SquidGard http/https Sorunu

OGUZ

Ekteki resimleri kontrol edin ve aynılarını uygulayn. takıldığınız bir yer olursa yardımcı olabilirim.

OGUZ

Gerekli işlemleri yaptığınızda sadece facebook https engellemiş olacaksınız. eğer başka bir sitenin httpslerini engellemek isterseniz. onlarında dnslerini girip kural oluşturabilirsiniz. Ayrıca unutmayın proxy serveriniz transparent modda olsun.

beyazsapka

Oğuz bey,
dediğiniz gibi yaptım ve engellledi fakat şöyle bir durum var. ben bazı kullanıcı iplerini facebook açmalarına izin vermek istediğimde kural tüm ağı kapsadığı için onlarda çıkamıyor. bunu nasıl çözebilirim. çünkü üst düzey yöneticilerin ipleri serbest olması lazım.

OGUZ

ilk önce pass geçmek istediğin ip blokları için bir aliases oluştur. daha sonra Lan kısmındaki kuralın üstünde olması kaidesi ile yeni bir kural oluştur ve PASS seç. pass geçilmesini istediğin iplerin aliases ismini ilgili bölüme gir.

beyazsapka

Malesef olmadı..
şimdi https den facebook a da çıkan clientler var..

ben pfsense 2.0.2 release kullaniyorum bu kararlı bir sürüm değil midir?

OGUZ

kural sıralaması çok önemli yukarıdan aşağı şekild eolacak kurallarınızın ve açıklamalarının görüntülerini paylaşırsanız daha iyi olur hatanızı görürüz

beyazsapka

Merhaba Oğuz bey,
şimdi sitede bulduğum tüm facebook iplerini ekledim eklediğim ipler şöyle

209.126.190.70/24  69.41.185.229/24  203.36.226.2/24  69.171.242.11/24  66.220.149.11/24  69.171.224.11/24  69.63.189.74/24 69.171.224.0/24  74.119.76.0/24  204.15.20.0/24  66.220.144.0/24  69.63.176.0/24  173.252.64.0/24  31.13.24.0/24  31.13.64.0/24 31.13.69.0/24  31.13.70.0/24  31.13.71.0/24  31.13.72.0/24  31.13.73.0/24  31.13.74.0/24  31.13.75.0/24  31.13.76.0/24  31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 66.220.144.0/24 66.220.149.11/24 66.220.152.0/24 66.220.152.0/24 66.220.158.11/24 66.220.159.0/24 69.63.176.0/24 69.63.176.0/24 69.63.184.0/24 69.171.224.0/24 69.171.224.0/24 69.171.224.37/24 69.171.229.11/24 69.171.239.0/24 69.171.240.0/24 69.171.242.11/24 69.171.255.0/24  74.119.76.0/24 173.252.70.0/24 173.252.96.0/24 204.15.20.0/24 92.123.205.177/32 2.20.226.110/32 88.221.38.110/32 50.17.235.0/32 69.171.247.55/32 69.171.247.0/32 92.123.205.0/32 2.20.226.0/32 23.45.205.0/32 69.171.247.0/32 50.17.235.0/32 2.20.237.177/32 173.252.101.16/32 80.239.148.161/32 173.194.39.158/32 50.22.197.221/32

OGUZ

engelleme yaptığınız kural doğru. engellenmemesini istediğiniz kişiler için oluşturduğunuz kuralın fotosu yok ?

beyazsapka

Oğuz bey,
o kuralı sildim şu anlık. bu kural aktif ve en üste olduğu halde facebooku hala engellemiyor. şimdi lan sekmesinde 3 kural var. biri default olarak pfsense in 80 portu için 2.sırada facebook kuralı 3.sırada ise tüm lana verilen engellemesiz kural. ama facebook kuralına takılmıyor.

technical

beyazsapka arkadaş
1-öncelikle yetkili olan grup a ip aralığı belirtiyorsun bunun için aliases kullanmalısın
2- gruba firewall rule ekliceksin (resim1)
3- Proxy filter den target category yapacaksın ona engellemek istemediğin siteleri gireceksin bunları yetkililer için ayarda gerek bakınız (resim2)
4- Proxy filter den group acl ile yetkililere ip aralığına göre fitre izini vereceksin çözümün bu kadar (resim3)

Kolay gelsin


beyazsapka

technical kardeş,
config.xml deki facebook a ait adresleri text olarak paylaşabilir misin? ya hadi bu facebook için bir sürü soyal paylaşım sistesi var :) hepsinin bu şekilde iplerini bulmak zor iş. farklı bir yöntemi olmalı bunun. bu kadar zor olmamalı diye tahmin ediyorum.

technical

@beyazsapka:

technical kardeş,
config.xml deki facebook a ait adresleri text olarak paylaşabilir misin? ya hadi bu facebook için bir sürü soyal paylaşım sistesi var :) hepsinin bu şekilde iplerini bulmak zor iş. farklı bir yöntemi olmalı bunun. bu kadar zor olmamalı diye tahmin ediyorum.

tabiki bir site yardımı ile ayrıntılı whois almıştım baya önce ama siteyi hatırlamıyorum şu an.

buyur config dosyasından aliases e ait olan bölüm

		 <alias><name>facebook_network</name>

<address>69.171.224.0/19 74.119.76.0/22 204.15.20.0/22 66.220.144.0/20 69.63.176.0/20 173.252.64.0/18 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 66.220.144.0/20 66.220.144.0/21 66.220.149.11/16 66.220.152.0/21 66.220.158.11/16 66.220.158.11/24 69.63.176.0/21 69.63.176.0/24 69.63.184.0/21 69.171.224.0/20 69.171.224.37/16 69.171.229.11/16 69.171.239.0/24 69.171.240.0/20 69.171.242.11/16 69.171.255.0/24 173.252.64.0/19 173.252.70.0/24 173.252.96.0/19 204.15.20.0/22</address>

			<type>network</type>
			<detail></detail></alias> 

beyazsapka

Teşekkür ederim.
Evet bu ipler işe yaradı. şimdi twitter , goole+, freehandfeed vs.. :) bunlarıda engellemek lazım.

OGUZ

pfsense ping host bölümünden yada kendi pcnizden nslookup komutu ile ilgili sitelerin dnslerini sorgulayabilirsiniz.

Örnek windows ortamı : başlat+çalıştır+cmd+enter

nslookup yaz enter bas

www.twitter.com yada twitter.com yani sorgulamak istediğin sitenin adı

dns çözümlemesi yaptıktan sonra çıkan dns bilgileri ile aliases oluştur ve aynı diğer işlemler gibi yasakla

beyazsapka

oğuz bey,
ping ile normal 80 den giden ipleri getiriyor. bize lazım olan twitter ın htts ipleri. nslookup ile çıkan 3-4 ip var ve onları ekledim fakat http ye zaten takılıyor, ama https e takılmıyor. :)

OGUZ

http://centralops.net/co/ adresine gir

Domain Dossier bölümüne ilgili sitenin adresini yaz. Tüm ip bloklarını listeler ayrıca, çıkan açıklmanın en alt kısmında

Network Whois record bölümü var tüm detaylarına bakabilirsin

tuzsuzdeli

@OGUZ:

ilk önce pass geçmek istediğin ip blokları için bir aliases oluştur. daha sonra Lan kısmındaki kuralın üstünde olması kaidesi ile yeni bir kural oluştur ve PASS seç. pass geçilmesini istediğin iplerin aliases ismini ilgili bölüme gir.

Bu tip yapılandırmaları (yani belli makineler dışında tüm networke birşeyi yasaklama) iki kural ile yapmanızı tavsiye etmem. Böyle 1-2 tane kural çifti oluşturunca ortalık kalabalıklaşıyor ve karışıyor bence.

Tek satırda şöyle çözebilirsiniz.
Yasaksız makineler için Oğuz Bey'in dediği gibi bir Alias oluşturup, Block kuralı yazarken, source address kısmına aliasını ekleyip, source kısmındaki NOT kutucuğunu işaretleyin.

Böylece tek block kuralı ile işi bitirmiş olursunuz.

Ekte örnek görüntü var. Exchange sunucusu dışında dışarıya SMTP portu kapalı.

beyazsapka

Oğuz bey adres için teşekkür ederim. bu adres sayesinde twitter ı da indirdik :)

tuzsuzdeli kardeş,
ilgin için teşekkür ederim, dediğiniz doğru fazla kural olacaksa bayağı sıkıntı olur ama bende resim de de görüldüğü gibi fazla kural olmadığından çok önemsemedim.

yakar

Arkadaşlar Facebook gibi sitelerin ip bloklarına sürekli yenileri eklenmekte fakat yukarıdaki kurallarda gördüğüm en büyük hata IP/24 yani "24 bit" ip kullanılması. 24 bit ile kastedilen şudur: 192.168.0.1 - 192.168.0.254 halbu ki Facebook gibi siteler 20, 18, 16 gibi bitlerde ip kullanılır bu da aynı blokta kullandıkları ip adreslerinin artması demektir. Aşağıdaki IP Bloklarını Facebook engelleme için kullanabilirsiniz.

Aşağıda Firewall Alias için ip ve CIDR listesi var, alias oluşturduktan sonra bunu firewall kuralında seçip "443" portunu yani https seçtikten sonra istediğiniz ip adreslerinin Facebook'a çıkışını engelleyebilirsiniz.

Network	 		CIDR
69.171.224.0		19
74.119.76.0		22
204.15.20.0		22
66.220.144.0		20
69.63.176.0		20
173.252.64.0		18
31.13.64.0		18
103.4.96.0		22
65.204.104.128	28
66.93.78.176		29
66.92.180.48		28
67.200.105.48		30
66.199.37.136		29

oguz6578

facebook iplerini giriyordum sisteme aliases olarak….

https://facebook.com  açılmıyordu

https://www.facebook.com  açılıyordu....

mesajımın üstündeki arkadaşın verdiklerini aliases a eklediğimde sorun kalmadı çok teşekkürler devamlı bunları araştıryordum ben...