Kullanıcılar Captive Portalı Atlatıyorlar
-
Selamlar…
Bir süredir yoğunluktan forum sayfasını takip edemiyordum. Bu gün bloğuma gelen bir yorumla, bu başlıktan ve yazımdan bahsedildiğinden haberim oldu. Bende bir şeyler yazayım...
İlk olarak açıklık konusuna değinelim;
Captive Portal bileşeninin kullanıcıları durdurması ve kullanıcı hesabı olan kişilerin internete çıkmasını sağlaması gerekiyor. Captive Portal bu konuda gayet başarılı. Squid ise bir vekil sunucu ve görevini başarılı bir şekilde yapıyor. Ancak iki bileşen birden sistemde aktif edildiğinde Squid, Captive Portal'ın ayağına basmak suretiyle bir güvenlik zaafiyeti oluşturuyor. Sonuç olarak kullanıcıların Captive Portal sistemini atlatmasına neden olacak bir açıklık ortaya çıkıyor... Özetle kullanıcıların Captive Portal uygulamasını bypass etmesini sağlayan bir açıklık söz konusu.Sebebi genel olarak sistem yöneticisinin elindeki araçları tanımaksızın, sebep sonuç ilişkisini kavramaksızın ezbere pfSense kurup çalıştırmasından kaynaklanıyor. Bu zaafiyet önemli ölçüde sistem yönteicisinden kaynaklanıyor. Öte yandan pfSense için Captive Portal ve Squid paketini hazırlayan kişilerinde bu noktada bu iki bileşenin aynı anda çalıştığında bir birinin ayağına basıp basmadığını kontrol etmesi gerekirdi yada kontrol edilmiş olsa iyi diye düşünüyorum... Özgür Yazılım dünyasının temel prensipleri gereği çıkıp pfSense geliştiricilerine bir şey deme lüksümüz yok zira "Gözüne dizine dursun, o kadar iş yaptık, başımıza bunu mu kakıyorsun" derler adama :)
Bu durumda açığın faturasını Sistem yöntecisine kesmek gerekiyor. Demekki sonuç olarak eline pfSense cd si alıp ben "firewallcuyum" diyen herkese güvenlik duvarı kurdurmamak gerekiyor. Kurulursa böyle durumlar ortaya çıkıyor. :)
Çözüm Kısmına Bakalım;
tcjackal arkadaşımız pratik ve güzel bir çözüm uygulamış. Denemedim ancak kullanılabilir olduğunu düşünüyorum. Ben daha farklı bir yöntem kullandım squid.inc dosyası içerisine, kaba şekliyle aşağıdaki gibi bir kod parçası ekledim; Böylece sistem Squid ve Captive Portalın bir birinin ayağına basmasını engeller hale geldi. Eğer Captive Portal aktif ise Squid dışarıdan gelen bağlantıları kabul etmiyor. Bu yöntemle firewall kurallarıyla cebelleşmem gerekmiyor, kötü tarafı kodla cebelleşmem gerekti. Ancak şimdi sistem otomatize bir şekilde kendi başının çaresine bakıyor...if(isset($config['captiveportal']['enable'])){ $rules.="block quick proto tcp from to le0 port 3128"; }else{ $rules.= "pass in quick on $iface proto tcp from any to !le0 port $port flags S/SA keep state\n"; }Saygılarımla…
Harun ŞEKER -
Özgür Yazılım dünyasının temel prensipleri gereği çıkıp pfSense geliştiricilerine bir şey deme lüksümüz yok zira "Gözüne dizine dursun, o kadar iş yaptık, başımıza bunu mu kakıyorsun" derler adama
Bu durumda açığın faturasını Sistem yöntecisine kesmek gerekiyor. Demekki sonuç olarak eline pfSense cd si alıp ben "firewallcuyum" diyen herkese güvenlik duvarı kurdurmamak gerekiyor. Kurulursa böyle durumlar ortaya çıkıyor. Smiley
her iki yorumada katılmamak elde değil, hangi firewall ürününü kullanırsanız kullanın, yapılandırmadığınız sürece bir modemden farksız
Squid yönünde vermiş olduğunuz kod çözümü için teşekkürler.
Burada dikkatimi çeken, interface tarafında seçili interface'leri sürekli eklemek zorundayız.
çoklu interface seçimi sorun yaratacakmıdır ?
Keyifli çalışmalar -
Selamlar…
Squid yönünde vermiş olduğunuz kod çözümü için teşekkürler.
Burada dikkatimi çeken, interface tarafında seçili interface'leri sürekli eklemek zorundayız.
çoklu interface seçimi sorun yaratacakmıdır ?
Keyifli çalışmalarBuraya eklediğim kodu sadeleştirdiim, o yüzden ethernet isimleri statik olarak kodun içinde yer alıyor. Normalde interface adı ve squid portu kod içerisinde statik değil, Squid ayarlarınan okunuyor ve böylece, siz squid ayarlarında hangi interface ve portu seçerseniz seçin güvenlik duvarı kuralları doğru bir şekilde giriliyor… Aynı çözüm çoklu interface içinde çalışmalı diye düşünüyorum. Henüz pfSense 2.0 kullanmaya başlamadığımdan benzer şeyleri pf2.0 için yapmadım. Zira pfSense 2.0 ın olgunlaşması gerektiğini düşünüyorum. Bir yandan da ufak ufak pfSense 2.0 için hazırlıklar yapıyorum...
Saygılarımla...
-
ben burdaki kodu ekledim ama ie den proxy sunucusunu değiştirince Captive Portalı Atlatıyor. Nerde yanlış yapıyorum?
-
tekrar merhaba,
squid kodunu deneme fırsatım olmadı. durumunuz acil ise, daha önceki post'umda belirttiğim yöntemi uygulayabilirsiniz.Yaptıklarımız;
- Tüm trafiği kapat
- Direk squid erişimini kapat
- Squid erişmek isteyeni, cp yönlendir.
- dns ve http'yi erişime aç.
Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.
Keyifli çalışmalar
-
göstermiş olduğunuz ilgi için teşekür derim ama ben biraz işin acemisiyim öğrenmeye çalışıyorum bana adım adım yapabileceğim bi doküman verebilirmisiniz.
-
tekrar merhaba,
şuan bulunduğunuz konunun 1. sayfasında bulunan önceki post'uma bakarsanız, ekran görüntüsü yardımı ile sorununuzu çözebilirsiniz.
keyifli çalışmalar -
Mrb sizin dediğiniz gibi yapılandırdım ama internete çıkamıyorum hiçbir şekilde.
 -
Mrb sizin dediğiniz gibi yapılandırdım ama internete çıkamıyorum hiçbir şekilde.
eğere pf 2.0 release sürümlerinden birini kullanıyorsanız , en altta bulunan "lan block" kuralını kaldırarak tekrar deneyiniz.
keyifli çalışmalar -
Evet 2.0 kullaniyorum artik bayramdan sonra denerim. Hayirli bayramlar
-
Mrb sizin dediğiniz gibi yapılandırdım ama internete çıkamıyorum hiçbir şekilde.
eğere pf 2.0 release sürümlerinden birini kullanıyorsanız , en altta bulunan "lan block" kuralını kaldırarak tekrar deneyiniz.
keyifli çalışmalardediğiniz gibi lan block kaldırdım yine olmadı daha sonra squid block kaldırdım bu sefer oldu teşekür ederim. Bide şu loglarda kullanıcı adını bi görsem on numara olacak :)
-
Bende 3 tane rule oluşturdum. Birincisinde lan subnet i 1-3127, ikincisinde 3129-65535 olacak şekilde yönlendirdim. Üçüncü rule olarak 3128 den gelen istekleri 8000 e yönlendirdim. Şu an için çalışıyor. firefox a el ile girince proxy i çıkarmıyor internete.
Bu arada bu squid i geliştiren ile captive portalı geliştiren arasında bir anlaşmazlık var herhalde :D squid i geliştiren arkadaş iyi çelme takmış :P
Düzeltme: http://cloud.github.com/downloads/marcelloc/pfsense-packages/captiveportal_201_amd64.inc
link indeki patch i uygulayınca da çalıştı. Uğraşanın eline sağlık.
-
Bende 3 tane rule oluşturdum. Birincisinde lan subnet i 1-3127, ikincisinde 3129-65535 olacak şekilde yönlendirdim. Üçüncü rule olarak 3128 den gelen istekleri 8000 e yönlendirdim. Şu an için çalışıyor. firefox a el ile girince proxy i çıkarmıyor internete.
Bu arada bu squid i geliştiren ile captive portalı geliştiren arasında bir anlaşmazlık var herhalde :D squid i geliştiren arkadaş iyi çelme takmış :P
Düzeltme: http://cloud.github.com/downloads/marcelloc/pfsense-packages/captiveportal_201_amd64.inc
link indeki patch i uygulayınca da çalıştı. Uğraşanın eline sağlık.
Paylaşmış olduğun bağlantı sıkıntıyı tamamen ortadan aldırdı teşekkürler.
-
Selamlar. Ben de pfsense 2.0.2 üzerinde Captvive portal, freeradius, squid kullanıyorum. Linkteki videoyu görüp aynı şekilde test ettim. Bende bir sorun olmadı, acaba yeni versiyonda bu sorun olmuyor olabilir mi?
-
Selamlar. Ben de pfsense 2.0.2 üzerinde Captvive portal, freeradius, squid kullanıyorum. Linkteki videoyu görüp aynı şekilde test ettim. Bende bir sorun olmadı, acaba yeni versiyonda bu sorun olmuyor olabilir mi?
yeni sürümde o sorunu kaldırmış olabilirler. 2.0.1 sürümünde captive portlaı atlatılıyordu.
2.0.1 sürümünde arkadaşın verdigi linkteki http://cloud.github.com/downloads/marcelloc/pfsense-packages/captiveportal_201_amd64.inc dosyayı değiştirildigi zaman sorun ortadan kalkıyordu. -
Selamlar. Ben de pfsense 2.0.2 üzerinde Captvive portal, freeradius, squid kullanıyorum. Linkteki videoyu görüp aynı şekilde test ettim. Bende bir sorun olmadı, acaba yeni versiyonda bu sorun olmuyor olabilir mi?
yeni sürümde o sorunu kaldırmış olabilirler. 2.0.1 sürümünde captive portlaı atlatılıyordu.
2.0.1 sürümünde arkadaşın verdigi linkteki http://cloud.github.com/downloads/marcelloc/pfsense-packages/captiveportal_201_amd64.inc dosyayı değiştirildigi zaman sorun ortadan kalkıyordu.Sorun yeni sürümde düzelmemiş. Ben denerken hata yaptım galiba. Tekrar denedim sorun devam ediyordu. Sizin gönderdiğiniz dosya ile sorun çözüldü.