{"id":234,"date":"2019-08-02T11:14:03","date_gmt":"2019-08-02T14:14:03","guid":{"rendered":"http:\/\/xaxowareti.com.br\/?p=234"},"modified":"2019-08-02T11:14:03","modified_gmt":"2019-08-02T14:14:03","slug":"proxy-http-https-squidguard-sgerror-php-wpad-via-dhcp-e-dns-100","status":"publish","type":"post","link":"https:\/\/xaxowareti.com.br\/?p=234","title":{"rendered":"Proxy HTTP\/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%"},"content":{"rendered":"\n

Esse \u00e9 pra voc\u00ea que tentou tutorias de diversos locais e sempre parava pela metade, devido a erros ou falta de informa\u00e7\u00f5es.<\/p>\n\n\n\n

Fiz um ambiente 100% funcional e venho compartilhar com voc\u00eas.<\/p>\n\n\n\n

Cen\u00e1rio:<\/strong><\/p>\n\n\n\n

pfSense  2.3 +
package Squid
package SquidGuard
LAN  192.168.1.1\/24
pfsense.localdomain<\/p>\n\n\n\n

***** Validado nas vers\u00f5es: 2.3.X  ***<\/p>\n\n\n\n

*** Validado nas vers\u00f5es 2.4.X em 27\/10\/2017 ***<\/p>\n\n\n\n

*** N\u00e3o testei em vers\u00f5es anteriores  *****<\/p>\n\n\n\n

Utilizo (e recomendo) a webGUI em HTTPS, por quest\u00f5es de seguran\u00e7a.  Por\u00e9m, haviam problemas com sgerror.php do squidguard quando utilizado desta maneira (mas vamos contorn\u00e1-los!). Neste guia, estou utilizando HTTPS – porta 9443.<\/p>\n\n\n\n

Preparando o ambiente<\/strong><\/p>\n\n\n\n

System > General Setup<\/p>\n\n\n\n

Escolha os servidores DNS de sua prefer\u00eancia, no meu caso, utilizei 8.8.8.8 e 8.8.4.4.
Desmarcar o \u201cDisable DNS Forwarder\u201d, pois vamos utilizar este servi\u00e7o para fornecer o WPAD via DNS, atingindo qualquer navegador.<\/p>\n\n\n\n

System > Advanced > Admin Access<\/p>\n\n\n\n

Habilite o acesso  SSH<\/p>\n\n\n\n

System > Cert. Manager<\/p>\n\n\n\n

Adicione um novo CA para utiliza\u00e7\u00e3o no Man-In-The-Middle do Squid posteriormente<\/p>\n\n\n\n

Descriptive Name: Escolha um nome para sua CA. Este nome ser\u00e1 vis\u00edvel para os clientes.
Method:  Selecione \u201cCreate an internal Certificate Authority\u201d no menu dropdown.
Key length: \u00c9 recomendado 2048 para m\u00e1xima compatibilidade
Digest Algorithm \u2013 use SHA256 ou superior.
LifeTime \u2013 Configure para 3650 dias (10 anos).
Distinguished Name \u2013 Preencha todos os campos como Country, State, etc.<\/p>\n\n\n\n

Salve<\/p>\n\n\n\n

Services > DNS Resolver<\/p>\n\n\n\n

Por padr\u00e3o, o PF habilita este servi\u00e7o. Desative, pois vamos configurar atrav\u00e9s do DNS Forwarder<\/p>\n\n\n\n

Services > DNS Forwarder<\/p>\n\n\n\n

Habilite o DNS forwarder
Marque    DNS Query Forwarding    –  Query DNS servers sequentially
Interfaces \u2013 LAN
Marque  Strict binding<\/p>\n\n\n\n

Em custom options, adicione as seguintes instru\u00e7\u00f5es:<\/p>\n\n\n\n

dhcp-option=252,http:\/\/192.168.1.1\/proxy.pac\ndhcp-option=252,http:\/\/192.168.1.1\/wpad.dat\ndhcp-option=252,http:\/\/192.168.1.1\/wpad.da\n<\/code><\/pre>\n\n\n\n
Vamos adicionar um host em \u201cHost Overrides\u201d<\/p>\n\n\n\n
Add
Host = wpad
Domain = localdomain (altere para o dom\u00ednio que voc\u00ea tenha configurado)
IP Address = 192.168.1.1<\/p>\n\n\n\n
Salve as configura\u00e7\u00f5es feitas.<\/p>\n\n\n\n
Services > DHCP Server<\/p>\n\n\n\n
DNS Server 1 =  192.168.1.1  (A resolu\u00e7\u00e3o de nomes ser\u00e1 controlada pelo pr\u00f3prio  pfSense)<\/p>\n\n\n\n
Additional BOOTP\/DHCP Options \u2013 Adicione 3 entradas  252<\/p>\n\n\n\n
252  –  text  –  http:\/\/192.168.1.1\/wpad.dat<\/a>
252  –  text  –  http:\/\/192.168.1.1\/wpad.da<\/a>
252  –  text  –  http:\/\/192.168.1.1\/proxy.pac<\/a><\/p>\n\n\n\n
Vamos preparar o NGINX para subir uma 2\u00ba inst\u00e2ncia, para servir o WPAD e o sgerror.php na porta 80.<\/p>\n\n\n\n
\n\n\n\n
Anteriormente, eram realizados diversos comandos no SHELL para este prop\u00f3sito, mas foram substitu\u00eddos por este pacote (WPAD – n\u00e3o oficial<\/a>), criado pelo Marcelloc, que ser\u00e1 instalado no passo a seguir.<\/p>\n\n\n\n
\n\n\n\n
M\u00e3os a obra!<\/p>\n\n\n\n
Entrar pelo Putty no PFSense e com usu\u00e1rio root, na tela de op\u00e7\u00f5es escolher a op\u00e7\u00e3o 8.<\/p>\n\n\n\n
Habilitar o reposit\u00f3rio n\u00e3o oficial (DE ACORDO COM SUA VERS\u00c2O):<\/p>\n\n\n\n
2.3.X 32 bits<\/strong><\/p>\n\n\n\n
fetch -q -o \/usr\/local\/etc\/pkg\/repos\/Unofficial.conf https:\/\/raw.githubusercontent.com\/marcelloc\/Unofficial-pfSense-packages\/master\/Unofficial.conf\n<\/code><\/pre>\n\n\n\n
2.3.X 64 bits<\/strong><\/p>\n\n\n\n
fetch -q -o \/usr\/local\/etc\/pkg\/repos\/Unofficial.conf https:\/\/raw.githubusercontent.com\/marcelloc\/Unofficial-pfSense-packages\/master\/Unofficiali386.conf\n<\/code><\/pre>\n\n\n\n
2.4.X 64 bits<\/strong><\/p>\n\n\n\n
fetch -q -o \/usr\/local\/etc\/pkg\/repos\/Unofficial.conf https:\/\/raw.githubusercontent.com\/marcelloc\/Unofficial-pfSense-packages\/master\/Unofficial.24.conf\n\n<\/code><\/pre>\n\n\n\n
Fazer update dos reposit\u00f3rios:<\/p>\n\n\n\n
pkg update -f\n<\/code><\/pre>\n\n\n\n
Agora ir\u00e1 aparecer o pacote WPAD para download no Gerenciador de Pacotes. Fa\u00e7a a instala\u00e7\u00e3o.<\/p>\n\n\n\n
Este pacote cria a 2\u00aa inst\u00e2ncia do NGINX, os arquivos WPAD e os diret\u00f3rios respectivos.<\/p>\n\n\n\n
Na webGUI, acesse o menu SERVICES > WPAD  |  Adicione a interface (geralmente LAN) e salve.<\/p>\n\n\n\n
Feito isto, acesse em um navegador que esteja na rede LAN para confirmar o funcionamento:<\/p>\n\n\n\n
\nhttp:\/\/192.168.1.1\/wpad.dathttp:\/\/192.168.1.1\/wpad.dahttp:\/\/192.168.1.1\/proxy.pac\n<\/div><\/figure>\n\n\n\n
Vai baixar os arquivos, ou apresentar o conte\u00fado na pr\u00f3pria p\u00e1gina web (dependendo o navegador e as configura\u00e7\u00f5es).<\/p>\n\n\n\n
Se voc\u00ea chegou at\u00e9 aqui, com tudo funcionando, significa que o ambiente est\u00e1 preparado para receber as configura\u00e7\u00f5es do squid e squidguard!<\/p>\n\n\n\n
Services > Squid Proxy Server<\/p>\n\n\n\n
Lembrando que deve-se configurar o Local Cache para poder ativar as configura\u00e7\u00f5es do squid.<\/p>\n\n\n\n
Habilite o squid
Marque a op\u00e7\u00e3o  – Resolve DNS IPv4 First
Transparent HTTP Proxy\u2013 Deixe DESMARCADO
HTTPS\/SSL Interception \u2013 Deixe MARCADO
Porta 3128 (sim, a mesma porta!)
CA \u2013 selecione o certificado criado l\u00e1 no in\u00edcio
SSL Certificate Deamon Children \u2013 25
Remote Cert Checks  – Selecione este:    Accept remote server certificate with erros
Certificate Adapt \u2013 Selecione estes 2:  Set \u201cNot After\u201d  |  Set \u201cNot Before\u201d<\/p>\n\n\n\n
E agora o segredo:<\/p>\n\n\n\n
Em Show Advanced Options, na caixa Integrations, coloque isto:<\/p>\n\n\n\n
ssl_bump none all<\/p>\n\n\n\n
Salve as configura\u00e7\u00f5es.<\/p>\n\n\n\n
Services > SquidGuard Proxy Filter<\/p>\n\n\n\n
Habilite o servi\u00e7o
Marque as 3 op\u00e7\u00f5es de LOG
Habilite a blacklist e coloque o link da mais conhecida:  http:\/\/www.shallalist.de\/Downloads\/shallalist.tar.gz<\/a>
Salve<\/p>\n\n\n\n
Va na guia Target Categories
Adicione uma nova
Nome \u2013 BRADESCO
Regular Expression \u2013 bradesco
Marque o log da ACL<\/p>\n\n\n\n
Salvar<\/p>\n\n\n\n
Porque Bradesco? O site do bradesco fica dando refresh sozinho, alternando entre bradesco.com.br<\/a> e banco.bradesco.
Com isso resolve o problema, j\u00e1 que somos obrigado a criar uma Target Categorie pro SG ficar 100%, matamos 2 coelhos numa cajadada s\u00f3!<\/p>\n\n\n\n
Blacklist<\/p>\n\n\n\n
Fa\u00e7a o download da shallalist e aguarde o processo finalizar.<\/p>\n\n\n\n
Common ACL<\/p>\n\n\n\n
Clique no bot\u00e3o + ao lado de TargetRules List e deixe a categoria BRADESCO como ALLOW
Defina as outras categorias de acordo com sua necessidade
Redirect mode \u2013 ext url err page(enter URL)
Redirect info –  http:\/\/192.168.1.1\/sgerror.php?url=302 &a=%a&n=%n&i=%i&s=%s&t=%t&u=%u<\/a>
Marque o log e salve<\/p>\n\n\n\n
DICA: Para aparecer a categoria corretamente na p\u00e1gina de bloqueio, voc\u00ea deve deixar expl\u00edcito a a\u00e7\u00e3o DENY nas ACLs. Se deixar o “tra\u00e7o” para pegar a pol\u00edtica padr\u00e3o, a categoria n\u00e3o ser\u00e1 exibida!<\/strong><\/p>\n\n\n\n
Volte para General Settings e de um APPLY<\/p>\n\n\n\n
Finalizado o t\u00e3o sonhado proxy ativo de forma \u201ctransparente\u201d.<\/p>\n\n\n\n
DICA: Fa\u00e7a bloqueio das portas 80 e 443 na sa\u00edda da LAN, para for\u00e7ar que a navega\u00e7\u00e3o saia somente pelo proxy!<\/strong><\/p>\n\n\n\n
Note que n\u00e3o ser\u00e1 necess\u00e1rio instalar o certificado nas esta\u00e7\u00f5es;<\/p>\n\n\n\n
N\u00e3o ser\u00e1 necess\u00e1rio cadastrar o proxy no navegador (Deixar op\u00e7\u00e3o detectar automaticamente marcada);<\/p>\n\n\n\n
Funciona para qualquer browser, Chrome, IE, Firefox, Opera, etc\u2026<\/p>\n\n\n\n
**Obs1: Caso n\u00e3o tenha funcionado, observe todos os passos atentamente<\/p>\n\n\n\n
Obs2: Os tratamentos para libera\u00e7\u00e3o e bloqueio de conte\u00fado ser\u00e3o feitos todos no squidGuard<\/p>\n\n\n\n
Obs3: N\u00e3o funciona para dispositivos mobiles (Android \/ iOS \/ WindowsPhone), a n\u00e3o ser que voc\u00ea configure manualmente nos aparelhos,
o que torna invi\u00e1vel. Neste caso, a solu\u00e7\u00e3o seria isolar a rede wifi com VLAN\/Captive Portal**<\/p>\n\n\n\n
Chegamos ao fim!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"
Esse \u00e9 pra voc\u00ea que tentou tutorias de diversos locais e sempre parava pela metade, devido a erros ou falta de informa\u00e7\u00f5es. Fiz um ambiente 100% funcional e venho compartilhar com voc\u00eas. Cen\u00e1rio: pfSense  2.3 +package Squidpackage SquidGuardLAN  192.168.1.1\/24pfsense.localdomain ***** Validado nas vers\u00f5es: 2.3.X  *** *** Validado nas vers\u00f5es 2.4.X em 27\/10\/2017 *** *** N\u00e3o […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-234","post","type-post","status-publish","format-standard","hentry","category-sem-categoria"],"_links":{"self":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/234","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=234"}],"version-history":[{"count":1,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/234\/revisions"}],"predecessor-version":[{"id":235,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/234\/revisions\/235"}],"wp:attachment":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}