Squid3 Yapılandırması ve "https" içerik filtrelemesi

drmavi

Ayarlarım resimlerdeki gibidir.

1.jpg_thumb

2.jpg_thumb

technical

@drmavi:

Ayarlarım resimlerdeki gibidir.

ayarlarınız yanlış

hostname =firewall
domain =default

olarak ayarlayın.

drmavi

@TechnicaL:

@drmavi:

Ayarlarım resimlerdeki gibidir.

ayarlarınız yanlış

hostname =firewall
domain =default

olarak ayarlayın.

Merhaba;

dns forwarder mi yanlış yoksa genel ayarlar kısmını mı bu şekilde yapmam gerekiyor.

technical

@drmavi:

Merhaba;

dns forwarder mi yanlış yoksa genel ayarlar kısmını mı bu şekilde yapmam gerekiyor.

General Setup kısmını düzenleyin dns forward alanı doğru gibi.

drmavi

Yine bağlantı kurulamadı. Bir yerde hata yapıyorum fakat nerede?

tiamen

Arkadaşlar selamlar. Öncelikle bu bilgiyi bize sağlayan arkaşlara teşekkür ederim. Benim bu sistemle igili çözemediğim 1 sorunum var. Wpad ayarlarını sorunsuz yaptım. Client cihazlarım proxy tanımlayarak nete erişebiliyorlar ve https bloklama da çalışıyor ancak transparent mod konusunda sıkıntım var. Proxy den bunu aktif ettiğim anda, web tarayıcılarımdan proxy i otomatik bul dediğim zaman erişim sağlamıyor. Sadece proxy tanımladığım zaman web sayfalarına erişebiliyorum.

Wpad dosyaları tanımlanıp sunucuya atıldı 775 verildi.
http ve https portları firewall dan kapatıldı.
client makinanın dns adresi proxy dns adresi

atladığım ne var acaba?

technical

@tiamen:

Arkadaşlar selamlar. Öncelikle bu bilgiyi bize sağlayan arkaşlara teşekkür ederim. Benim bu sistemle igili çözemediğim 1 sorunum var. Wpad ayarlarını sorunsuz yaptım. Client cihazlarım proxy tanımlayarak nete erişebiliyorlar ve https bloklama da çalışıyor ancak transparent mod konusunda sıkıntım var. Proxy den bunu aktif ettiğim anda, web tarayıcılarımdan proxy i otomatik bul dediğim zaman erişim sağlamıyor. Sadece proxy tanımladığım zaman web sayfalarına erişebiliyorum.

Wpad dosyaları tanımlanıp sunucuya atıldı 775 verildi.
http ve https portları firewall dan kapatıldı.
client makinanın dns adresi proxy dns adresi

atladığım ne var acaba?

wpad yapılandırmanız doğru çalışmıyor gibi görünüyor tüm ayarları tek tek kontrol ediniz (wpad yapılandırmasının amacı zaten tarayıcıya el ile proxy girme zahmetinde bulunmamaktır.)

tiamen

@TechnicaL:

@tiamen:

Arkadaşlar selamlar. Öncelikle bu bilgiyi bize sağlayan arkaşlara teşekkür ederim. Benim bu sistemle igili çözemediğim 1 sorunum var. Wpad ayarlarını sorunsuz yaptım. Client cihazlarım proxy tanımlayarak nete erişebiliyorlar ve https bloklama da çalışıyor ancak transparent mod konusunda sıkıntım var. Proxy den bunu aktif ettiğim anda, web tarayıcılarımdan proxy i otomatik bul dediğim zaman erişim sağlamıyor. Sadece proxy tanımladığım zaman web sayfalarına erişebiliyorum.

Wpad dosyaları tanımlanıp sunucuya atıldı 775 verildi.
http ve https portları firewall dan kapatıldı.
client makinanın dns adresi proxy dns adresi

atladığım ne var acaba?

wpad yapılandırmanız doğru çalışmıyor gibi görünüyor tüm ayarları tek tek kontrol ediniz (wpad yapılandırmasının amacı zaten tarayıcıya el ile proxy girme zahmetinde bulunmamaktır.)

Malesef tüm ayarlar doğru görünüyor. Ayarları otomatik algıla dediğimde dns hatası ile karşılaşıyorum. Dahili web sunucu çalışıyor çünkü ip yerine wpad dosyasının direk adresini verdiğimde yine internete çıkabiliyorum.

ercanyd

Anlatıklarını birebir uyguladım kardeşim Problem yok Çalışıyor Facebook https engelliyor fakat sayfayı refresh yaparsam açıyor ve facebook giriyor. problem nedir sence.

ilker04

@TechnicaL:

Herkezin facebook u https ten giriyorlar vb. konularla bir dünya kural oluşturarak aşmaya çalıştığı sorunları artık kolay bir şekilde "https filtreleme" ile açacağız

Öncelikle konuya başlamadan önce kullandığım paketleri yazıyorum

Squid3
Squidguard

bunun dışında işin zor kısmı diyebileceğimz bir yapılandırma var bu wpad.dat,wpad.da,proxy.pac ve wpad.dat%00 dosyalarının oluşturularak tarayıcıların proxy sunucumuzu otomatik olarak algılamasını sağlamak.
tarayıcı ayarlarını 1. resime bakarak ayarlayalım.
wpad.dat,wpad.da,proxy.pac ve wpad.dat%00 dosyalarının yapılandırması kod içinde verdim. herhangi bir metin düzenleme yazılımı ile bu dosyaları oluşturup içeriğini aynı olarak kaydediniz. (ip kısmına kendi pfsense proxy adresini ve portunuzu giriniz)
 function FindProxyForURL(url,host)
 {
 return "PROXY 10.50.2.1:3128";
 }
Şimdi bu dosyalarımızı oluşturduktan sonra sistemde tanımlı bir web sunucusuna ihtiyacımız var. (pfsense kendisi bir web sunucusu barındırır yalnız pfsense ye port yapılandırması ile bağlanıyorsanız bu ayarlar çalışmıyor yani pfsense ye 10.50.2.1:5151 gibi bir web arayüzü ile bağlanıyorsanız sorun yaşarsınız web arayüzü giriş ekranını 80 portu olması şart.)

oluşturduğumuz 4 dosyayı web sunucumuzun "www" klasörü içine aktarıp dosyaların chmod ayarlarını "755" yapıyoruz.

işlemimiz bittikten sonra Services > DNS Forwarder kısmından yerel web sunucumuza proxy ayarlarını otomatik algılayabilmesi için "Host Overrides" kuralı ekliyoruz (not:domain override kuralı eklemeyin)
resim 2 den ayrıntıları görebilirsiniz.

captive portal kullanıyorsanız Allowed Hostnames kısmına dns forward için eklediğiniz host adını girmelisiniz. örn: wpad.firewall.default

daha sonra sistemimiz çalışıyor mu diye tüm tarayıcıları kapatıp yeniden bir tarayıcı açıyoruz ve adres satırımıza "http://wpad.firewall.default/wpad.dat" yazıyoruz. (not: firewall.default sizin dns forward kısmına yazdığınız host adı olacak)
ekranda indirme sayfası ile wpad.dat dosyamızı indirmemizi istiyorsa çalışıyor demektir.

şimdi herkezin 80 portunu kullanarak internete çıkmasını engellememiz lazım ki tarayıcının ayarları proxy algılama (ilk anlattığım ayarlar) açık olmazsa internete çıkışı mümkün kılmayalım.
resim 3 den kuralı nasıl eklediğimi görebilirsiniz.

bu ayarımız da bittikten sonra squid ayarlarını resim 4 de görüldüğü gibi ayarlayın resimlerde ufak açıklamalar mevcut ihtiyacınıza göre yapılandırın.
sonra squidguard için uyguladığınız facebook filitresi https de de çalışacaktır

NOT resim 4 2. cevapta eklendi.

güncelleme : Transperant mod ince ayarla kullanılabiliniyor ;
Eğer squid 3 ü transperant modda çalıştırmanız gerekiyorsa 80 portunu engellediğiniz gibi birde 443 portuna engel kuralı yazarak kullanılabilnir, eğer 443 portunu kapatmazsanız bağzı uyanık bilgisayar kullanıcıları tarayıcıdan otomatik proxy algılama ayarlarını kapatarak https sitelere erişim yapabilir.

proxy ayarları otomatik algılama ayarlı olduğu müddetçe https sitelere erişimde sorun yaşanmıyor banka siteleri ile test ettim.

Arkadaşlar bir teşekkür yeter. bu ayarları yapıpta kullanan arkadaşlar bana da destek olmak isterlerse yabancıların da dediği gibi "Donations are always welcome" destek için Pm ile iletişime geçerbilirsiniz.

Merhaba Anlattıklarınızı uyguladım. https içerik filtreme çalışıyor fakat sorunum eset güncellemelerinde yaptıgımız proxy ayarlarını.skype ada uyguladık fakat skype hiçbir şekilde bağlanmıyor bunun için ne yapabilirim

savasdemirci

Merhaba, tüm işlemleri uyguladım fakat browser ın proxy ayarlarını elle vermedikce proxy i görmüyor. Proxy Server da transparent http proxy de işaretli. Ne yapabilirim?

technical

Wpad yapılandırmanız sorunsuz ise proxy otomatik olarak algınalacaktır Wpad yapılandırmanızı kontrol ediniz.

onderdeli

@tuzsuzdeli:

@seker
Sizin bahsettiğiniz "full content filtering"
Bununla ilgili hem transparent hem de non transparent modda çalışması için squid3 ve squidguard/dansguardian kodu üzerinde şu an yabancı bir arkadaş çalışmasını bitirmek üzere.
Bugünlerde ya detayları forum üzerinden post eder ya da bahsi geçen paketlere güncelleme gelir.
Ben de takipteyim :)

not : Aynen dediğinizi gibi dinamik sertifika üretimi konusunu çözmüş durumda.

Selamlar…
çalışmalarınızı yakından takip ediyorum. dediğiniz gibi bu yabancı arkadaş bitirmiş midir? şimdiye kadar... bu çalışmaları bizimle paylaşabilir misiniz?

mendilli

@tiamen:

Arkadaşlar selamlar. Öncelikle bu bilgiyi bize sağlayan arkaşlara teşekkür ederim. Benim bu sistemle igili çözemediğim 1 sorunum var. Wpad ayarlarını sorunsuz yaptım. Client cihazlarım proxy tanımlayarak nete erişebiliyorlar ve https bloklama da çalışıyor ancak transparent mod konusunda sıkıntım var. Proxy den bunu aktif ettiğim anda, web tarayıcılarımdan proxy i otomatik bul dediğim zaman erişim sağlamıyor. Sadece proxy tanımladığım zaman web sayfalarına erişebiliyorum.

Wpad dosyaları tanımlanıp sunucuya atıldı 775 verildi.
http ve https portları firewall dan kapatıldı.
client makinanın dns adresi proxy dns adresi

atladığım ne var acaba?

transparent proksinin mantığı son kullanıcıların http(80) isteklerinin otomatik olarak kullanıcı tarafında herhangi bir ayar yapmadan proksiye yönlendirilmesidir.Yani maksat WPAD'a ihtiyaç duyulmamasını sağlamaktır.bunu da pfsense-squid paketi şu şekilde yapar

"wan'da 80 portuna giden istekleri localhosta(127.0.0.1:3128) yönlendiren bir firewal kuralı otomatik olarak oluşturulur ve squid localhostta transparent (ya da intercept) moduna alınır. ancak lan bacağına non transparent ayarı da conf dosyasında kalır

squid.conf

http_port 10.0.0.1:3128
http_port 127.0.0.1:3128 transparent

gibi

sizin sorununuz transparent modda wpad yapılandırması kullanıyor olmanızdan kaynaklanıyor diye düşünüyorum, WPAD yapılandırmanızda lan bacağı ve proxy portunu dağıtıyorsanız 127.0.0.1 de transparent olarak çalışan proxy yerine lan bacağında çalışan squid'e non transparent bağlantı gönderiyor ve yine muhtemelen lan bacağından http ve https portlarına uyguladığınız block kurallarına takılıyorsunuz, wpad yapılandırmasını devre dışı bırakıp, sadece lan'dan 80 portuna giden talepleri bloklayın, https yi bloklarsanız transparent proksiniz https bağlantılarını aynı porttan çözemeyeciği için yine engelleme göreceksiniz.

gazili84

Anlatılan işlemleri aynen uyguladım ve sorunsuz çalıştı.
Ancak WAN'dan ve LAN'dan pfSense arayüzüne giremiyorum.

technical

@gazili84:

Anlatılan işlemleri aynen uyguladım ve sorunsuz çalıştı.
Ancak WAN'dan ve LAN'dan pfSense arayüzüne giremiyorum.

function FindProxyForURL(url,host)
{
if (shExpMatch(url, "http://192.168.1.1*")) {return "DIRECT";}
if (shExpMatch(url, "https://192.168.1.1*")) {return "DIRECT";}
else
return "PROXY 192.168.1.1:3128";
}

ip adresi pfsense adresi olmalı.

gazili84

@TechnicaL:

@gazili84:

Anlatılan işlemleri aynen uyguladım ve sorunsuz çalıştı.
Ancak WAN'dan ve LAN'dan pfSense arayüzüne giremiyorum.
function FindProxyForURL(url,host)
{
if (shExpMatch(url, "http://192.168.1.1*")) {return "DIRECT";}
if (shExpMatch(url, "https://192.168.1.1*")) {return "DIRECT";}
else
return "PROXY 192.168.1.1:3128";
}
ip adresi pfsense adresi olmalı.

cevabınız için teşekürler.
Şuan yaz tatililinde olduğu için dneyemiyorum.
Eylülde gidince deneyip sonucunu yazarım.
benim kod şu şekilde idi:


 function FindProxyForURL(url,host)
 {
 return "PROXY 192.168.88.1:3128";
 }

amt_vtn

Android telefonlar için son durum nedir?

@TechnicaL:

@MuratRaci:

hem wpad.dat
hem de wpad.dat%00 adında mı olacak dosyalar.

yoksa sadece wpad.dat%00 yetiyor mu?

hem wpad.dat hemde wpad.dat%00 olacak
toplamda 4 tane dosya atacaksınız www klasörüne.

ve önemli not: captive portal da bağzı problemler yaşıyorum yönlendirme yapmıyor mobil cihazlarda sayfa açılmıyor ama play store çalışıyor (android için) bu tür sorunları aşabilmek için marcelloc a pm attım bakalım ne diyecek.

GoldenShark

@TechnicaL:

@tuzsuzdeli:

Evet
Ama onda bi sıkıntı çıkmıyor zaten.
Eski squidin ayarları aynen yeniye geçti bende. Ek olarak birşey yapmadım.

eğer hizmet başlatılamazsa eski cache klasörünü silmek gerekebiliyor sadece.

merhaba
resımlerı tekrar upload edebilirmisiniz ?

En önemlisi fireawll rules kısmındaki 80 443 port blokeleri.

darkrunner

Konuyu hortlatmış gibi olmayım ama bütün denilenleri yapmam ragmen otomatik olaraka proxy çalışmıyor elle girince çalışıyor otomatik dosya yolunu yazdığımda dosyayı kaydetme şeklinde istek geliyor. nerde hata yapıyorum analamadım. Bu konuda başka bi çözüm yolu yokmu?