Configurando squid 3.3.

10 para Pfsense com filtro de SSL/HTTPS

Esta verso foi compilada pelo Marcelloc moderador do frum Pfsense (portugus
brasil), tem a funo de filtrar acessos SSL/https.
Foi testado na verso 2.1.3 Release do Pfsense, i386.
Se for utilizaro filtro ssl, necessrio criar uma CA (certificado) no pfsense e instalar o
certificado em cada estao de trabalho para evitar mensagens de erro de ssl para os
clientes.
Tambm necessrio que a opo Allow IPv6 esteja ativa em: Sytem -> advanced ->
Networking -> Allow IPv6.
Obs: Sites na whitelist no passam pelo filtro de SSL.

Criando certificado
No Pfsense clique em: System -> Certificate manager, em CAs -> boto (+) para
adicionar um certificado.
Descritive name: PROXY-CA
Method/create na internal certificate autority
Key lenght: 2048 bits
Digest algorithm: SHA256
Lifetime: 3650
Pas: brasil
Estado: so Paulo
Cidade: Guarulhos
Organizao: Empresa
Email: cleio.???@gmail.com
Common name: PROXY-CA
Salve, e ser criado o certificado CA.

Agora instale o pacote squid3-dev em System -> packages -> available packages.
Aps realizar a instalao abra o putty e acesse o servidor via ssh.

Logado no terminal basta instalar e copiar as bibliotecas faltantes de acordocom a

verso utilizada do Pfsense (i386/amd64).
Download das bibliotecas:

verso i386
Code: [Select]
fetch -o /usr/local/lib/libasn1.so.10 http://esac.siteseguro.ws/pfsense/8/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://esac.siteseguro.ws/pfsense/8/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://esac.siteseguro.ws/pfsense/8/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://esac.siteseguro.ws/pfsense/8/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://esac.siteseguro.ws/pfsense/8/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://esac.siteseguro.ws/pfsense/8/All/ldd/libroken.so.10

verso amd64
Code: [Select]
fetch -o /usr/local/lib/libasn1.so.10 http://esac.siteseguro.ws/pfsense/8/amd64/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://esac.siteseguro.ws/pfsense/8/amd64/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://esac.siteseguro.ws/pfsense/8/amd64/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://esac.siteseguro.ws/pfsense/8/amd64/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://esac.siteseguro.ws/pfsense/8/amd64/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://esac.siteseguro.ws/pfsense/8/amd64/All/ldd/libroken.so.10

Aps realizar a instalao e inserir as bibliotecas, configure o squid.

Em services -> proxy server, Aba Geral deixe da seguinte forma:

Aps configurar todos campos necessrios, salve e v at a Aba -> ACL:

Em Allowed subnets, insira sua rede como:

Salve!
Lembrando que necessrio que a opo Allow IPv6 esteja ativa em: Sytem ->
advanced -> Networking -> Allow IPv6.
Agora vamos realizar alguns bloqueios, em Service -> proxy server -> ACL -> Blacklist,
insira os domnios dos sites bloqueados, exemplo: youtube.com, facebook.com.
Para realizar o teste, pegue algum computador que esteja no mesmo range e com o
Pfsense como gateway e teste acessando alguns sites.
Voc vai perceber que ao acessar algum site bloqueado na blacklist com https, vai
aparecer uma mensagem estranha, necessrio adicionar o certificado que criamos
no inicio nos navegadores.
Primeiro baixe o certificado em System -> cert manager -> no certificado criado clique
o boto export CA cert ser feito o download.
Feito download vamos instalar, clique em abrir:

Instalar certificado, Avanar:

Selecione colocr todos os certificados no armazenamento.. -> Autoridade de

certificao raiz confivel.

Avanar e concluir.
Para voc ter certeza que est tudo certo, dever aparecer a seguinte mensagem no
final da instalao:

Aparecendo clique em Sim para finalizar.

Para ter certeza que o certificado instalou corretamente verifique no navegador,
exemplo Internet explorer se o certificado se encontra em:
Ferramentas -> opes da internet -> Contedo -> Certificado -> Autoridades de
certificao de raiz confivel, tem que estar aqui.
No Firefox preciso adicionar manualmente em: Ferramentas -> opes -> Avanado
-> Certificados -> Certificados -> Autoridades -> Importar, selecione o certificado CA do
Pfsense.
Vai aparecer a seguinte mensagem:

Marque todas as opes e clique em OK.

Para testarmos o bloqueio, faa um acesso a algum site Https bloqueado na blacklist,
dever aparecer a mensagem de bloqueio do squid3.
Obs: O nico site que tive problema para abrir foi o gmail.com, para solucionar, insira o
domnio na whitelist do squid.