Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - Hermosillo

Pages: [1]
1
Cache/Proxy / Re: Blocked page by Squid Proxy is not Squid's default page
« on: February 23, 2018, 12:31:09 pm »
how to even get the behavior on the second pic? I thought HTTPS sites couldn't show the squid error page.

For the first problem:

try to modify the option protocol inside webConfigurator located in System/Advanced/Admin Access. Change it to HTTP (not advised but I don't know how else to bypass it)

2
Español / Re: Error en informes de LightSquid Proxy Transparent
« on: February 23, 2018, 12:08:31 pm »
Es interesante la cuestión planteada, a ver intenta esto:

https://forum.pfsense.org/index.php?topic=121387.0

es una versión de pfsense anterior por lo que no sé si habrá que modificar algo extra. Me dices si se pudo para realizarlo también (a mi no me urge tanto jaja)

3
Español / Re: problema al poner configuracion en proxy + ssl filter
« on: February 22, 2018, 09:17:16 am »
Hola que tal,

trata modificar la opción protocol dentro de la sección webConfigurator en System/Advanced/Admin Access. Ponle HTTP.

No he encontrado solución para dejarlo en HTTPS y que me muestre la página de acceso denegado custom para páginas HTTP.

Los errores custom para páginas HTTPS de plano no funciona por que así están diseñados los navegadores (cortan túnel seguro una vez que no reciben respuesta esperada). Te dará un error genérico dependiendo del navegador.

Saludos!

4
Español / Re: Squidguard Groups ACL - Usando Hostname
« on: February 21, 2018, 06:30:43 pm »
Si, creo que tendré que hacerle así con las ip estáticas ya que no he encontrado como hacer las listas por hostname y llevo bastante buscando. El AD apenas lo voy a implementar, espero que no truene nada jaja.

Gracias y saludos!

5
Español / Squidguard Groups ACL - Usando Hostname
« on: February 21, 2018, 06:03:33 pm »
Hola,

Tengo una duda: Se puede utilizar el hostname de un equipo para hacer grupos de listas de control de acceso en squidguard? esto por que en la LAN que tengo, las ip de los usuarios son dinámicas, solo los server e impresoras están fijas, pero no encuentro opción para que squidguard me reconozca el hostname de un equipo para que quede exento de los bloqueos implementados a la red. Están bloqueados ciertos sitios y al agregar la ip que en ese momento tiene el equipo en la sección "Proxy filter SquidGuard: Groups Access Control List (ACL)/Edit/Groups ACL/Clients(source)" todo funciona correctamente, el equipo que tiene la ip introducida en ese campo puede entrar a los sitios bloqueados para los demás que no están en ese grupo acl.

O en definitiva tendré que usar ip estáticas?

Saludos!

6
Interested in this.

How is the port forward configured in WAN? if WAN only has the port forward configured, it makes sense that it only works when WAN is configured as default gateway, right? I have two WAN's and have set up the same port forward in both. So try to replicate the rule on both interfaces? or maybe I'm not understanding the problem right.

7
Cache/Proxy / Re: Squid MITM SquidGuard Not Showing Default Error Page?
« on: February 16, 2018, 10:21:14 am »
Here is the answer I think, but I can't decipher it:

Delayed error responses

When Squid fails to negotiate a secure connection with the origin server and bump-ssl-server-first is enabled, Squid remembers the error page and serves it after establishing the secure connection with the client and receiving the first encrypted client request. The error is served securely. The same approach is used for Squid redirect messages configured via deny_info. This error delay is implemented because (a) browsers like FireFox and Chromium do not display CONNECT errors correctly and (b) intercepted SSL connections must wait for the first request to serve an error.
Furthermore, when Squid encounters an error, it uses a trusted certificate with minimal properties to encrypt the connection with the client. If we try to mimic the true broken certificate instead, the user will get a browser error dialog and then, if user allows, the Squid error page with essentially the same (and possibly more detailed/friendly) information about the problem. Using a trusted certificate avoids this "double error" effect in many cases. And, after all, the information is coming from Squid and not the origin server so it is kind of wrong to mimic broken origin server details when serving that information.
Squid closes the client connection after serving the error so that no requests are sent to the broken server.
It is important to understand that Squid can be configured to ignore or tolerate certain SSL connection establishment errors using sslproxy_cert_error. If the error is allowed, Squid forgets about the error, mimics true broken certificate properties, and continues to talk to the server. Otherwise, Squid does not mimic and terminates the server connection as discussed above. Thus, if you want users to see broken certificate properties instead of Squid error pages, you must tell Squid to ignore the error.


from https://wiki.squid-cache.org/Features/MimicSslServerCert

8
Español / Re: problema con Squid+ SquidGuard+Wpad
« on: February 12, 2018, 07:15:56 pm »
Bueno, yo soy nuevo en esto de pfsense. Te pongo una captura de mis reglas que hasta el momento ha funcionado. Lo único que se me ocurre es lo más básico: si le diste guardar y aplicar en squidguard al modificar alguna opción, si verificaste que puedes descargar los archivos .pac y .dat de tu equipo pfsense y si eliminaste los STATES activos.

Te comento las características de mi setup en particular de pfsense+squid+squidguard
-El pfsense es mi DHCP y DNS resolver (no creo que esto esté bien pero por el momento lo he dejado así)
-Está configurado wpad en otra instancia de nginx en puerto 80 (por eso la regla de paso de dicho puerto esta dirigida al firewall)
-Proxy transparente sin Man-in-the-middle
-El load balance no me funciona con squid, todo se va por el gateway por default (sigo investigando)
-El alias ipaccess443 es para IP's que necesito que se vayan directo (no estoy seguro que tenga que utilizar esta regla aquí, ya que por el momento solo tengo una aplicación que requiere de libre paso por puerto 443, la cuál por suerte trae integrada una opción de utilizar proxy ya que no me funcionó esta regla en un principio pero igual la dejé ahí)
-Si le quito detectar automáticamente proxy en cualquier navegador de cualquier cliente dentro de la LAN, ya no puedo navegar.
-Si cambio los DNS manualmente en el adaptador de red, igual se va por el pfsense

9
Español / Re: AYUDA PARA REVISAR MULTIWAN
« on: February 12, 2018, 01:05:58 pm »
Hola, muchas gracias por la ayuda.

Ya revisé el video y otros de los relacionados que te recomienda al finalizar...

Lo extraño es que lo tengo prácticamente igual...

Sin embargo siento que mi red se satura, que va lenta y las gráficas de consumo no superan los 15 Mbps, cuando tengo enlaces de hasta 200 Mbps, se que es teórico, pero es demasiado lo que se cae.
  • Ya tengo mi grupo de Gateways
  • Los tengo en Tier 1 (ambos)
  • Manejo Proxy, y todos tienen salida por la MultiWan (Tal vez habrá que revisar algo en este punto)

Hola,
Que Proxy estás utilizando?

10
Cache/Proxy / Re: Squid MITM SquidGuard Not Showing Default Error Page?
« on: February 10, 2018, 11:42:19 am »
maybe this can help

http://www.squid-cache.org/Doc/config/ssl_bump/

By using bump and then action "terminate" maybe, don't know, as I've said I don't understand much.

11
Español / Re: problema con Squid+ SquidGuard+Wpad
« on: February 09, 2018, 05:28:38 pm »
Hola,

Bueno la solución que dan en algunos tutoriales es bloquear el puerto 443 y el 80 para interfaz LAN. Si deshabilitan la opción de detección automática, no podrán navegar. Deben de quedar debajo de la regla de PROXY que tienes. Yo solo tengo bloqueado el 443 por que el 80 lo redirijo a la ip local por que configure otra instancia de nginx para que sirviera el WPAD en el puerto 80.

Saludos.

12
Español / Re: Mejor esquema Multi-Wan + Proxy Squid
« on: February 09, 2018, 10:35:37 am »
Hola,

Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso).

Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP.

Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo.

Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo.

Te hago un resumen por si te ayuda:
- Tienes que crear un grupo de Gateways con las tres WAN
- Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas).

Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea:
Code: [Select]
tcp_outgoing_address 127.0.0.1
Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto.

Un saludo.

Hola,

Solo quisiera saber su probaste este setup desconectando una o dos redes de la caja pfsense y ver si pudiste seguir navegando? o si falta alguna configuración extra como reglas flotantes en el firewall etc.

13
Cache/Proxy / Re: Squid MITM SquidGuard Not Showing Default Error Page?
« on: February 08, 2018, 11:55:26 am »
Hi,

This is a known behaviour from the browsers since a long time ago (2009), you can't redirect HTTPS connections. As I understand it, the client tries to conect to the destination via HTTPS and when it doesn't receives the expected "handshake" it drops the encrypted tunnel completely, thus, you can't send a redirection instruction. https://bugzilla.mozilla.org/show_bug.cgi?id=493699

However, after doing some research I found this statement:

"fixes this issue by first letting the CONNECT tunnel succeed and later blocking first request on this tunnel. Now users are able to see Blocked Page in HTTPS request too!" from: https://docs.diladele.com/faq/squid/cannot_connect_to_site_using_https.html


"Please note if you first let the connect tunnel to succeed (forcing bump) and then block the next coming request through that tunnel - you will get the blocked message displayed.

We do it in ICAP (https://docs.diladele.com/faq/squid/cannot_connect_to_site_using_https.html) - other community members may know better if it is possible to do that in Squid directly.

Beware of those using your tunnels to pump non http traffic though. Blocking the connect as it is done now in Squid keeps you on safe side.
"


https://wiki.squid-cache.org/Features/ICAP

This is all chinese to me, so I hope a more intelligent person can help us to understand if it can be done with a bit of work in squid.

14
Hi,

I managed to make it work by implementing another recurrent instance of nginx following another guide I found on the internet (I don't know if I'm allowed to post external links so I won't).

it seems to be working so far with 2 WAN's in load balance mode and it is filtering both http and https it seems with out MitM.

Thanks!

15
Hi, thanks for this guide it has helped me a lot, bear with me pls no bully, I just installed pfsense

"the wpad will be setup to use port 80 and 443. The transperrent proxy is going to catch every thing that the wpad misses, enable transperrent proxy in squid once you have the wpad setup."

shouldn't be "the proxy will be setup..."?

Guide is missing configuration of mime type, I don't know which file to edit. I've read other guides and most of them say something about adding mime types for .da, .dat and .pac (if it's not there already)

Anyways, my problem is that I cannot download the files so no HTTPS filtering for me. I've made a folder inside www called wpad "www/wpad"
I cannot reach wpad.mydomain.local/wpad/wpad.da nor any other. Ping to wpad.mydomain.local responds to firewall IP

It's probably something dumb like a firewall rule but I can't see it.

-I have changed access to GUI to port 9999 and HTTP
-squid and squidguard services up
-with MiTM enabled I can't access HTTPS sites (because no downloading of proxy files I guess)
-Im running pfblocker too
-pfsense is my DHCP and DNS server
-have two WAN (I've read it squid proxy doesn't work with dual wan but it is blocking http OK like this)

Can you help me to realize whats wrong with the downloading of files for wpad?

thanks.

Pages: [1]