd.net/rsrc.php/v2/yb/r/GsNJNwuI-UM.gif Failed to load resource: net::ERR_INSECURE_RESPONSE
    https://fbstatic-a.akamaihd.net/rsrc.php/v2/y9/r/jKEcVPZFk-2.gif Failed to load resource: net::ERR_INSECURE_RESPONSE
    www.facebook.com/:37 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:38 Uncaught ReferenceError: require is not defined
    www.facebook.com/:41 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:42 Uncaught ReferenceError: require is not defined
    www.facebook.com/:44 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:45 Uncaught ReferenceError: require is not defined
    www.facebook.com/:47 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:48 Uncaught ReferenceError: require is not defined
    www.facebook.com/:50 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:51 Uncaught ReferenceError: require is not defined
    www.facebook.com/:80 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:81 Uncaught ReferenceError: require is not defined
    www.facebook.com/:84 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:85 Uncaught ReferenceError: require is not defined
    www.facebook.com/:88 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:89 Uncaught ReferenceError: require is not defined
    www.facebook.com/:92 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:93 Uncaught ReferenceError: require is not defined
    www.facebook.com/:96 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:97 Uncaught ReferenceError: require is not defined
    www.facebook.com/:100 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:101 Uncaught ReferenceError: require is not defined
    www.facebook.com/:103 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:104 Uncaught ReferenceError: require is not defined
    www.facebook.com/:107 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:108 Uncaught ReferenceError: require is not defined
    www.facebook.com/:108 Uncaught TypeError: Cannot read property 'beforePageletArrive' of undefined
    www.facebook.com/:109 Uncaught ReferenceError: require is not defined
    https://fbcdn-profile-a.akamaihd.net/hprofile-ak-xfp1/v/t1.0-1/c15.0.50.50/…e5cdb674ea&oe=5621DD2F&__gda__=1447959769_3b7cdf3070e33d6ed8d2f235ea825b4b Failed to load resource: net::ERR_INSECURE_RESPONSE
    https://fbstatic-a.akamaihd.net/rsrc.php/yl/r/H3nktOa7ZMg.ico Failed to load resource: net::ERR_INSECURE_RESPONSE
    
    


  • Captura na aba rede do plugin, para você ver todas as requisições que o navegador faz no site.



  • Bom dia,

    O que estou identificando é que o erro é a penas no css.
    As requisições são feitas no endereço fbstatic-a.akamaihd.net.



  • amigo, também estou com o mesmo problema. Você conseguiu resolver?

    Pelo o que parece, o certificado gerado pelo PFsense não autoriza o "akamai". (acontece quando entramos no site tecmundo por exemplo, também usa CDN akamai);

    Conseguiu contornar de alguma forma mantendo o usuário no proxy?

    obrigado,



  • Coloca o fbstatic-a.akamaihd.net no exception da interceptação de ssl.



  • @marcelloc:

    Coloca o fbstatic-a.akamaihd.net no exception da interceptação de ssl.

    opa, agora deu certo!!!  ;D ;D ;D

    Era para colocar no "Bypass proxy for these destination IPs" do proxy transparente, certo?

    Só pra eu entender melhor, esse procedimento vai ignorar qualquer passagem pelo proxy destes domínios? Então consequentemente eu não consigo manter um cache destes domínios que estão no bypass?

    obrigado!



  • @rodrigolaca:

    @marcelloc:

    Coloca o fbstatic-a.akamaihd.net no exception da interceptação de ssl.

    opa, agora deu certo!!!  ;D ;D ;D

    Era para colocar no "Bypass proxy for these destination IPs" do proxy transparente, certo?

    Só pra eu entender melhor, esse procedimento vai ignorar qualquer passagem pelo proxy destes domínios? Então consequentemente eu não consigo manter um cache destes domínios que estão no bypass?

    obrigado!

    não deu certo não  :'( :'( :'( :'(

    a alegria durou pouco..

    quando eu coloco o akamai no bypass do Proxy Server, TODOS OS SITES liberam… parece que as regras do squidguard não atuam..

    alguém tem algo pra ajudar?

    obrigado,



  • @rodrigolaca:

    esse procedimento vai ignorar qualquer passagem pelo proxy destes domínios?

    Domínio não, hosts. Nunca coloque domínios nessa lista. O firewall precisa resolver os nomes e colocar um fqdn inválido pode bagunçar sua configuração.

    @rodrigolaca:

    Então consequentemente eu não consigo manter um cache destes domínios que estão no bypass?

    A idéia de bypass é exatamente essa. Não passar pelo proxy.



  • @rodrigolaca:

    quando eu coloco o akamai no bypass do Proxy Server

    O akamai troca de ip constantemente, não coloque ele em bypass nenhum. Só crie regras/acls sobre akamai em daemons(squid,squidguard) que analisam a url/host, não ip.



  • @marcelloc:

    @rodrigolaca:

    quando eu coloco o akamai no bypass do Proxy Server

    O akamai troca de ip constantemente, não coloque ele em bypass nenhum. Só crie regras/acls sobre akamai em daemons(squid,squidguard) que analisam a url/host, não ip.

    Sim, mas eles trocam normalmente o subdomínio.. domínio mesmo tem poucos.. ex: akamaihd.net, akamaized.net , etc..

    Enfim, mas consegui resolver o problema.. era uma coisa que não tinha percebido!!!

    Bastava usar a configuração "Do not verify remote certificate" …

    agora está rodando tranquilo..

    obrigado pela ajuda ae!!  ;D ;D ;D




  • @rodrigolaca:

    Bastava usar a configuração "Do not verify remote certificate" …

    Essa configuração deixa o seu ambiente extremamente inseguro. Qualquer falsificação de certificado(for a sua claro) será mascarada pelo squid.



  • Marcelloc, tentei fazer como você sugestionou, coloquei os "akamais" tanto o dominio quanto a url inteira nas listas de acls e white list tanto no squid quanto no squidguard, mesmo assim continua bloqueando, não quero deixar meu proxy "extramente inseguro" poderia me auxiliar?

    Estou implementando só a white list e depois tudo deny, ou seja não uso uma black list, depois da white list tenho os usuarios com acesso total.


Log in to reply