Sites de bancos + squid



  • Boa tarde Srs.

    Estou com uma dificuldade em alguns sites de bancos, e programas também, já vi os outros tópicos aqui sobre o assunto, tentei seguir mas nada adiantou. Vou dar um exemplo:

    Meu ambiente está com o PFSense 2.2.5 + Squid3 + SquidGuard

    Estou usando proxy transparente e fazendo verificação de https com CA que criei e instalei nas máquinas.

    Quando acesso o log do squid, na aba Real Time mesmo, verifico que as máquinas estão passando pelo Squid perfeitamente, pois tanto endereços http quanto https passam no log.

    Meu problema acontece ao acessar sites de bancos, ou programas, como o do Itaú por exemplo, da um erro de certificado.

    Tive então a ideia de colocar o site do Itaú para passar por fora do proxy no campo "Bypass Proxy for These Destination IPs"

    O problema é que quando faço isso, o Squid parece que simplesmente para de funcionar. Ele deixa acessar o site do Itaú normalmente, assim como o programa, mas na aba RealTime os logs param, como se nenhum site mais estivesse passando por ele.

    Se eu retirar o site do "Bypass Proxy for These Destination IPs", o log volta a correr normalmente, acompanhando cada acesso.

    Alguém poderia me ajudar? Lembrando que o erro de certificado também aconteceu com o Banco do Brasil e mais outros 2 bancos.

    Desde já agradeço



  • @ThiagoLRamos:

    Boa tarde Srs.

    Estou com uma dificuldade em alguns sites de bancos, e programas também, já vi os outros tópicos aqui sobre o assunto, tentei seguir mas nada adiantou. Vou dar um exemplo:

    Meu ambiente está com o PFSense 2.2.5 + Squid3 + SquidGuard

    Estou usando proxy transparente e fazendo verificação de https com CA que criei e instalei nas máquinas.

    Quando acesso o log do squid, na aba Real Time mesmo, verifico que as máquinas estão passando pelo Squid perfeitamente, pois tanto endereços http quanto https passam no log.

    Meu problema acontece ao acessar sites de bancos, ou programas, como o do Itaú por exemplo, da um erro de certificado.

    Tive então a ideia de colocar o site do Itaú para passar por fora do proxy no campo "Bypass Proxy for These Destination IPs"

    O problema é que quando faço isso, o Squid parece que simplesmente para de funcionar. Ele deixa acessar o site do Itaú normalmente, assim como o programa, mas na aba RealTime os logs param, como se nenhum site mais estivesse passando por ele.

    Se eu retirar o site do "Bypass Proxy for These Destination IPs", o log volta a correr normalmente, acompanhando cada acesso.

    Alguém poderia me ajudar? Lembrando que o erro de certificado também aconteceu com o Banco do Brasil e mais outros 2 bancos.

    Desde já agradeço

    Olá Amigo,

    o Bypass Proxy for These Destination IPs serve para os sites não passarem pelo proxy por isso os sites não aparecem no log.
    Utilize essa opção quando um site não funcionar, existem sites que simplesmente não funcionam corretamente com o proxy, recusam a conexão, etc… experimente acessar um site de conexão segura (SSL) onde é necessário utilizar certificado digital, ou assinar petições etc.. é um inferno :(  todos esses sites eu passo por fora do proxy.

    Em relação ao seu problema, Já tentou marcar em Remote Cert Checks( dentro do squid), as 2 opções e ver se o problema persiste? recentemente vi um post aqui no fórum sobre um assunto parecido onde o usuário relata que marcando essas opções o problema foi resolvido.

    Espero ter ajudado.

    Abraços,

    Diego



  • @didonsom:

    Olá Amigo,

    o Bypass Proxy for These Destination IPs serve para os sites não passarem pelo proxy por isso os sites não aparecem no log.
    Utilize essa opção quando um site não funcionar, existem sites que simplesmente não funcionam corretamente com o proxy, recusam a conexão, etc… experimente acessar um site de conexão segura (SSL) onde é necessário utilizar certificado digital, ou assinar petições etc.. é um inferno :(  todos esses sites eu passo por fora do proxy.

    Em relação ao seu problema, Já tentou marcar em Remote Cert Checks( dentro do squid), as 2 opções e ver se o problema persiste? recentemente vi um post aqui no fórum sobre um assunto parecido onde o usuário relata que marcando essas opções o problema foi resolvido.

    Espero ter ajudado.

    Abraços,

    Diego

    Boa tarde,

    Com relação ao campo, eu entendi como ele funciona, meu problema não é o site do Itaú não passar, isso eu já esperada pelos motivos que você falou, o problema é que quando coloco o site do Itaú neste campo, nenhum outro site passa pelo log, ele para de monitorar geral, e não apenas no site do Itaú, Banco do Brasil e etc que coloquei no Bypass.

    Eu utilizo certificado. Criei um no gerenciador de certificados do PFSense e instalei nas máquinas.

    Com relação ao campo "Remote Cert Checks", eu deixo a opção "Accept remote server certificate with errors".



  • Algumas observações:
    1 - execute o comando squid -k reconfigure na linha de comando e verifique se tem alguma informação de saida;
    2 - acompanhe os logs do squid " tail -f /var/squid/logs/cache.log"
    3 - acompanhe os logs de acesso "tail -f /var/squid/logs/access.log



  • @marcosmassa:

    Algumas observações:
    1 - execute o comando squid -k reconfigure na linha de comando e verifique se tem alguma informação de saida;
    2 - acompanhe os logs do squid " tail -f /var/squid/logs/cache.log"
    3 - acompanhe os logs de acesso "tail -f /var/squid/logs/access.log

    Bom dia, o comando é "squid -k reconfigure"? Não encontrei o que ele faz.

    Com relação aos logs, acompanhei enquanto acessava os sites, também não consegui identificar nada que ajudasse.

    Deve ter alguém que já passou por problemas com esses sites/programas, são bem comuns a utilização em empresas.

    O problema todo nem é com relação ao bloqueio em si, porque ele eu sei tirar, quando coloco no Bypass ele deixa acessar, o problema é que quando coloco no Bypass só o site do Itau por exemplo, parece que o Squid para de funcionar, para de monitorar nos logs o acesso a tudo.
    E não consegui ver nenhuma mensagem de erro nos logs também indicando algum tipo de falha.

    Outra coisa, trabalho com blacklists, mas as contas que estão acessando estão como Allow em todas. Coloquei também na configuração do cache para não fazer cache desses sites.



  • Bom dia,

    Alguém tem alguma outra ideia?



  • @ThiagoLRamos:

    Bom dia,

    Alguém tem alguma outra ideia?

    Mude para proxy ativo.



  • ola thiago,

    pode ser que o seu problema seja o mesmo que aconteceu comigo.
    quando eu colocava o um endereço do itau no Bypass Proxy for These Destination IPs o squid parava.

    o colega derikdk me seu a seguinte dica:

    Ola!
    Já passei por esse problema!!
    Verifique no Status > System Logs > Verifique na Aba (system > General). E veja os log's deve ter algo relacionado a algum "link/Dominio" que voce incluiu no ByPass e nao esta conseguindo resolver o nome pelo DNS.

    no meu caso quando eu preenchia com o endereço itauuniclass.com.br o squid parava.

    veja no system logs se aparece algum erro.

    boa sorte !!!!


Log in to reply