SQUID 3.5 Não mostra pagina de acesso negado do squid em conexões HTTPS

wesleymauricio
(usa Debian)

Enviado em 14/09/2016 - 14:01h

Configurei o squid 3.5, está funcionando, libera o acesso para sites liberados e bloqueia o acesso a sites que estão bloqueados, porem quando bloqueia algum acesso em paginas HTTPS, porta 443, ele não mostra a pagina do squid3 de erro informando que o acesso foi negado, o chrome da essa mensagem:

Não é possível acessar esse site

A página da web em https://www.facebook.com/ pode estar temporariamente indisponível ou pode ter sido movida permanentemente para um novo endereço da web.
ERR_TUNNEL_CONNECTION_FAILED.

Segue o squid.conf

acl tce url_regex tce.ro.gov.br

acl sigap url_regex sigap.tce.ro.gov.br

acl funasa url_regex funasa.gov.br



acl SSL_ports port 443

acl Safe_ports port 80          # http

acl Safe_ports port 21          # ftp

acl Safe_ports port 443         # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT

http_access allow tce sigap funasa

http_access deny !Safe_ports !tce !sigap !funasa



http_access deny CONNECT !SSL_ports !tce !sigap !funasa

http_access allow localhost manager

http_access deny manager



#acl liberados src "/etc/squid3/liberados"

#http_access allow liberados

acl video_liberados url_regex "/etc/squid3/video_liberados"

http_access allow video_liberados

acl ip_liberados url_regex "/etc/squid3/ip_liberados"

http_access allow ip_liberados

acl site_liberados url_regex "/etc/squid3/site_liberados"

http_access allow site_liberados

acl rede src 192.168.1.0/24

acl Skype_UA browser ^skype

http_access deny Skype_UA

acl ipacl url_regex http://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*

http_access deny ipacl !ip_liberados

acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+

http_access deny numeric_IPs !ip_liberados

acl acessaryoutube src "/etc/squid3/acessaryoutube"

acl youtube url_regex youtube

http_access deny youtube !acessaryoutube

acl facebook url_regex facebook

#acl acessarfacebook src "/etc/squid3/acessarfacebook"

#http_access deny facebook !acessarfacebook

http_access deny facebook

acl proibidos url_regex "/etc/squid3/bloqueados"

http_access deny proibidos

acl streaming rep_mime_type -i "/etc/squid3/mimeaplicativo"

acl proibir_musica urlpath_regex -i "/etc/squid3/audioextension"

#http_access deny proibir_musica !video_liberados

#http_reply_access deny streaming !video_liberados

http_access deny proibir_musica

http_access deny streaming



http_access allow rede

http_access allow localhost

http_access deny all



http_port 3128



cache_mem 512 MB



maximum_object_size_in_memory 1024 KB



maximum_object_size 8 MB



cache_dir ufs /var/spool/squid3 10000 16 256



cache_swap_low 90

cache_swap_high 95



error_directory /usr/share/squid3/errors/pt-br



 

renato_pacheco
(usa Debian)

Enviado em 14/09/2016 - 14:34h

O comportamento do Squid está normal. Acontece q quando bloqueia-se páginas HTTPS, o Squid não consegue entregar a página de erro pq ele não consegue interceptar a conexão SSL para isso. Caso vc queira habilitar isso, vc deve habilitar o SSL para Squid (intermediando a conexão HTTPS). Inclusive, no VOL mesmo há diversos artigos relacionados.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

wesleymauricio
(usa Debian)

Enviado em 14/09/2016 - 16:41h

Meu amigo, eu entendi o que vc quis dizer, mas acredito que essa solução que você disse seria para proxy transparente que não é o meu caso, pelo menos acredito que não.

renato_pacheco
(usa Debian)

Enviado em 14/09/2016 - 17:25h

Hahiuehiuaheiu! Vc confundiu o q eu disse. Quando disse "interceptar", não quis dizer transparente. Na verdade, é uma espécie de Man-In-The-Middle. O Squid seria uma CA para autenticar todos os sites seguros. Assim, ele consegue ler as URLs em HTTPS.

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

wesleymauricio
(usa Debian)

Enviado em 14/09/2016 - 20:11h

Segui um tutorial ensinando como habilitar o ssl, fiz tudo certo e continua do mesmo jeito.
O tutorial é esse: https://www.vivaolinux.com.br/artigo/Squid3-no-Debian-8-Jessie-com-suporte-a-filtro-de-paginas-HTTPS...

renato_pacheco
(usa Debian)

Enviado em 15/09/2016 - 08:30h

Blz. Esse é o primeiro passo. Agora, no seu Apache, habilite a porta 443 para mostrar páginas em HTTPS.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh