Proxy SQUID + SSL

daemoncesaraol
(usa Outra)

Enviado em 02/12/2023 - 17:36h

Boa tarde,

Tenho um servidor squid rodando, e no firewall eu redireciono toda porta 443 para o proxy.

Quando digito uma página que esta em blacklist, ele não mostra o erro de "proibido o acesso" mas sim da um erro que não consegue conectar na página. (Funcionando ninguém acessa nem com http ou https) mas não consigo tratar o erro.

Outra dúvida é que estou bloqueando os downloads por proxy, e quando tem "https" na frente ele baixa o arquivo.

removido
(usa Nenhuma)

Enviado em 02/12/2023 - 19:40h

No proxy Squid você precisa (pelo menos até onde eu sei) usar certificados para conseguir filtrar endereços https. Você pode criar um certificado local usando openssl e incluí-lo no arquivo de configuração do Squid. Por exemplo (instale o pacote openssl), o comando abaixo vai gerar a chave privada e o certificado local, vai perguntar algumas coisas como país e tal, completo conforme a necessidade:

openssl req -newkey rsa:2048 -nodes -keyout chave-privada-criada.key -x509 -days 365 -out certificado-criado.crt

e coloque o arquivo criado no arquivo de configuração do Squid:

# Configurações SSL
https_port 443 cert=/caminho/para/certificado-criado.crt key=/caminho/para/chave-privada-criada.key

Já os downloads você pode experimentar colocar no arquivo de configuração do Squid para bloquear downloads por tipo de arquivo, como .mp3, .iso, .mp4 e assim por diante por acl, algo mais ou menos assim:

# Bloquear downloads de arquivos MP3 e ISO
acl blocked_files urlpath_regex -i \.mp3$ \.iso$
http_access deny blocked_files

Já usei muito o Squid, agora eu prefiro usar o PfSense, hehehehe...

Vejam meu canal no Youtube: https://www.youtube.com/@SidneiSerra-hq1zk
Se conseguiu resolver a sua dúvida, premie os usuários do fórum que doam seu tempo para tirar dúvidas marcando a melhor resposta.

daemoncesaraol
(usa Outra)

Enviado em 02/12/2023 - 20:54h

Boa noite, obrigada pela respsota.

Os downlodas eu deixo separado em um arquivo assim:

.bas$

.bat$

.bin$

.bin$

.bz2$

.cab$

.cdr$

.chm$

.cmd$

.cpl$

.crt$

.cue$

.dll$

.dmg$

.doc$

.exe$

.gz$

.hlp$

.hqx$

.hta$

.inf$

.ini$

.ins$

.iso$

.isp$

.lnk$

.mda$

.mdb$

.mde$

.mdt$

.mdw$

 

Agora referente ao SSL no squid não consegui.

Minha requisição é

acl SSL_ports port 443 563

 

Buckminster
(usa Debian)

Enviado em 02/12/2023 - 22:08h

Veja qual a versão do teu Squid, ele só intercepta SSL da maneira que tu quer a partir da versão 3.5:

https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit">https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit

https://wiki.squid-cache.org/ConfigExamples/
https://www.dicas-l.com.br/arquivo/personalizar_paginas_de_erro_do_squid.php#:~:text=Alterar%20as%20....


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

daemoncesaraol
(usa Outra)

Enviado em 03/12/2023 - 13:25h

Mas esta funcionando.. ele esta barrando etc..

o problema é que o erro não é "PROIBIDO ACESSO" .

Da erro que o acesso não está acessível.

Obs: A versão do squid é 3.5.12-1ubuntu7.16

removido
(usa Nenhuma)

Enviado em 03/12/2023 - 17:39h

Quais as eventuais páginas que ocorre esse erro de "não é possível conectar" em vez de "acesso bloqueado"? Você faz relatórios de acessos do seu proxy? Esse erro de página na black list que não pode ser visualizada também ocorre no PfSense com o relatório marcando "razão indeterminada", mesmo no NX Filter.

Vejam meu canal no Youtube: https://www.youtube.com/@SidneiSerra-hq1zk
Se conseguiu resolver a sua dúvida, premie os usuários do fórum que doam seu tempo para tirar dúvidas marcando a melhor resposta.

Buckminster
(usa Debian)

Enviado em 03/12/2023 - 17:52h

"(Funcionando ninguém acessa nem com http ou https) mas não consigo tratar o erro."

Como você quer tratar esse erro?
Seja bem específico.
O que você entende por "tratar o erro?
Não é aquele link que te enviei de configurar/personalizar a página de erro?
Pois se está funcionando é porque não tem erro, tem somente o tratamento da página que apresenta o bloqueio.
O que você entende por "tratar o erro?


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

removido
(usa Nenhuma)

Enviado em 03/12/2023 - 18:13h

@Buckminster , acho que ela quer que as páginas na blacklist mostrem aviso de página bloqueada (ou algo assim) por alguma razão em vez de ficar sem razão aparente, com aquele "aviso" de "a página não pode ser exibida".

Vejam meu canal no Youtube: https://www.youtube.com/@SidneiSerra-hq1zk
Se conseguiu resolver a sua dúvida, premie os usuários do fórum que doam seu tempo para tirar dúvidas marcando a melhor resposta.

removido
(usa Nenhuma)

Enviado em 03/12/2023 - 18:20h

Tente isso aqui:

https_port 443 cert=/caminho/para/certificado-criado.crt key=/caminho/para/chave-privada-criada.key ssl-bump acl SSL_ports port 443 563





Vejam meu canal no Youtube: https://www.youtube.com/@SidneiSerra-hq1zk
Se conseguiu resolver a sua dúvida, premie os usuários do fórum que doam seu tempo para tirar dúvidas marcando a melhor resposta.

daemoncesaraol
(usa Outra)

Enviado em 04/12/2023 - 14:32h

Preciso que quando acessa (por exemplo o facebook) ele envia para o usuario PROIBIDO O ACESSO.

No firewall a porta 443 redirecionei para porta do squid.

Ele bloqueia mas bloqueia o DNS etc.. não mostra a mensagem proibido o acesso.

Buckminster
(usa Debian)

Enviado em 04/12/2023 - 20:24h

Posta aqui a(s) ACL(s) que bloqueiam o facebook.
E, se puder, posta um print ou foto desse "erro que não consegue conectar na página".


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!