Problematik mit HTTP Proxy (Squid) und HTTPS (SSL)
-
hallo zusammen,
ich habe hier aktuell folgende konstellation:
pfsense inkl. squid installiert. squid läuft im transparenten modus und nutzt einen upstreamproxy auf dem ein webfiltering (jugendschutz) erfolgt.
funktioniert soweit alles bestens. problem ist nur, dass ich in der aktuell konstellation aus dem lan auf keine https seiten zugreifen kann. man kann sich also z.b. bei einem webmailer nicht einloggen etc…
firewall-technisch wurde die standard-rule (lan-->allow all--> wan) deaktiviert. es ist nur smtp, pop3 und dns ins wan freigeschaltet, damit auch wirklich diese protokolle auf den clients genutzt werden können.gibt`s hierzu eine lösung?!
besten dank schon mal -
ok, hab jetzt nochmals bzgl. der problematik recherchiert…
transparenter proxy und https funktioniert also nicht :(hat noch jemand ne alternative zu einer fw-rule, die port 443 nach wan erlaubt?!
-
Könntest du dein Problem näher ausführen?
Nach deinen Angaben hast du die Standard Allow-Rule gelöscht und lässt keinen Webtraffic ins Netz, nur SQUID darf dann wohl HTTP(S) machen, die einzelnen Rechner nicht?
Wenn du nun HTTPS am Proxy vorbeimogeln möchtest, solltest du natürlich auch die HTTPS (tcp/443) Regel wieder ins Filtering mit aufnehmen. Wenn es nur um Webmailer geht, kannst du dir für diese ja ein Alias mit diversen IPs definieren und diese gezielt freigeben wenn du den sonstigen Verkehr nur mit Proxy erlauben willst. Das ist zwar nicht unbedingt die schönste Variante weil aufwändig, aber sollte problemlos funktionieren.Andernfalls lass uns doch nochmal etwas genauer wissen, was dein Setup tun soll :)
Grüßend
Grey -
hallo,
die gewünschte konstellation ist folgende:
aus dem lan soll außer pop3, smtp und dns kein weiterer traffic direkt ins internet gelangen. http soll rein durch den proxy bzw. über den eingerichteten upstreamproxy gehen, welcher ein webfiltering macht.
das funktioniert soweit auch bestens.problem ist nun, dass wenn aus dem lan eine https seite im browser aufgerufen wird, z.b. webbanking login, webmail login etc., bekommt dieser keine rückmeldung da https wohl nicht durch einen transparenten proxy geht. der browser meldet: seite nicht gefunden.
im firewall log wird dies auch bestätigt, da zig anfragen für port 443 geblockt werden, da diese wohl direkt ins internet geroutet werden.prinzipiell habe ich kein problem damit, den port 443 traffic per fw-rule frei zu geben. allerdings kann ich nicht beurteilen, ob ich dadurch ein "schlupfloch" öffne, über welches dann die jugendlichen doch auf internetseiten gelangen könnten, welche eigentlich per webfiltering über port 80 verboten währen…
-
Hast du den SSL Traffic auch im Browser explizit über den Proxy geschickt bzw. dem transparenten Proxy Setup beigebracht, dass es über den proxy laufen soll?
Wie ist der transparente Proxy realisiert? Auf der pfSense?
Normalerweise kenne ich das nur so, dass eine Regel in pf erstellt wird, die den Verkehr transparent an den Proxy umleitet, der dann direkt sprechen darf. Ist in der Regel kein HTTPS traffic enthalten, ist es kein Wunder, dass du SSL Pakete gegen die Firewall hämmern siehst :)
Ein Schlupfloch per Regel öffnest du nur dann, wenn du als 443 erlaubtes Ziel "any" einträgst. Wenn du keinen Webproxy der über 443 erreichbar ist freigibst, sollte die Chance dass jemand "böse Seiten ansurft" relativ gering sein, da nur erlaubt ist, was du geöffnet hast.
-
also im browser am client sind keine einstellungen bzgl. proxy gemacht.
den proxy habe ich einfach als zusätzliches paket der pfSense installiert und den haken "transparent" gesetzt :)die lösung wäre also, dass ich per fw-rule die port 443 anfragen einfach an den port 3128 des squid weiter leite?! ???
-
Da ich leider gerade keinen Zugriff auf eine pfSense habe, kann ich das schlecht nachvollziehe, aber wenn der Squid entsprechend eingestellt ist, auch HTTPS Anfragen weiterzuleiten, müsste eine Redirect Regel auf dem LAN Interface eigentlich den Job erledigen :)
-
leider kann ich aktuell auch nicht auf die pfsense zugreifen…
ich wüsste aber nicht, dass es im squid eine speztiell option bzgl. https gibt bzw. ich etwas gesehen hätte ::)
-
Dann würde ich es auf einen Versuch ankommen lassen :) Nochmal reinschauen ob vielleicht doch irgendwo was steht (Proxy müsste ja das SSL Offloading übernehmen) und ansonsten mal mit Regel versuchen.
Grüße
Grey
