squid nao mostra pagina de erro quando bloqueia https [RESOLVIDO]

junior-123
(usa KUbuntu)

Enviado em 24/07/2013 - 18:22h

ola, montei um proxy. e parece tudo ok, mas quando um site que deve ser bloqueado eh acessado por https o squid não mostra a pagina de erro. alguem pode me ajudar?


quando esse bloqueio acontece o navegador mostra a mensagem: Firefox is configured to use a proxy server that is refusing connections.

segue meu squid.conf

 
http_port 3128		
visible_hostname Servidor_Proxy
error_directory /usr/share/squid3/errors/Portuguese

## configurações do cache ####################################

cache_mem 64 MB			
maximum_object_size_in_memory 64 KB		
maximum_object_size 200 MB		
cache_swap_low 90
cache_swap_high 95

# tamanhoMB QTdir QTsub-dir
cache_dir ufs /var/spool/squid3 2048 16 256 

cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
#                                tempo Min  %Alteracao  tempo Min
# tempo no cache		 verificar  paraSer     atualizarMesmoSem
#				 Alteracao  Atualizado  alteracao
refresh_pattern ^ftp:		  360	20%	10080
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		  10	20%	2280

## fim do cache ###############################################


## Configuração Autenticacao ##################################

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic credentialsttl 2 hour #tempo ate aunteticar denovo
auth_param basic realm Servidor Proxy, preencha seus dados!
acl autenticados proxy_auth REQUIRED

## fim da autenticacao ########################################


## regras de acesso  ##########################################

acl redes_permitidas src 192.168.2.0/24 127.0.0.1/32

http_access deny !redes_permitidas

acl localhost src 127.0.0.1/32

acl manager proto cache_object 		
http_access allow manager localhost
http_access deny manager

acl purge method PURGE			
http_access allow purge localhost 
http_access deny purge

acl Safe_ports port 21 70 80 210 280 443 488 563 591 631 777 873 901 1025-65535
http_access deny !Safe_ports

#conexao direta para portas seguras
acl connect method CONNECT
acl SSL_ports port 443 563 873 
http_access deny connect !SSL_ports

acl dominios_bloqueados dstdomain "/etc/squid3/bloqueios/dominios"
acl palavras_bloqueadas url_regex -i "/etc/squid3/bloqueios/palavras"
acl extencoes_bloqueadas urlpath_regex -i "/etc/squid3/bloqueios/extencoes"

acl diretores    proxy_auth "/etc/squid3/grupos_usuarios/diretores"
acl funcionarios proxy_auth "/etc/squid3/grupos_usuarios/funcionarios"

http_access allow diretores			
http_access deny dominios_bloqueados
http_access deny palavras_bloqueadas
http_access deny extencoes_bloqueadas
http_access allow funcionarios

http_access deny all

 

DouglasMenger
(usa XUbuntu)

Enviado em 12/11/2013 - 16:22h

Também estou procurando uma solução para isto.

Já fiz algumas pesquisas encontrei mais pessoas buscando uma resposta para isso mas nada de solução.

rotaviano
(usa CentOS)

Enviado em 25/11/2013 - 18:50h

a solucao é proxy autenticado

se vc usa proxy transparente sem chance

a nao ser q vc faca o bloqueio por iptables ou echo 127.0.0.1

cara...é o seguinte...

tambem uso proxy transparente e consegui resolver barrando pela string

barrar pela resolução de nomes

echo “127.0.0.1 facebook.com” >> /etc/hosts
echo “127.0.0.1 m.facebook.com” >> /etc/hosts
echo “127.0.0.1 www.facebook.com” >> /etc/hosts

pra mim deu certo...testa ae

abraço

ivoneyborges
(usa Debian)

Enviado em 14/02/2014 - 12:17h

Não consegui resolver este problema!!! Voce conseguiu?

roselio_jantara
(usa Debian)

Enviado em 14/02/2014 - 20:47h

Eu apanhei tanto do https que me contentei em apenas conseguir bloquear, bem na época que eles mudaram tinha acabado de montar 2 servidores proxy, se hoje ainda não tem muitas soluções imagine a 2 anos atrás!
Meu problema foi bloquear o Facebook,Twitter, Youtube e liberar os Bancos que também usam https (Porta 443), consegui por string no firewall.
E apesar de usar proxy transparente para que os ip's da diretoria naveguem sem bloqueio o proxy tem que estar setado no navegador! O restante navega oque ta na lista branca e bancos (https)sem problemas. Demorei 15 dias trabalhando 12 horas por dia pra chegar nesta solução!
Boa Sorte a vocês !

carlosrv
(usa Outra)

Enviado em 15/10/2016 - 19:36h

Alguem conseguiu alguma solução para o problema acima ?

gmj
(usa Ubuntu)

Enviado em 17/10/2016 - 10:18h

Bom dia,


Alguém encontrou alguma solução ?

Estou com o mesmo problema tb.
Não exibe a tela de bloqueio do squid nas paginas https, nas demais exibe.

Att

removido
(usa Nenhuma)

Enviado em 17/10/2016 - 10:42h

Isto não é um erro. O proxy não entrega a página de erro quando bloqueia um site usando https por que ele só consegue ler o endereço com a porta, por que o próprio navegador informa o endereço. por exemplo www.site.com.br:443.

Para saber por que isso ocorre leia está página que irá entender como ocorre a comunicação: http://www.web-cache.com/Writings/Internet-Drafts/draft-luotonen-web-proxy-tunneling-01.txt

Se quer que o proxy leia as informações para fazer filtros mais elaborados e o mesmo entregar as páginas de bloqueio do squid, o squid precisa trabalhar como man-in-the-middle.

GeekZilla
(usa CentOS)

Enviado em 26/10/2016 - 15:30h

Vou abrir um tópico dedicado mas como existe a dúvida neste tópico também:

Pessoal quem utiliza Squid + C-ICAP ou qualquer outro servidor ICAP provavelmente já se deparou com o seguinte problema:

Em um cenário onde com proxy não-transparente e sem certificados nas maquinas o Squid/ICAP retorna um erro que não é "entendido" pelo navegador que exibe uma mensagem própria como se o site estivesse fora do ar, o problema afeta também Endian Firewall, Pfsense e outras distribuições de FW.

Mas a solução foi encontrada pelo pessoal da Diladele, um server ICAP que também trabalha com o Squid mas tem apenas versão trial de 30 dias e comercial, tornando-o inviavel para quem trabalha apenas com Open Source.

Antes de mais nada segue a analise deles do problema:

Se na sua rede os navegadores utilizam um proxy explicito (Configurado no navegador, não transparente) ao navegar para um site HTTPS bloqueado a sequência de eventos abaixo ocorre:

1-O navegador estabelece uma conexão HTTP normal ao proxy server e envia o pedido CONNECT facebook.com:443 para configurar o tunel seguro ao Facebook.

2- O Squid intercepta este pedido e o redireciona ao servidor ICAP

3- O servidor ICAP "vê" que o dominio facebook.com está bloqueado e retorna um mensagem HTTPS "403 Blocked" ao Squid.

4- O Squid encaminha o "403 Blocked" de volta para o navegador

5- O Navegador espera receber o Handshake SSL do Facebook e ao invés disto vê um fluxo inesperado de bytes (a resposta 403) e mostra uma mensagem padrão do próprio navegador "Não é possível conectar ao site utilizando HTTPS" ao invés da página de erro do Squid.

A solução no caso é primeiro deixar o tunel CONNET ser bem sucedido e depois bloquear o primeiro pedido neste tunel.

O problema está sendo implementar a solução da Diladele no Endian e no Squid +ICAP utilizado pela comunidade em geral.

Perguntei ao Rafael da Diladele se o "segredo" eram somentes as ACLS que ele criou combinadas com SSL Bump já disponível no Squid e ele me disse que sim então a base seria o código abaixo

# No caso forçamos o sslbump a habilitar o bloqueio "atrasado" de túneis CONNECT, funciona apenas em modo não transparente, adicionando um header "X-SSL-Bump: force" ao pedido CONNECT

acl qlproxy_ssl_force_bump req_header X-SSL-Bump -i force
ssl_bump server-first qlproxy_ssl_force_bump
# bump all others by default
ssl_bump server-first all 

A diladele fornece uma vm já configura com o sistema (baixe a versão 4.7 que tem a licença trial válida ainda por 30 dias) para quem quiser analisar o funcionamento do sistema, testei aqui e realmente a mensagem de erro está sendo exibida, só lembre de marcar a opção no filtro do proxy.

Agora o negócio é implementar esta solução no Squid + qualquer servidor ICAP. Idéias pessoal?

Thanks!

(Meu Squid.conf atual "puro" sem as regras extras, já tentei algumas váriavies mas ainda sem sucesso, se no tempo do pessoal aqui analisar eu conseguir a solução, postarei aqui visto que é um problema que já tem anos e só agora veio uma solução prática que não envolva ter que instalar um certificado em cada máquina da rede, no meu caso com redes com 3/4 mil usuários é totalmente inviável especialmente porque nem todos estão no AD)

#        +------------------------------------------------------------------------------+
#        | Endian Firewall                                                              |
#        +------------------------------------------------------------------------------+
#        | Copyright (c) 2005-2006 Endian                                               |
#        |         Endian GmbH/Srl                                                      |
#        |         Bergweg 41 Via Monte                                                 |
#        |         39057 Eppan/Appiano                                                  |
#        |         ITALIEN/ITALIA                                                       |
#        |         info@endian.it                                                       |
#        |                                                                              |
#        | This program is free software; you can redistribute it and/or                |
#        | modify it under the terms of the GNU General Public License                  |
#        | as published by the Free Software Foundation; either version 2               |
#        | of the License, or (at your option) any later version.                       |
#        |                                                                              |
#        | This program is distributed in the hope that it will be useful,              |
#        | but WITHOUT ANY WARRANTY; without even the implied warranty of               |
#        | MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the                |
#        | GNU General Public License for more details.                                 |
#        |                                                                              |
#        | You should have received a copy of the GNU General Public License            |
#        | along with this program; if not, write to the Free Software                  |
#        | Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.  |
#        | http://www.fsf.org/                                                          |
#        +------------------------------------------------------------------------------+

shutdown_lifetime 1 seconds
icp_port 0

workers 1

# direct access - acls
acl to_proxy_port           port 8080 18080 18081
# proxy interfaces - acls
acl to_orange_interface    dst 192.168.2.240
acl to_green_interface    dst 192.168.174.249

acl from_orange          src "/etc/squid/acls/orange_subnets.acl"
acl to_orange            dst "/etc/squid/acls/orange_subnets.acl"
acl from_green          src "/etc/squid/acls/green_subnets.acl"
acl to_green            dst "/etc/squid/acls/green_subnets.acl"

tcp_outgoing_mark 0x20000000
tcp_preserve_outgoing_mark_mask 0x3fff8

#=== ORANGE zone setting ===
#=== ORANGE IP 192.168.2.240 ===
http_port 192.168.2.240:8080

#=== GREEN zone setting ===
#=== GREEN IP 192.168.174.249 ===
http_port 192.168.174.249:8080

nontransparent_spoof_client_ip allow all



dns_v4_first on

cache_effective_user squid

pid_filename /var/run/squid.pid

cache_mem 40 MB

cache_dir rock /var/spool/squid 500 max-size=32768

error_directory /usr/share/squid/errors/en

icon_directory /usr/share/squid/icons

max_filedesc 54140

server_persistent_connections off
half_closed_clients off
buffered_logs on

# START LOG
cache_log /var/log/squid/cache.log
access_log syslog:local6.info
cache_store_log none

strip_query_terms off

log_mime_hdrs off
# END LOG

# FORWARD IP ADDRESS
forwarded_for delete

# START AUTHENTICATION
# windows logon name for auth
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --configfile=/etc/samba/winbind.conf
auth_param ntlm children 45
auth_param ntlm keep_alive off
# domain user or auth
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --configfile=/etc/samba/winbind.conf
auth_param basic children 45
auth_param basic realm geekzilla.geek
#kerberos
auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --configfile=/etc/samba/winbind.conf --kerberos /usr/lib/squid/negotiate_kerberos_auth
auth_param negotiate children 45
auth_param negotiate keep_alive off

external_acl_type NT_global_group children-max=45 ttl=300 ipv4 %LOGIN /usr/lib/squid/wbinfo_group.pl
acl for_auth_rule0 external NT_global_group "/etc/squid/groups/rule0"
acl for_auth_rule1 external NT_global_group "/etc/squid/groups/rule1"
acl for_auth_rule2 external NT_global_group "/etc/squid/groups/rule2"

acl for_auth_users proxy_auth REQUIRED
# END AUTHENTICATION

# network - acls
acl from_all                src all
acl to_all                  dst all

acl from_localhost          src 127.0.0.1/32
acl to_localhost            dst 127.0.0.1/32
acl CONNECT                 method CONNECT

acl to_http_port            port 80
acl to_https_port           port 10443

# allowed ports - acls
acl allowed_ports       port "/etc/squid/acls/ports.acl"
acl allowed_sslports    port "/etc/squid/acls/sslports.acl"


acl within_timeframe_rule0 time MTWHFAS 00:00-24:00
acl using_mimetype_rule0 rep_mime_type "/etc/squid/acls/mimetypes_rule0.acl"
acl with_browser_rule0 browser (AOL)|(avantbrowser)|(Chrome)|(Firefox)|(FrontPage)|(Gecko)|(GetRight)|(Go!Zilla)|(Google\sToolbar)|(Iceweasel)|(Java)|(Konqueror)|(Lynx)|(MSIE.*[)]$)|(^Mozilla\/4.[7|8])|(Netscape)|(Opera)|(Safari)|(wget)|(Industry\sUpdate\sControl)|(Windows\sUpdate)|(Service\sPack\sSetup)|(Progressive\sDownload)|(Windows-Update-Agent)|(Windows\sUpdate\sAgent)|(APT-HTTP/1\.3)|(urlgrabber)
acl within_timeframe_rule1 time MTWHFAS 00:00-24:00
acl within_timeframe_rule2 time MTWHFAS 00:00-24:00

# caching settings
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern .            0 20% 4320

cache deny      from_localhost
cache deny      CONNECT
cache allow     from_all

# http access to cachemanager
acl cachemanageracl proto cache_object
http_access allow cachemanageracl from_localhost
http_access deny cachemanageracl

# snmp access settings
snmp_port 3401
acl snmppublic snmp_community public
snmp_access allow snmppublic from_localhost
snmp_access deny from_all

# http access to squid
http_access deny    to_localhost
http_access allow   from_localhost
http_access allow   from_green to_green_interface to_http_port
http_access allow   from_green to_green_interface to_https_port
http_access allow   CONNECT from_green to_green_interface to_https_port
http_access deny    to_orange_interface to_https_port
http_access deny    to_orange_interface to_proxy_port
http_access deny    to_green_interface to_https_port
http_access deny    to_green_interface to_proxy_port

http_access deny    !allowed_ports !allowed_sslports
http_access deny    CONNECT !allowed_sslports

http_access deny   within_timeframe_rule0 for_auth_rule0 with_browser_rule0 using_mimetype_rule0 
http_access allow   within_timeframe_rule1 for_auth_rule1   
http_access allow   within_timeframe_rule2 for_auth_rule2   
http_access deny    from_all

# http reply access rules
http_reply_access allow from_localhost
http_reply_access deny   within_timeframe_rule0 for_auth_rule0 with_browser_rule0 using_mimetype_rule0 
http_reply_access allow   within_timeframe_rule1 for_auth_rule1   
http_reply_access allow   within_timeframe_rule2 for_auth_rule2   
http_reply_access deny from_all

# max/min object size
maximum_object_size 1024 KB
minimum_object_size 0 KB

reply_body_max_size 300000 KB from_all

visible_hostname proxy01.geekzilla.rdc



icap_enable on
icap_service_revival_delay 30
icap_service_failure_limit -1
icap_preview_enable on
icap_preview_size    128
icap_send_client_ip  on
icap_send_client_username  on

include /etc/squid/squid.conf.d/*.conf

adaptation_access service_cf_req deny cachemanageracl

# icap contentfilter access control
# rule 0 - 
adaptation_access service_cf_req deny   within_timeframe_rule0 for_auth_rule0 with_browser_rule0 using_mimetype_rule0
# rule 1 - adminsrede
adaptation_access service_cf_req allow   within_timeframe_rule1 for_auth_rule1  
adaptation_meta X-Profile profileadminsrede   within_timeframe_rule1 for_auth_rule1  
# rule 2 - domain_users
adaptation_access service_cf_req allow   within_timeframe_rule2 for_auth_rule2  
adaptation_meta X-Profile profiledomain_users   within_timeframe_rule2 for_auth_rule2  
# default deny - only allow defined traffic
adaptation_access service_cf_req deny all