Bypass Certificado url
-
Pessoal!
Me deparei com a seguinte situação. Fiz a instalação do pfsense em um cliente com certificado para filtrar paginas https e coloquei o squid no modo transparente. Fiz a instalação do certificado na maquinas do clientes e esta tudo funcionando perfeitamente. Meu problema é com acesso a bancos. Quando um usuário tenta acesso um banco qualquer ele consegue o acesso, mas o certificado é do pfsense e não do banco e com isto temos muitos problemas. Gostaria de uma formar de bypass, neste caso específico, o certificado do pfsense e usar o certificado do site. Tem uma opção "Bypass Proxy for these destionation iPs", mas como os bancos podem ter vários IPs fica complicado usar esta opção.
Se alguém tiver alguma dica ficaria muito grato.Weslley
-
olá vweslley aqui eu tenho o squid3 + squidguard filtrando ssl, para bancos está indo bem.
segui o tutorial abaixo:
segui o tutorial do joão batista da rocha neto Configurando Squid3 + SquidGuard3 + Proxy Transparente bloqueando SSL/HTTPS no PFSense https://www.youtube.com/watch?v=neXcYtFDRLA&nohtml5=False
atente-se ao descritivo do vídeo onde ele coloca as seguintes informações:
na guia general em Custom ACLS (Before_Auth)
adicionar o seguinte:
always_direct allow all
ssl_bump server-first alle para os bancos também na aba general eu coloquei os endereços em Bypass Proxy for These Destination IPs
na guia local cache eu coloquei os endereços dos bancos em Do Not Cacheespero que alguma dessas informações seja útil para você
-
Ola mbj5!
Eu tentei fazer o que foi dito no video mas eu estou com o erro:
=======================================================================================
O seguinte erro foi encontrado ao tentar recuperar a URL: ://200.155.86.74:443Falha ao estabelecer uma conexão segura com 200.155.86.74
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failureEste proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.
Seu administrador do cache é administrador@xxxxxxx.
-
Você realmente precisa fazer interceptação SSL, proxy ativo não resolve?
-
Tomas bom dia
Ja escrevi em diversos topicos aqui no forum. Eu realmente preciso fazer a intecepcao pois assim eu consigo bloquear dentro da pagina links nao condiz com o que eu tenho em minha lista branca.
Voce sabe se tem alguma outra forma de eu fazer isso sem ser transparente. Estou a 4 dias buscando solucao e nao encontro na net.
Algumas empresa que eu liguei tb estao aplicando novos cursos mas acho que é so maquina de fazer dinheiro pois vai cair no mesmo problema -
Tomas bom dia
Ja escrevi em diversos topicos aqui no forum. Eu realmente preciso fazer a intecepcao pois assim eu consigo bloquear dentro da pagina links nao condiz com o que eu tenho em minha lista branca.
Voce sabe se tem alguma outra forma de eu fazer isso sem ser transparente. Estou a 4 dias buscando solucao e nao encontro na net.
Algumas empresa que eu liguei tb estao aplicando novos cursos mas acho que é so maquina de fazer dinheiro pois vai cair no mesmo problemaNão trabalho com proxy transparente, não sei te ajudar.
-
Galera
Para uso do squid com proxy transparente a nova versao ta com bug nao ta preparado ainda.
baixei a iso da versao 2.2.6 e restaurei o backup da versao 2.3 nele e tudo funcionou bonito lindo de se ve.
Ate que se corriga esse bug para quem trabalha da mesmas forma que eu interceptando ssl vamos manter na versao 2.2.6
Abração na boquinha