Filtragem de páginas SSL (443) no Squid transparente
Este artigo, visa solucionar o problema na utilização de HTTPS (443) no Squid transparente, o que muitos denotam como um problema sem solução. Para tanto, será apontado um passo a passo para implementação do Squid transparente com suporte a HTTPS (443) e HTTP (80).
[ Hits: 53.893 ]
Por: Edivaldo Cavalcante de ALbuquerque Junior em 31/08/2012
Introdução e Configurações
Motivação
Há pouco tempo, precisei realizar a implantação de um proxy Squid transparente, que realizasse a filtragem da navegação em HTTP (80) e navegação segura - SSL (443).Ao procurar literatura especializada, verifiquei um grande quantitativo de documentação para esta implementação do Squid, mas também observei que para a navegação segura (SSL- 443), os artigos e fontes de pesquisa, praticamente não existiam.
Depois de muito garimpar e estudar o assunto, resolvi trazer minha experiência no formato de contribuição, para a comunidade GNU/Linux do VOL.
Neste artigo, demonstro o passo a passo para a criação de certificados e chaves que serão utilizados no Squid, recompilação do Squid com suporte a SSL (em um Debian Squeeze) e implementação do redirecionamento de portas para direcionar o tráfego de HTPS e HTTP, para o Squid.
OpenSSL - criando certificados e chaves para o Squid
Para a criação do certificado e geração da chave pública e chave privada, utilizaremos os comandos abaixo:# openssl genrsa -des3 -out empresa. Key 1024
# openssl req -new –key -out empresa.csr
# openssl req -new -key server. Key -out server.csr
Após a criação das chaves, temos que remover a senha da chave:
# cp empresa. Key empresa. Key.old
# openssl rsa -in empresa. Key.old -out empresa. Key
Criar certificado da empresa:
# openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt
Ao fim, copiaremos a chave e o certificado para pasta onde o Squid realizará a leitura:
# cp empresa. Key /etc/squid/certificados/
# cp empresa. csr /etc/squid/certificados/
Obs.: A pasta "certificados" é opcional, e a criação foi meramente para efeito de organização.
Recompilando o Squid com suporte a conexões SSL
Primeiro, devemos adicionar os repositórios abaixo na sources.list do seu Debian Squeeze, editando o arquivo: /etc/apt/sources.list:
deb-src http://ftp.de.debian.org/debian/ squeeze main contrib non-free
deb-src http://backports.debian.org/debian-backports squeeze-backports main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://backports.debian.org/debian-backports squeeze-backports main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
Depois, execute o comando:
# apt-get update
Para atualizar a base de dados do APT, com base nos novos repositórios.
Processo de recompilação do Squid
Entre no diretório /usr/src:# cd /usr/src
Baixe os fontes do Squid:
# apt-get source squid
Baixe as dependências de compilação do Squid:
# apt-get build-dep squid
Baixe as dependências de compilação do OpenSSL:
# apt-get build-dep openssl
Baixe e instale dependências necessárias para o recompilação:
# apt-get install devscripts build-essential fakeroot
Entre no diretório dos fontes:
# cd squid-<versão>
# cd debian/
Acesse o arquivo “rules”, e adicione a linha de opção:
--enable-ssl
...No arquivo, para recompilarmos o Squid com suporte a SSL:
# vim rules
Configure a nova opção (não execute o make, ou make install):
# ./configure
Compile e gere os pacotes para instalação:
# debuild -us -uc -b
Instale os dois pacotes gerados:
# dpkg –i squid-(versão).deb squid-comon-(versão).deb
Configuração do squid.conf para suporte à SSL + proxy transparente
O intuito do arquivo é adicionar a funcionalidade de SSL proxy ao Squid, e neste, já pressuponho que seu Squid esteja funcional, sendo que adicionaremos apenas as novas funcionalidades.No "squid.conf", adicione as linhas para ativar o funcionamento da filtragem do HTTP e HTTPS no proxy:
http_port 3128 transparent
https_port 3129 transparent cert=/etc/squid/certificados/empresa.crt Key=/etc/squid/certificados/empresa.key
https_port 3129 transparent cert=/etc/squid/certificados/empresa.crt Key=/etc/squid/certificados/empresa.key
Obs.: Verifique que a adição da linha que faz referência à "HTTPS_PORT", é o momento que incorporamos a funcionalidade de suporte a SSL ao Squid. Assim, para o funcionamento pleno como argumentos, indicamos onde está localizado o certificado e a chave da empresa.
Iptables - Redirecionando os pacotes HTTP e HTTPS para o Squid
Adicione ao seu firewall, o redirecionamento de portas de acesso 80 (http - navegação) e 443 (https- navegação segura):Obs.: eth0 - Interface de LAN
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129
Conclusão
A utilização de filtragem da navegação segura é muito importante, e por desconhecimento, ou até mesmo por falta de literatura que indique os meios para esta implementação, muitos administradores de rede continuam a utilizar o NAT para estes acessos, de forma a não aproveitarem toda a potencialidade do seu proxy.Espero que este artigo contribua para toda comunidade do VOL, na busca por uma literatura mais coesa e direta sobre este assunto.
Páginas do artigo
1. Introdução e ConfiguraçõesOutros artigos deste autor
Uma excelente ferramenta de monitoramento de rede
Leitura recomendada
Instalando o MySAR no CentOS 5.5
Squid 3.1.5 com suporte a TPROXY (sem bridge)
Identificando usuários Squid com o IDENTD
Squid autenticado no Active Directory com Winbind
Comentários
[1] Comentário enviado por removido em 31/08/2012 - 14:05h
Primeiramente parabéns pelo artigo!
Configurando desta forma, simplifica-se bastante o controle de acesso para sites que também são acessados por https(SSL/TLS), como as redes sociais.
Fiz algo semelhante para um cliente, entretanto tive problemas ao acessar alguns sites (BB, Caixa, tribunal de justiça e sites de outros órgãos públicos ... ) acredito que seja devido ao certificado(do servidor) ser "auto assinado" e/ou requerer alguma configuração extra para sites com certificados gerados pelo ICP-Brasil.
Contornei o problema com ajuda do iptables, criando uma lista de sites que não precisam passar polo proxy(um "for" para o arquivo com a lista). Mas como o arquivo precisa ser eventualmente atualizado, estou a procura de uma forma de resolver isso direto no squid.
Também teve problemas com isso? Caso positivo, alguma dica de solução?
*A quem possa interessar, no CentOS não existe a necessidade de recompilação do squid, o pacote fornecido nos repositórios já suporta ssl.
Primeiramente parabéns pelo artigo!
Configurando desta forma, simplifica-se bastante o controle de acesso para sites que também são acessados por https(SSL/TLS), como as redes sociais.
Fiz algo semelhante para um cliente, entretanto tive problemas ao acessar alguns sites (BB, Caixa, tribunal de justiça e sites de outros órgãos públicos ... ) acredito que seja devido ao certificado(do servidor) ser "auto assinado" e/ou requerer alguma configuração extra para sites com certificados gerados pelo ICP-Brasil.
Contornei o problema com ajuda do iptables, criando uma lista de sites que não precisam passar polo proxy(um "for" para o arquivo com a lista). Mas como o arquivo precisa ser eventualmente atualizado, estou a procura de uma forma de resolver isso direto no squid.
Também teve problemas com isso? Caso positivo, alguma dica de solução?
*A quem possa interessar, no CentOS não existe a necessidade de recompilação do squid, o pacote fornecido nos repositórios já suporta ssl.
[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h
Boa tarde!
Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.
Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.
Boa tarde!
Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.
Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.
[3] Comentário enviado por fernandoborges em 31/08/2012 - 19:27h
Parabéns por essa grande contribuição à Comunidade. Excelente artigo!
Parabéns por essa grande contribuição à Comunidade. Excelente artigo!
[4] Comentário enviado por osmano807 em 31/08/2012 - 20:43h
Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.
Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.
[5] Comentário enviado por removido em 31/08/2012 - 23:14h
[4] Comentário enviado por osmano807 em 31/08/2012 - 20:43h:
Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.
Não invalida, apenas o certificado dos sites acessados passam a ser verificados pelo proxy(squid) e não pelo navegador(que "enxergara" apenas o certificado usado no squid). Daí os "problemas" que tive, pois não havia mais como o usuário adicionar a chave desses sites manualmente(Se pensarmos apenas na segurança, isso impede que os usuários adicionem "qualquer" certificado no navegador, como normalmente ocorre).
Quanto a liberdade do usuário, não acredito que seja alienada neste caso, esta medida visa apenas garantir que a politica de uso da rede seja cumprida. Ações como a configuração de proxy/filtros de conteúdo, se fazem necessárias principalmente pela falta de "bom senso" dos usuários quanto ao uso das redes corporativas, comprometendo a disponibilidade de recursos e segurança destas.
[4] Comentário enviado por osmano807 em 31/08/2012 - 20:43h:
Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.
Não invalida, apenas o certificado dos sites acessados passam a ser verificados pelo proxy(squid) e não pelo navegador(que "enxergara" apenas o certificado usado no squid). Daí os "problemas" que tive, pois não havia mais como o usuário adicionar a chave desses sites manualmente(Se pensarmos apenas na segurança, isso impede que os usuários adicionem "qualquer" certificado no navegador, como normalmente ocorre).
Quanto a liberdade do usuário, não acredito que seja alienada neste caso, esta medida visa apenas garantir que a politica de uso da rede seja cumprida. Ações como a configuração de proxy/filtros de conteúdo, se fazem necessárias principalmente pela falta de "bom senso" dos usuários quanto ao uso das redes corporativas, comprometendo a disponibilidade de recursos e segurança destas.
[6] Comentário enviado por removido em 31/08/2012 - 23:24h
[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:
Boa tarde!
Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.
...
Vou pesquisar como fazer via GPO(indica alguma leitura?). Se não me engano, para usar o "Microsoft Certification Authority" é necessário uma maquina com o Windows Server na rede.
[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:
...
Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.
Poderia dar um exemplo?
Obrigado.
[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:
Boa tarde!
Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.
...
Vou pesquisar como fazer via GPO(indica alguma leitura?). Se não me engano, para usar o "Microsoft Certification Authority" é necessário uma maquina com o Windows Server na rede.
[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:
...
Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.
Poderia dar um exemplo?
Obrigado.
[7] Comentário enviado por madtrek em 01/09/2012 - 11:12h
Bom dia .
Eu estava justamente pesquisando este assunto, e havia encontrado tutoriais parecidos em Inglês, mas nenhum tão conciso quanto o seu, parabens !
Só restou um detalhe a tratar, quando ocorrerem atualizações de segurança no Squid, será necessário atualizar os fontes e compilar novamente, correto ?
Qual seria a melhor maneira de se executar esta tarefa sem nenhum "downtime" ??
Fábio Rabelo
Bom dia .
Eu estava justamente pesquisando este assunto, e havia encontrado tutoriais parecidos em Inglês, mas nenhum tão conciso quanto o seu, parabens !
Só restou um detalhe a tratar, quando ocorrerem atualizações de segurança no Squid, será necessário atualizar os fontes e compilar novamente, correto ?
Qual seria a melhor maneira de se executar esta tarefa sem nenhum "downtime" ??
Fábio Rabelo
[8] Comentário enviado por edivaldocaj em 01/09/2012 - 12:02h
[1] Comentário enviado por erisrjr em 31/08/2012 - 14:05h:
Primeiramente parabéns pelo artigo!
Configurando desta forma, simplifica-se bastante o controle de acesso para sites que também são acessados por https(SSL/TLS), como as redes sociais.
Fiz algo semelhante para um cliente, entretanto tive problemas ao acessar alguns sites (BB, Caixa, tribunal de justiça e sites de outros órgãos públicos ... ) acredito que seja devido ao certificado(do servidor) ser "auto assinado" e/ou requerer alguma configuração extra para sites com certificados gerados pelo ICP-Brasil.
Contornei o problema com ajuda do iptables, criando uma lista de sites que não precisam passar polo proxy(um "for" para o arquivo com a lista). Mas como o arquivo precisa ser eventualmente atualizado, estou a procura de uma forma de resolver isso direto no squid.
Também teve problemas com isso? Caso positivo, alguma dica de solução?
*A quem possa interessar, no CentOS não existe a necessidade de recompilação do squid, o pacote fornecido nos repositórios já suporta ssl.
Caro erisrjr,
Desde já Agradeço peolo bom comentario sobre o artigo e em relação aos problemas citados por você, utilizo tambem o iptables para bypass os sites que não funcionam corretamente...
[1] Comentário enviado por erisrjr em 31/08/2012 - 14:05h:
Primeiramente parabéns pelo artigo!
Configurando desta forma, simplifica-se bastante o controle de acesso para sites que também são acessados por https(SSL/TLS), como as redes sociais.
Fiz algo semelhante para um cliente, entretanto tive problemas ao acessar alguns sites (BB, Caixa, tribunal de justiça e sites de outros órgãos públicos ... ) acredito que seja devido ao certificado(do servidor) ser "auto assinado" e/ou requerer alguma configuração extra para sites com certificados gerados pelo ICP-Brasil.
Contornei o problema com ajuda do iptables, criando uma lista de sites que não precisam passar polo proxy(um "for" para o arquivo com a lista). Mas como o arquivo precisa ser eventualmente atualizado, estou a procura de uma forma de resolver isso direto no squid.
Também teve problemas com isso? Caso positivo, alguma dica de solução?
*A quem possa interessar, no CentOS não existe a necessidade de recompilação do squid, o pacote fornecido nos repositórios já suporta ssl.
Caro erisrjr,
Desde já Agradeço peolo bom comentario sobre o artigo e em relação aos problemas citados por você, utilizo tambem o iptables para bypass os sites que não funcionam corretamente...
[9] Comentário enviado por edivaldocaj em 01/09/2012 - 12:05h
[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:
Boa tarde!
Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.
Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.
Caro daleffe,
obrigados pelos parabens, e desde já agradeço seu comentario, achei interessante sua solução e vou procurar literatura sobre o assunto. vejo realmente que estamos usando o espaço do VOL para a causa certa, disseminar o conhencimento...
[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:
Boa tarde!
Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.
Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.
Caro daleffe,
obrigados pelos parabens, e desde já agradeço seu comentario, achei interessante sua solução e vou procurar literatura sobre o assunto. vejo realmente que estamos usando o espaço do VOL para a causa certa, disseminar o conhencimento...
[10] Comentário enviado por edivaldocaj em 01/09/2012 - 12:06h
[3] Comentário enviado por fernandoborges em 31/08/2012 - 19:27h:
Parabéns por essa grande contribuição à Comunidade. Excelente artigo!
Caro fernandoborges,
Como comentei antes, Uso muito este espaço como base para procurar artigos de qualidade na nossa area e nada mais justo de prestar alguma contribuição.
Obrigado ao fim pelo comentario de agradecimento..
[3] Comentário enviado por fernandoborges em 31/08/2012 - 19:27h:
Parabéns por essa grande contribuição à Comunidade. Excelente artigo!
Caro fernandoborges,
Como comentei antes, Uso muito este espaço como base para procurar artigos de qualidade na nossa area e nada mais justo de prestar alguma contribuição.
Obrigado ao fim pelo comentario de agradecimento..
[11] Comentário enviado por edivaldocaj em 01/09/2012 - 12:13h
[4] Comentário enviado por osmano807 em 31/08/2012 - 20:43h:
Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.
Caro osmano807,
Li seu comentario e acho muito valido opinioes que contribuão para uma rodada de discursões. Sobre seu comentario tenho uma visão parecida com erisrjr, pois tenho em mim uma politica na Gerencia de Redes, de proteger o usuario dele propio é contribuir para segurança dele e da continuidade operacional da empresa...Assim prefiro restrigir algumas funçoes que ter em outros momentos um downtime causados por inobicievancia da segurança.
[4] Comentário enviado por osmano807 em 31/08/2012 - 20:43h:
Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.
Caro osmano807,
Li seu comentario e acho muito valido opinioes que contribuão para uma rodada de discursões. Sobre seu comentario tenho uma visão parecida com erisrjr, pois tenho em mim uma politica na Gerencia de Redes, de proteger o usuario dele propio é contribuir para segurança dele e da continuidade operacional da empresa...Assim prefiro restrigir algumas funçoes que ter em outros momentos um downtime causados por inobicievancia da segurança.
[12] Comentário enviado por edivaldocaj em 01/09/2012 - 12:17h
[7] Comentário enviado por madtrek em 01/09/2012 - 11:12h:
Bom dia .
Eu estava justamente pesquisando este assunto, e havia encontrado tutoriais parecidos em Inglês, mas nenhum tão conciso quanto o seu, parabens !
Só restou um detalhe a tratar, quando ocorrerem atualizações de segurança no Squid, será necessário atualizar os fontes e compilar novamente, correto ?
Qual seria a melhor maneira de se executar esta tarefa sem nenhum "downtime" ??
Fábio Rabelo
Caro Fábio Rabelo,
Igualmente a voce pesquisei muito e pouca literatura encontrei, e as que encontrei estavam incompletas e em inglês, mas após algum trabalho está o resultado em forma de contribuição para nosso espaço aqui no VOL. Em relação ao seu questionamento, não atentei para esta questão e de posse da duvida, vou procurar alguma informação ou ate mesmo tentar simular uma atualização de segurança para obter os resultados. Obrigado pelo comentario...
[7] Comentário enviado por madtrek em 01/09/2012 - 11:12h:
Bom dia .
Eu estava justamente pesquisando este assunto, e havia encontrado tutoriais parecidos em Inglês, mas nenhum tão conciso quanto o seu, parabens !
Só restou um detalhe a tratar, quando ocorrerem atualizações de segurança no Squid, será necessário atualizar os fontes e compilar novamente, correto ?
Qual seria a melhor maneira de se executar esta tarefa sem nenhum "downtime" ??
Fábio Rabelo
Caro Fábio Rabelo,
Igualmente a voce pesquisei muito e pouca literatura encontrei, e as que encontrei estavam incompletas e em inglês, mas após algum trabalho está o resultado em forma de contribuição para nosso espaço aqui no VOL. Em relação ao seu questionamento, não atentei para esta questão e de posse da duvida, vou procurar alguma informação ou ate mesmo tentar simular uma atualização de segurança para obter os resultados. Obrigado pelo comentario...
[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h
Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:
Comandos corretos:
openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr
Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:
Comandos corretos:
openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr
[14] Comentário enviado por edivaldocaj em 03/09/2012 - 10:47h
[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:
Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:
Comandos corretos:
openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr
Caro diego_l88,
Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...
[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:
Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:
Comandos corretos:
openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr
Caro diego_l88,
Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...
[15] Comentário enviado por diego_l88 em 03/09/2012 - 10:55h
Cara, melhor tu revisar o teu post, tem muita coisa errada e sem pé nem cabeça.
Cara, melhor tu revisar o teu post, tem muita coisa errada e sem pé nem cabeça.
[16] Comentário enviado por diego_l88 em 03/09/2012 - 11:46h
Amigo, você se quer se deu o trabalho de corrigir os comandos copiados do outro site. Você tentou executar os comandos que você colocou? Se sim, me passe a versão do seu openssl, pois no meu deu erro de sintaxe.
[14] Comentário enviado por edivaldocaj em 03/09/2012 - 10:47h:
[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:
Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:
Comandos corretos:
openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr
Caro diego_l88,
Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...
Amigo, você se quer se deu o trabalho de corrigir os comandos copiados do outro site. Você tentou executar os comandos que você colocou? Se sim, me passe a versão do seu openssl, pois no meu deu erro de sintaxe.
[14] Comentário enviado por edivaldocaj em 03/09/2012 - 10:47h:
[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:
Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:
Comandos corretos:
openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr
Caro diego_l88,
Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...
[17] Comentário enviado por edivaldocaj em 03/09/2012 - 11:54h
[16] Comentário enviado por diego_l88 em 03/09/2012 - 11:46h:
Amigo, você se quer se deu o trabalho de corrigir os comandos copiados do outro site. Você tentou executar os comandos que você colocou? Se sim, me passe a versão do seu openssl, pois no meu deu erro de sintaxe.
[14] Comentário enviado por edivaldocaj em 03/09/2012 - 10:47h:
[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:
Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:
Comandos corretos:
openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr
Caro diego_l88,
Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...
Caro diego_l88,
EStou nesta comunidade desde 2007 sempre que posso contribuindo para ocrescimento da mesma, já voce sequer jamais publicou qualquer artigo que vise ajudar esta comunidade, acho que voce esta é querendo tumultuar um bom trabalho com comentaris de pouca relevancia e que denotam simplesmente seu pouco conhecimento.
Caso Voce realmente se interesse pelo assunto e precise realmente interagir de forma idonea estou realmente disposto a te ajudar, mas pelo que percebo isto não é realmente oque voce quer.
E se a acertiva é verdadeira faça um favor a esta comunidade, comece a contribuir com o VOL ou aprenda pelo menos a reconhcer bons artigos.
Obs, se estas com problemas na Sintaxe procure o HELP do Openssl, ele pode te ajudar e melhor ve se cria um artigo sobre tal para que possamos disfrutar do seu conhecimento.
[16] Comentário enviado por diego_l88 em 03/09/2012 - 11:46h:
Amigo, você se quer se deu o trabalho de corrigir os comandos copiados do outro site. Você tentou executar os comandos que você colocou? Se sim, me passe a versão do seu openssl, pois no meu deu erro de sintaxe.
[14] Comentário enviado por edivaldocaj em 03/09/2012 - 10:47h:
[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:
Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:
Comandos corretos:
openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr
Caro diego_l88,
Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...
Caro diego_l88,
EStou nesta comunidade desde 2007 sempre que posso contribuindo para ocrescimento da mesma, já voce sequer jamais publicou qualquer artigo que vise ajudar esta comunidade, acho que voce esta é querendo tumultuar um bom trabalho com comentaris de pouca relevancia e que denotam simplesmente seu pouco conhecimento.
Caso Voce realmente se interesse pelo assunto e precise realmente interagir de forma idonea estou realmente disposto a te ajudar, mas pelo que percebo isto não é realmente oque voce quer.
E se a acertiva é verdadeira faça um favor a esta comunidade, comece a contribuir com o VOL ou aprenda pelo menos a reconhcer bons artigos.
Obs, se estas com problemas na Sintaxe procure o HELP do Openssl, ele pode te ajudar e melhor ve se cria um artigo sobre tal para que possamos disfrutar do seu conhecimento.
[18] Comentário enviado por removido em 03/09/2012 - 13:37h
O fato do usuário diego_l88 não ter publicado artigos ou não contribuir de forma mais constante com o VOL, não o impede de fazer uma critica e não creio que seja correto, apenas por isso invalida-la.
Lendo com atenção os dois artigos, fica claro(ao menos para mim) que o publicado aqui NÃO é uma copia do outro, por fatores como:
Usarem distribuições diferentes(A forma de instalação do squid é diferente).
O texto base do artigo é diferente(No publicado aqui, não é abordado como essa implementação funciona de forma "teórica" por exemplo).
Entretendo os comandos usados são praticamente os mesmos(A principio não haveria problemas nisso, ja que essa é uma das formas para gerar as chaves no openssl). Mas o Erro de sintaxe (um espaço no primeiro Comando para gerar a chave) encontrado no outro artigo, se reproduz neste:
Artigo citado pelo diego_l88:
http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https
openssl genrsa -des3 -out server. Key 1024
openssl req -new –key -out server.csr
openssl req -new -key server. Key -out server.csr
Artigo publicado pelo edivaldocaj:
# openssl genrsa -des3 -out empresa. Key 1024
# openssl req -new –key -out empresa.csr
# openssl req -new -key server. Key -out server.csr
O que indica fortemente que o autor baseou esta parte, no artigo citado pelo diego_l88.
edivaldocaj, acredito que a inclusão do artigo citado pelo diego_l88, bem como outras possíveis fontes e bibliografias pesquisadas para a elaboração do seu artigo, alem de enriquece-lo (mais conteúdo para quem o ler aqui no VOL, mais credibilidade á seu artigo pela "qualidade" do material pesquisado). Alem de "dar credito" a outros autores, evitariam qualquer tipo de duvida sobre o artigo que publicou, que como ja disse, não me parece ser uma simples "copia".
O fato do usuário diego_l88 não ter publicado artigos ou não contribuir de forma mais constante com o VOL, não o impede de fazer uma critica e não creio que seja correto, apenas por isso invalida-la.
Lendo com atenção os dois artigos, fica claro(ao menos para mim) que o publicado aqui NÃO é uma copia do outro, por fatores como:
Usarem distribuições diferentes(A forma de instalação do squid é diferente).
O texto base do artigo é diferente(No publicado aqui, não é abordado como essa implementação funciona de forma "teórica" por exemplo).
Entretendo os comandos usados são praticamente os mesmos(A principio não haveria problemas nisso, ja que essa é uma das formas para gerar as chaves no openssl). Mas o Erro de sintaxe (um espaço no primeiro Comando para gerar a chave) encontrado no outro artigo, se reproduz neste:
Artigo citado pelo diego_l88:
http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https
openssl genrsa -des3 -out server. Key 1024
openssl req -new –key -out server.csr
openssl req -new -key server. Key -out server.csr
Artigo publicado pelo edivaldocaj:
# openssl genrsa -des3 -out empresa. Key 1024
# openssl req -new –key -out empresa.csr
# openssl req -new -key server. Key -out server.csr
O que indica fortemente que o autor baseou esta parte, no artigo citado pelo diego_l88.
edivaldocaj, acredito que a inclusão do artigo citado pelo diego_l88, bem como outras possíveis fontes e bibliografias pesquisadas para a elaboração do seu artigo, alem de enriquece-lo (mais conteúdo para quem o ler aqui no VOL, mais credibilidade á seu artigo pela "qualidade" do material pesquisado). Alem de "dar credito" a outros autores, evitariam qualquer tipo de duvida sobre o artigo que publicou, que como ja disse, não me parece ser uma simples "copia".
[19] Comentário enviado por marlboro69 em 10/09/2012 - 12:01h
Boa tarde,
Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.
Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?
Boa tarde,
Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.
Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?
[20] Comentário enviado por edivaldocaj em 10/09/2012 - 12:16h
[19] Comentário enviado por marlboro69 em 10/09/2012 - 12:01h:
Boa tarde,
Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.
Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?
Caro marlboro69,
na parte da instalação do fontes do squid pelo APT , voce deveria seguir ate # cd /usr/src/
logo após voce vera que foi criado uma pasta "squid-2.7.STABLE9" #cd /usr/src/squid-2.7.STABLE9
dentro desta pasta há varias pasta entre elas a pasta "debian" #cd /usr/src/squid-2.7.STABLE9/debian
Ao fim localize o arquivo "rules" dentro da pasta "debian"
Coloque o --enable-ssl \ na posição onde ele se encontra nesta parte do arquivo rules. Boa sorte, espero tê-lo ajudado..
$(opt_ac_cv_func_setresuid) \
./configure \
--prefix=/usr \
--exec_prefix=/usr \
--bindir=/usr/sbin --sbindir=/usr/sbin \
--libexecdir=/usr/lib/squid \
--sysconfdir=$(sysconfdir) \
--localstatedir=/var/spool/squid \
--datadir=/usr/share/squid \
$(with_pthreads) \
$(with_netfilter) \
$(with_arp_acl) \
$(with_epoll) \
--enable-removal-policies=lru,heap \
--enable-snmp \
--enable-delay-pools \
--enable-htcp \
--enable-ssl \
--enable-cache-digests \
--enable-underscores \
--enable-referer-log \
--enable-useragent-log \
--enable-auth="basic,digest,ntlm,negotiate" \
--enable-negotiate-auth-helpers=squid_kerb_auth \
--enable-carp \
--enable-follow-x-forwarded-for \
--with-large-files \
--with-maxfd=65536 \
$(DEB_HOST_ARCH_CPU)-debian-$(DEB_HOST_ARCH_OS)
Atenciosamente,
Edivaldo Cavalcante
Analista de Redes Sênior
Pós Graduando em Forense Computacional
[19] Comentário enviado por marlboro69 em 10/09/2012 - 12:01h:
Boa tarde,
Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.
Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?
Caro marlboro69,
na parte da instalação do fontes do squid pelo APT , voce deveria seguir ate # cd /usr/src/
logo após voce vera que foi criado uma pasta "squid-2.7.STABLE9" #cd /usr/src/squid-2.7.STABLE9
dentro desta pasta há varias pasta entre elas a pasta "debian" #cd /usr/src/squid-2.7.STABLE9/debian
Ao fim localize o arquivo "rules" dentro da pasta "debian"
Coloque o --enable-ssl \ na posição onde ele se encontra nesta parte do arquivo rules. Boa sorte, espero tê-lo ajudado..
$(opt_ac_cv_func_setresuid) \
./configure \
--prefix=/usr \
--exec_prefix=/usr \
--bindir=/usr/sbin --sbindir=/usr/sbin \
--libexecdir=/usr/lib/squid \
--sysconfdir=$(sysconfdir) \
--localstatedir=/var/spool/squid \
--datadir=/usr/share/squid \
$(with_pthreads) \
$(with_netfilter) \
$(with_arp_acl) \
$(with_epoll) \
--enable-removal-policies=lru,heap \
--enable-snmp \
--enable-delay-pools \
--enable-htcp \
--enable-ssl \
--enable-cache-digests \
--enable-underscores \
--enable-referer-log \
--enable-useragent-log \
--enable-auth="basic,digest,ntlm,negotiate" \
--enable-negotiate-auth-helpers=squid_kerb_auth \
--enable-carp \
--enable-follow-x-forwarded-for \
--with-large-files \
--with-maxfd=65536 \
$(DEB_HOST_ARCH_CPU)-debian-$(DEB_HOST_ARCH_OS)
Atenciosamente,
Edivaldo Cavalcante
Analista de Redes Sênior
Pós Graduando em Forense Computacional
[21] Comentário enviado por marlboro69 em 10/09/2012 - 13:45h
[20] Comentário enviado por edivaldocaj em 10/09/2012 - 12:16h:
[19] Comentário enviado por marlboro69 em 10/09/2012 - 12:01h:
Boa tarde,
Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.
Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?
Caro marlboro69,
na parte da instalação do fontes do squid pelo APT , voce deveria seguir ate # cd /usr/src/
logo após voce vera que foi criado uma pasta "squid-2.7.STABLE9" #cd /usr/src/squid-2.7.STABLE9
dentro desta pasta há varias pasta entre elas a pasta "debian" #cd /usr/src/squid-2.7.STABLE9/debian
Ao fim localize o arquivo "rules" dentro da pasta "debian"
Coloque o --enable-ssl \ na posição onde ele se encontra nesta parte do arquivo rules. Boa sorte, espero tê-lo ajudado..
$(opt_ac_cv_func_setresuid) \
./configure \
--prefix=/usr \
--exec_prefix=/usr \
--bindir=/usr/sbin --sbindir=/usr/sbin \
--libexecdir=/usr/lib/squid \
--sysconfdir=$(sysconfdir) \
--localstatedir=/var/spool/squid \
--datadir=/usr/share/squid \
$(with_pthreads) \
$(with_netfilter) \
$(with_arp_acl) \
$(with_epoll) \
--enable-removal-policies=lru,heap \
--enable-snmp \
--enable-delay-pools \
--enable-htcp \
--enable-ssl \
--enable-cache-digests \
--enable-underscores \
--enable-referer-log \
--enable-useragent-log \
--enable-auth="basic,digest,ntlm,negotiate" \
--enable-negotiate-auth-helpers=squid_kerb_auth \
--enable-carp \
--enable-follow-x-forwarded-for \
--with-large-files \
--with-maxfd=65536 \
$(DEB_HOST_ARCH_CPU)-debian-$(DEB_HOST_ARCH_OS)
Atenciosamente,
Edivaldo Cavalcante
Analista de Redes Sênior
Pós Graduando em Forense Computacional
Obrigado pela dica,
Eu consegui agora, mas estou enfrentando dificuldades por estar usando o squid 3.... assim que tiver exito eu posto aqui.
[20] Comentário enviado por edivaldocaj em 10/09/2012 - 12:16h:
[19] Comentário enviado por marlboro69 em 10/09/2012 - 12:01h:
Boa tarde,
Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.
Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?
Caro marlboro69,
na parte da instalação do fontes do squid pelo APT , voce deveria seguir ate # cd /usr/src/
logo após voce vera que foi criado uma pasta "squid-2.7.STABLE9" #cd /usr/src/squid-2.7.STABLE9
dentro desta pasta há varias pasta entre elas a pasta "debian" #cd /usr/src/squid-2.7.STABLE9/debian
Ao fim localize o arquivo "rules" dentro da pasta "debian"
Coloque o --enable-ssl \ na posição onde ele se encontra nesta parte do arquivo rules. Boa sorte, espero tê-lo ajudado..
$(opt_ac_cv_func_setresuid) \
./configure \
--prefix=/usr \
--exec_prefix=/usr \
--bindir=/usr/sbin --sbindir=/usr/sbin \
--libexecdir=/usr/lib/squid \
--sysconfdir=$(sysconfdir) \
--localstatedir=/var/spool/squid \
--datadir=/usr/share/squid \
$(with_pthreads) \
$(with_netfilter) \
$(with_arp_acl) \
$(with_epoll) \
--enable-removal-policies=lru,heap \
--enable-snmp \
--enable-delay-pools \
--enable-htcp \
--enable-ssl \
--enable-cache-digests \
--enable-underscores \
--enable-referer-log \
--enable-useragent-log \
--enable-auth="basic,digest,ntlm,negotiate" \
--enable-negotiate-auth-helpers=squid_kerb_auth \
--enable-carp \
--enable-follow-x-forwarded-for \
--with-large-files \
--with-maxfd=65536 \
$(DEB_HOST_ARCH_CPU)-debian-$(DEB_HOST_ARCH_OS)
Atenciosamente,
Edivaldo Cavalcante
Analista de Redes Sênior
Pós Graduando em Forense Computacional
Obrigado pela dica,
Eu consegui agora, mas estou enfrentando dificuldades por estar usando o squid 3.... assim que tiver exito eu posto aqui.
[22] Comentário enviado por removido em 14/09/2012 - 11:39h
Bom dia Amigo, já procurei uma solução para o meu problema em toda Internet e não encontrei nada..
E agora com as respostas positivas dos posts de nossos colegas aqui no seu artigo, estou muito empolgado pra fazer funcionar aqui na empresa, pois tem me dado muita dor de cabeça e não sei mais o que fazer..
Estou tentando usar seu método pra resolver meu problema mas quando vou criar certificados e chaves para o Squid, não consigo simplesmente diz que não existe o comando, uso Centos 6.2..
Por favor amigo, me ajude..
Grato desde já..
Bom dia Amigo, já procurei uma solução para o meu problema em toda Internet e não encontrei nada..
E agora com as respostas positivas dos posts de nossos colegas aqui no seu artigo, estou muito empolgado pra fazer funcionar aqui na empresa, pois tem me dado muita dor de cabeça e não sei mais o que fazer..
Estou tentando usar seu método pra resolver meu problema mas quando vou criar certificados e chaves para o Squid, não consigo simplesmente diz que não existe o comando, uso Centos 6.2..
Por favor amigo, me ajude..
Grato desde já..
[23] Comentário enviado por geraldowc em 07/11/2012 - 10:59h
Já alopraram com este "pseudo autor" demais, nem vou aloprar.
Vou só acrecentar que devemos respeitar os AUTORES e os LEITORES que não são palhaços.
Existe uma outra solução para proxy transparente com ssl ou NAT com senha de liberação e o navegador não precisa estar marcado, chama-se NatACL.
versão 3.0
http://natacl.sourceforge.net/
versão 2.0 ( mais facil de compilar)
http://packetstormsecurity.org/files/36604/NatACL.20050311.tar.gz.html
Já alopraram com este "pseudo autor" demais, nem vou aloprar.
Vou só acrecentar que devemos respeitar os AUTORES e os LEITORES que não são palhaços.
Existe uma outra solução para proxy transparente com ssl ou NAT com senha de liberação e o navegador não precisa estar marcado, chama-se NatACL.
versão 3.0
http://natacl.sourceforge.net/
versão 2.0 ( mais facil de compilar)
http://packetstormsecurity.org/files/36604/NatACL.20050311.tar.gz.html
[24] Comentário enviado por fabianounai em 28/11/2012 - 10:14h
Bom dia amigo, já fiz o teste diversas vezes na distro ubuntu com o squid3.1.19, fiz todos os passos o site http fucniona normal , porém quando acesso algum https da o seguinte erro
•Verifique se o endereço da Web https://get3.adobe.com está correto.
•Procure a página com seu mecanismo de pesquisa.
•Atualize a página em poucos minutos.
•Verifique se os protocolos TLS e SSL estão habilitados. Vá para Ferramentas > Opções da Internet > Avançadas > Configurações > Segurança
sabe o que pode ser?
Bom dia amigo, já fiz o teste diversas vezes na distro ubuntu com o squid3.1.19, fiz todos os passos o site http fucniona normal , porém quando acesso algum https da o seguinte erro
•Verifique se o endereço da Web https://get3.adobe.com está correto.
•Procure a página com seu mecanismo de pesquisa.
•Atualize a página em poucos minutos.
•Verifique se os protocolos TLS e SSL estão habilitados. Vá para Ferramentas > Opções da Internet > Avançadas > Configurações > Segurança
sabe o que pode ser?
[25] Comentário enviado por rsdamiao em 28/11/2012 - 14:49h
Gente, a solução mais segura que tive e que não meu deu nenhum problema foi usar o squid apenas como cache e o filtro eu usei o dansguardian. Assim independente ser for http ou https o filtro de conteúdo libero ou bloqueia a sua vontade, e quando bem configurado acaba com os falsos positivos.
Gente, a solução mais segura que tive e que não meu deu nenhum problema foi usar o squid apenas como cache e o filtro eu usei o dansguardian. Assim independente ser for http ou https o filtro de conteúdo libero ou bloqueia a sua vontade, e quando bem configurado acaba com os falsos positivos.
[26] Comentário enviado por fabianounai em 28/11/2012 - 15:24h
obrigado rsdamiao, eu não sabia que o dansguardian fazia o bloqueio por https, mesmo sendo proxy transparante ele bloqueia?
obrigado rsdamiao, eu não sabia que o dansguardian fazia o bloqueio por https, mesmo sendo proxy transparante ele bloqueia?
[27] Comentário enviado por lucas peregrino em 06/02/2013 - 11:27h
bom dia estou com problema nessa regra esta certo deste modo
openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt
bom dia estou com problema nessa regra esta certo deste modo
openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt
[28] Comentário enviado por edivaldocaj em 06/02/2013 - 11:40h
[27] Comentário enviado por lucas peregrino em 06/02/2013 - 11:27h:
bom dia estou com problema nessa regra esta certo deste modo
openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt
O comando esta Certo...qual erro é apresentado, pois pode se tratar de algum comando anterir que não funcionou na criação das chaves...
[27] Comentário enviado por lucas peregrino em 06/02/2013 - 11:27h:
bom dia estou com problema nessa regra esta certo deste modo
openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt
O comando esta Certo...qual erro é apresentado, pois pode se tratar de algum comando anterir que não funcionou na criação das chaves...
[29] Comentário enviado por lucas peregrino em 06/02/2013 - 20:35h
boa noite estou tendo problema em gerar o arquivo *deb ao compilar contudo estou usando o squid3 coloco --enable-ssl mais no final do arquivo esta dando erro.
squid3: possible-gpl-code-linked-with-openssl
boa noite estou tendo problema em gerar o arquivo *deb ao compilar contudo estou usando o squid3 coloco --enable-ssl mais no final do arquivo esta dando erro.
squid3: possible-gpl-code-linked-with-openssl
[30] Comentário enviado por removido em 10/02/2013 - 15:00h
[28] Comentário enviado por edivaldocaj em 06/02/2013 - 11:40h:
[27] Comentário enviado por lucas peregrino em 06/02/2013 - 11:27h:
bom dia estou com problema nessa regra esta certo deste modo
openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt
O comando esta Certo...qual erro é apresentado, pois pode se tratar de algum comando anterir que não funcionou na criação das chaves...
É -signkey. -sign.key é desconhecido.
Comando correto:
# openssl x509 -req -days 365 -in empresa.csr -signkey -out empresa.crt
[28] Comentário enviado por edivaldocaj em 06/02/2013 - 11:40h:
[27] Comentário enviado por lucas peregrino em 06/02/2013 - 11:27h:
bom dia estou com problema nessa regra esta certo deste modo
openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt
O comando esta Certo...qual erro é apresentado, pois pode se tratar de algum comando anterir que não funcionou na criação das chaves...
É -signkey. -sign.key é desconhecido.
Comando correto:
# openssl x509 -req -days 365 -in empresa.csr -signkey -out empresa.crt
[31] Comentário enviado por juno em 04/03/2013 - 17:12h
Olá amigos do VOL
Pelo que entendi aqui o squid com o proxy transparente irá fazer o filtro nas regras mesmo quando eles são enviados para o o HTPPS :
" iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129 "
e que vou precisar de um certificado no meu proxy para dizer as páginas certificadas podem ser consultadas:
" https_port 3129 transparent cert=/etc/squid/certificados/empresa.crt Key=/etc/squid/certificados/empresa.key "
É isso mesmo? Alguém tem isso funcionando?
Aguardo os comentários dos amigos
abraços,
Olá amigos do VOL
Pelo que entendi aqui o squid com o proxy transparente irá fazer o filtro nas regras mesmo quando eles são enviados para o o HTPPS :
" iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129 "
e que vou precisar de um certificado no meu proxy para dizer as páginas certificadas podem ser consultadas:
" https_port 3129 transparent cert=/etc/squid/certificados/empresa.crt Key=/etc/squid/certificados/empresa.key "
É isso mesmo? Alguém tem isso funcionando?
Aguardo os comentários dos amigos
abraços,
[32] Comentário enviado por mellofab em 08/05/2013 - 23:04h
Edivaldo,
Olá!
Estou com algum problema em seguir seu artigo. O caso é o seguinte. Esse comando de criar pacotes está dando erro: debuild -us -uc -b. E portanto não estou conseguindo criar os pacotes como voce sugere. Poderia me dizer como resolvo?
Agradeço a atenção.
Edivaldo,
Olá!
Estou com algum problema em seguir seu artigo. O caso é o seguinte. Esse comando de criar pacotes está dando erro: debuild -us -uc -b. E portanto não estou conseguindo criar os pacotes como voce sugere. Poderia me dizer como resolvo?
Agradeço a atenção.
[34] Comentário enviado por alansanto em 11/07/2013 - 16:35h
Boa tarde Srs,
Estou tendo o mesmo problema no momento final da compilação, quando eu executo o comando: "debuild -us -uc -b". O seguente erro e exibido.
make[2]: ** [md5.o] Erro 1
make[2]: Saindo do diretório `/usr/src/squid-2.7.STABLE9/lib'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/src/squid-2.7.STABLE9'
make: ** [build] Erro 2
dpkg-buildpackage: error: debian/rules build gave error exit status 2
debuild: fatal error at line 1357:
dpkg-buildpackage -rfakeroot -D -us -uc -b failed
Minha distribuição e Debian 7 com Squid 2.7. Alguem conseguiu gerar os arquivos .deb, concluir o processo ?
Muito Obrigado pela atenção de todos do VOL.
Boa tarde Srs,
Estou tendo o mesmo problema no momento final da compilação, quando eu executo o comando: "debuild -us -uc -b". O seguente erro e exibido.
make[2]: ** [md5.o] Erro 1
make[2]: Saindo do diretório `/usr/src/squid-2.7.STABLE9/lib'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/src/squid-2.7.STABLE9'
make: ** [build] Erro 2
dpkg-buildpackage: error: debian/rules build gave error exit status 2
debuild: fatal error at line 1357:
dpkg-buildpackage -rfakeroot -D -us -uc -b failed
Minha distribuição e Debian 7 com Squid 2.7. Alguem conseguiu gerar os arquivos .deb, concluir o processo ?
Muito Obrigado pela atenção de todos do VOL.
[35] Comentário enviado por wellesfreire em 13/07/2013 - 14:16h
Amigo no meu tudo deu certo mas como faço com o certificado fica pedindo direto as exceções alguém saberia como resolver ?
Amigo no meu tudo deu certo mas como faço com o certificado fica pedindo direto as exceções alguém saberia como resolver ?
[36] Comentário enviado por malacaia em 08/08/2013 - 16:50h
Abra o arquivo /usr/src/squid-versao/src/ssl_support.c e apenas remova as linhas (duas vezes):
case 2:
debug(83, 5) ("Using SSLv2.\n");
method = SSLv2_server_method();
break;
case 2:
debug(83, 5) ("Using SSLv2.\n");
method = SSLv2_client_method();
break;
fonte: http://dicassimplesubuntu.blogspot.com.br/2013/05/compilado-o-squid-27-no-ubuntu.html
Abra o arquivo /usr/src/squid-versao/src/ssl_support.c e apenas remova as linhas (duas vezes):
case 2:
debug(83, 5) ("Using SSLv2.\n");
method = SSLv2_server_method();
break;
case 2:
debug(83, 5) ("Using SSLv2.\n");
method = SSLv2_client_method();
break;
fonte: http://dicassimplesubuntu.blogspot.com.br/2013/05/compilado-o-squid-27-no-ubuntu.html
[37] Comentário enviado por m4tri_x em 02/09/2013 - 09:38h
openssl x509 -req -days 365 -in empresa.csr -signkey empresa.Key -out empresa.crt
openssl x509 -req -days 365 -in empresa.csr -signkey empresa.Key -out empresa.crt
[38] Comentário enviado por kepas em 20/09/2013 - 21:49h
Olá!
o meu retorna o seguinte erro:
2013/09/20 21:47:45| FATAL: tproxy/intercept on https_port requires ssl-bump which is missing.
FATAL: Bungled squid.conf line 85: https_port 3129 intercept cert=/etc/squid/ssl/openssl.crt key=/etc/squid/ssl/openssl.key
Squid Cache (Version 3.3.3): Terminated abnormally.
Olá!
o meu retorna o seguinte erro:
2013/09/20 21:47:45| FATAL: tproxy/intercept on https_port requires ssl-bump which is missing.
FATAL: Bungled squid.conf line 85: https_port 3129 intercept cert=/etc/squid/ssl/openssl.crt key=/etc/squid/ssl/openssl.key
Squid Cache (Version 3.3.3): Terminated abnormally.
[39] Comentário enviado por ninjabomba em 01/04/2014 - 17:20h
Pago um BlackLabel se isso funcionar com proxy Transparente..
Pago um BlackLabel se isso funcionar com proxy Transparente..
[40] Comentário enviado por fernandord em 24/06/2014 - 15:40h
No Debian 7.5 só compilou após instalar o libssl-dev....
A única diferença e que estou utilizando o source do squid3...
No Debian 7.5 só compilou após instalar o libssl-dev....
A única diferença e que estou utilizando o source do squid3...
[41] Comentário enviado por lucas peregrino em 07/12/2014 - 13:29h
Boa tarde depois de muito tempo ainda quebrando a cabeça hoje consigo funcionar os bloqueios no https so que tenho ainda problemas em relação certificado digital ao tentar acessar paginas da receita federal ou caixa economica não deixa aparecer para selecionar os certificados so isso que tenho a reclamar alguem mais ja conseguiu resolver.
Boa tarde depois de muito tempo ainda quebrando a cabeça hoje consigo funcionar os bloqueios no https so que tenho ainda problemas em relação certificado digital ao tentar acessar paginas da receita federal ou caixa economica não deixa aparecer para selecionar os certificados so isso que tenho a reclamar alguem mais ja conseguiu resolver.
[42] Comentário enviado por stremenx em 30/12/2015 - 16:51h
Boa tarde, como seria configurar no debian 8 pois não estou conseguindo.
Boa tarde, como seria configurar no debian 8 pois não estou conseguindo.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 64.871 pts -
Fábio Berbert de Paula
2° lugar - 48.294 pts -
Buckminster
3° lugar - 18.358 pts -
Mauricio Ferrari
4° lugar - 14.518 pts -
Alberto Federman Neto.
5° lugar - 13.254 pts -
Diego Mendes Rodrigues
6° lugar - 12.623 pts -
Daniel Lara Souza
7° lugar - 12.439 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.837 pts -
Andre (pinduvoz)
9° lugar - 10.612 pts -
edps
10° lugar - 10.250 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
