Wpad Firefox Problemi

akula

Wpad ile 5651 tam uyumu bana açıklayabilir misiniz?
Tüm yasa metninde herhagi bir yerde proxy yada proxy ile alakalı bir metin yada bu anlamları içeren cümle yok ki?

cenkata

içerik filtrelemek için proxy kullanıyorsun, dolayısı ile hotspot kullanıcılara proxyi elle giremeyeceğine göre wpad ile otomatik dağıtman gerekiyor. 80 portunu çözersin bir şekilde ama 443 sıkıntıya girer. Tam uyumlu derken ip ve mac çözülmüştü zaten sağolsun arkadaşlar emek verip derlemişler.

tuzsuzdeli

5651, sizden sadece ip numarası talep etmiyor mu ?
web logu istiyorlar mı ki ?

akula

@tuzsuzdeli:

5651, sizden sadece ip numarası talep etmiyor mu ?
web logu istiyorlar mı ki ?

Sadece şahşi düşüncesi galiba? Yoksa dhcp den başka birşey istemiyor 5651…

cenkata

arkadaşlar öncelikle iş yoğunluğundan geç cevap verdiğim için özür diliyorum.

web log' u istemiyorlar. Blacklist kullanın diyorlar.

Göndermiş olduğum link' de http://www.tib.gov.tr/tr/tr-menu-32-icerik_filtreleme.html içerik filtreleme diyor.

04/05/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun 7 inci maddesinin 2 inci fıkrası, “Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.”,

İçerik filtreleme browser' a proxy girmeden yapılabiliyor mu? Ben mi yanlış biliyorum.

tuzsuzdeli

İçerik filtrelemeyi zaten, servis sağlayıcınız yapıyor. O noktada yükümlülük onlarda.
Eğer siz de içeride bir içerik filtreleme yapacaksanız ki bu aynı zamanda log'da tutmaya başlamanız anlamına geliyor,
herşeyin hukuki ve etik olması için, mutlaka çalışanlarınıza, internet trafiklerinin kayıt altına alındığını yazılı olarak bildirmek zorundasınız.
Ayrıca logları inceleme hakkınız da yoktur. Siz kayıt altına alırsınız. Gerekli görüldüğü takdirde, ilgili hukuki makam inceleme yapar.

cenkata

Yükümlülük onlarda ise; Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür. Bu 2 nci fıkra, temel ile dursunun fıkrası değil her halde :)

filtreleme yapmak log tutacağımız anlamına gelmiyor. lightsquid ayrı paket sonuçta. Ben içerik log' u tutulması gerektiğini söylemedim. Kanunda blacklist kullanımından bahsetmiş. Aynı zamanda ben çalışanları değil hostspot kullanıcılardan bahsediyorum. Çalışanlar bir şekilde halledilebilir.

Telekom' un içerik filtrelemesi dns ile aşıldığı için zannediyorum kurumlarında filtreleme yapılmasını istemişler. Sorumluluğu da kuruma atmışlar. Saçmaklık ötesi olduğunun farkındayım. Lakin böyle bir kanun hükmü varsa ve açık açık bunu söylüyorsa, iş o raddeye geldiğinde devleti bilirsiniz 10 liralık borcunuz varsa onu sizden almak için gerekirse 10000 lira öder. Yine sizden onu alır.

Konuya dönecek olursak hotspot için 5651 sayılı kanunun 7 nci maddesinin 2 inci fıkrasına göre wpad browser sorununun çözülmesi gerekmektedir. Gayrı hüküm yüce pfsense derleyicilerinindir. ;D :P

tuzsuzdeli

Öncelikle kusura bakmayın.
Ben içerik sağlayıcılar ile kullanım sağlayıcıları birbirine karıştırmışım.

Söylediğiniz üzere bizim iki tane yükümlülüğümüz var. Birisi DHCP loglarını imzalı bir şekilde kaydetmek.
Diğeri ise zaralı içeriği engellemek.
Ancak bu zararlı içerik konusunun ucu çok acık.

Buradan sonrası kendi yorumumdur,
Yönetmelikte

İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 3 üncü maddesinin (d) bendi, “Filtreleme yazılımı: İnternet ortamında web adresi, alan adı, IP adresi, kelime ve benzeri kriterlere göre erişimi engelleyen yazılımları ifade eder.”,

4 üncü maddesinin birinci fıkrasının (a) bendi, “İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır: a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak”,

5 inci maddesinin b bendinde “Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.” bendinde “Başkanlık tarafından onaylanan içerik filtreleme yazılımını kullanmak”,

9 uncu maddesinin (g) bendi, “İşyerlerindeki bilgisayarlarda uyuşturucu veya uyarıcı madde alışkanlığı, intihara yönlendirme, cinsel istismar, müstehcenlik, fuhuş, şiddet, kumar ve benzeri kötü alışkanlıkları teşvik eden ve 18 yaşından küçüklerin psikolojik ve fizyolojik gelişimine olumsuz etkisi olabilecek oyunlar oynatılamaz”,

gibi hükümler içeriyor.

Yine ek olarak
Bu itibarla, Ticari amaçlı İnternet Toplu Kullanım Sağlayıcılar Telekomünikasyon İletişim Başkanlığınca onaylanan filtre programlarını kullanmaları gerekmektedir.

Yani ben yoruma açık olarak diyorum ki (şirket kullanıcılarıma interneti paylaştıran biri olarak) :

Zaten ticari amaçlı bir internet sağlayıcısından (örn:Ttnet) hizmet alıyorum. Ve zaten bu sağlayıcı, başbakanlığın onayladığı vesaire bir filtreleme yazılımı kullanıyor.

1- Bundan aldığım filtrelemenin üzerine ben neden filtreleme yapayım ? Zaten trafik, filtrelenmiş.
2- İçerideki bir kullanıcının mevcut ttnet filtresini aşması benim sorumluluğumda neden olsun ? Bir kullanıcı DNS değiştirip yasak bir siteye girdiğinde, ben sorumlu tutulabilir miyim ? Ya da şu anda DNS değiştirip ya da başka yollarla yasak sitelere giren her bir kullanıcısı için ttnet sorumlu mu tutulmakta ?

Yani biz ticari bir servis sağlayıcı kullanmakla zaten, başbakanlık tarafından onaylı bir filtreleme yazılımı şemsiyesi altında olduğumuzdan, bu gerekliliği sağlamış olmuyor muyuz ?

mendilli

function FindProxyForURL(url, host)

{
return "PROXY 10.0.0.2:8080";
}

bence yukarıdaki gibi basit bir script ile başlayın,

squid non-transparent olsun

dhcp server ve dns forwarder ayarlarından https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid linkinde belirtilen hususları harfiyen uygulayın

ben firewall da proxy ip'sine gelen ve giden trafiğe izin veren yeni bir kural ekledikten sonra firewall lan rules kısmında en altta bulunan ve tüm trafiğe izin veren kuralı block yapacak şekilde değiştirdim.böylece proxy'den geçmeyen hiç bir bağlantı çalışmaz hale geldi

firefox da proxy ayarlarında üstten ikinci sıradaki seçeneği işeretledim bu seçenek proxy'i otomatik olarak tespit edip kullanıyor
3. sıradaki seçenek proxy'i tespit etmediği için direk bağlantı kurmaya çalışsa da firewall da yukarıda açıkladığım engellemeye takılıyor

en güzeli ise proxy non transparent olduğu için domain düzeyinde https (SSL) bağlantılarını da filtreleme imkanı oluyor

mendilli

tuzsuzdeli, öncelikle merhaba

ana internet sağlayıcıları da nasıl olsa bizimle(sistem yöneticileri) aynı sorumluluğa sahip, onlar yaptığına göre benim yapmama gerek yok, sorumluluk bana ait değil demek bana çok mantıklı gelmedi doğrusu, sonuçta bu bir kanun ve herhangi bir şekilde internet dağıtan herkesi ilgilendiriyor ve sorumluluk yüklüyor.

yasal bir takibatta ana servis sağlayıcı bu yükümlülüğü yerine getirmediği için cezayla karşılaşacak aynı şekilde sizde cezai sorumluluk altına gireceksiniz, çünkü yasa nezdinde en az onun kadar sorumlusunuz.

Ki bu bence çok doğru bir yaklaşım, sonuçta yasa koyucunun tek derdi internet sağlayıcılara ceza yazmak değil, yasal takibatta ihtiyaç duyduğu bilgilere ulaşımı garanti altına almak, internet servis sağlayıcısı yapmıyorsa sistem yöneticisi yapsın ve ihtiyac duyulan bilgiye ulaşılabilsin istiyor

cenkata

@mendilli:

function FindProxyForURL(url, host)

{
return "PROXY 10.0.0.2:8080";
}

bence yukarıdaki gibi basit bir script ile başlayın,

squid non-transparent olsun

dhcp server ve dns forwarder ayarlarından https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid linkinde belirtilen hususları harfiyen uygulayın

ben firewall da proxy ip'sine gelen ve giden trafiğe izin veren yeni bir kural ekledikten sonra firewall lan rules kısmında en altta bulunan ve tüm trafiğe izin veren kuralı block yapacak şekilde değiştirdim.böylece proxy'den geçmeyen hiç bir bağlantı çalışmaz hale geldi

firefox da proxy ayarlarında üstten ikinci sıradaki seçeneği işeretledim bu seçenek proxy'i otomatik olarak tespit edip kullanıyor
3. sıradaki seçenek proxy'i tespit etmediği için direk bağlantı kurmaya çalışsa da firewall da yukarıda açıkladığım engellemeye takılıyor

en güzeli ise proxy non transparent olduğu için domain düzeyinde https (SSL) bağlantılarını da filtreleme imkanı oluyor

Söyledikleriniz çok mantıklı bunu deneyeceğim, yalnız şu dhcp server ve dns forwerder kısmını anlamadım bi örnek varsa gönderebilir misin?

Ben de squidguard kullanmadan bir yol düşündüm ama saçma gelebilir. Daha denemedim ama deneyeceğim.

Blacklist' i indirdim extrack ettim. Mesela chat yazan domain dosyasını editledim. Alt alta domainler dizildi. Chat dosyasında sadece 15000 domain var :)

Sonra aliases kısmından ip den host oluşturdum. Oluşturduğum host' a domainler girdim. Ardından backup dan sadece aliases' ın backup ını aldım. conf dosyasını editledim aşağıdaki çıktı.

Sub lime text ile alt alta dizili domainleri yan yana aşağıdaki gibi oluşturup, aşağıdaki listeye ekleyip. restore edeceğim. Tüm kategoriler için aliases oluşturup, restore edilirse

Lan dan destination ekleyip 443 ve 80 portlarına block konularak, en tepede iki rule ile bu işi bitirebiliriz. olurluluğu var mıdır sizce? ::)

<address>www.facebook.com facebook.com twitter.com 031903.com</address>

mendilli

benim önerdiğim sistemle squidguardı hem http hem de https için rahatlıkla kullanabilirsiniz, bu kadar zahmete girmenize gerek kalmaz

dhcp server ve dns forwarder menüsünün host overries kısmına resimlerdeki gibi kendi ip lerinize göre ayarları girin,

dhcp.jpg_thumb

dns_forwarder.jpg_thumb

cenkata

@tuzsuzdeli:

Öncelikle kusura bakmayın.
Ben içerik sağlayıcılar ile kullanım sağlayıcıları birbirine karıştırmışım.

Söylediğiniz üzere bizim iki tane yükümlülüğümüz var. Birisi DHCP loglarını imzalı bir şekilde kaydetmek.
Diğeri ise zaralı içeriği engellemek.
Ancak bu zararlı içerik konusunun ucu çok acık.

Buradan sonrası kendi yorumumdur,
Yönetmelikte

İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 3 üncü maddesinin (d) bendi, “Filtreleme yazılımı: İnternet ortamında web adresi, alan adı, IP adresi, kelime ve benzeri kriterlere göre erişimi engelleyen yazılımları ifade eder.”,

4 üncü maddesinin birinci fıkrasının (a) bendi, “İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır: a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak”,

5 inci maddesinin b bendinde “Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.” bendinde “Başkanlık tarafından onaylanan içerik filtreleme yazılımını kullanmak”,

9 uncu maddesinin (g) bendi, “İşyerlerindeki bilgisayarlarda uyuşturucu veya uyarıcı madde alışkanlığı, intihara yönlendirme, cinsel istismar, müstehcenlik, fuhuş, şiddet, kumar ve benzeri kötü alışkanlıkları teşvik eden ve 18 yaşından küçüklerin psikolojik ve fizyolojik gelişimine olumsuz etkisi olabilecek oyunlar oynatılamaz”,

gibi hükümler içeriyor.

Yine ek olarak
Bu itibarla, Ticari amaçlı İnternet Toplu Kullanım Sağlayıcılar Telekomünikasyon İletişim Başkanlığınca onaylanan filtre programlarını kullanmaları gerekmektedir.

Yani ben yoruma açık olarak diyorum ki (şirket kullanıcılarıma interneti paylaştıran biri olarak) :

Zaten ticari amaçlı bir internet sağlayıcısından (örn:Ttnet) hizmet alıyorum. Ve zaten bu sağlayıcı, başbakanlığın onayladığı vesaire bir filtreleme yazılımı kullanıyor.

1- Bundan aldığım filtrelemenin üzerine ben neden filtreleme yapayım ? Zaten trafik, filtrelenmiş.
2- İçerideki bir kullanıcının mevcut ttnet filtresini aşması benim sorumluluğumda neden olsun ? Bir kullanıcı DNS değiştirip yasak bir siteye girdiğinde, ben sorumlu tutulabilir miyim ? Ya da şu anda DNS değiştirip ya da başka yollarla yasak sitelere giren her bir kullanıcısı için ttnet sorumlu mu tutulmakta ?

Yani biz ticari bir servis sağlayıcı kullanmakla zaten, başbakanlık tarafından onaylı bir filtreleme yazılımı şemsiyesi altında olduğumuzdan, bu gerekliliği sağlamış olmuyor muyuz ?

Yanlış anlaşılmalar olur kardeşim, yaklaşımın yeter. Ucu açık demekte haklısın, aslında bende tam o konuya değinecektim. Tib, imzalama programının download' unu vermiş kendi sitesinde ne güzel. Yaaa kardeşim blacklistide oraya koysana indirelim. şimdi gidip pfsense yabancı blacklisti koyacağız. Sonra blacklist varmı? var, yani kuru sıkı misali. Şimdi ankarayı arayıp kardeşim blacklisti verin desem ne diyecekler acaba. Kendileri biliyor mu acaba, herkez kendi kendine blacklist hazırlayıp güncelleme bedelleri alıyor bence yok yere, bunun bir standardı olması gerekiyor.

cenkata

@mendilli:

benim önerdiğim sistemle squidguardı hem http hem de https için rahatlıkla kullanabilirsiniz, bu kadar zahmete girmenize gerek kalmaz

dhcp server ve dns forwarder menüsünün host overries kısmına resimlerdeki gibi kendi ip lerinize göre ayarları girin,

teşekkürler mendilli, ancak firefox' da çalışmıyor malesef, bir yerde ben hata yapıyorum ama bilemedim.

wpad1.jpg_thumb

wpad2.jpg_thumb

wpad3.jpg_thumb

wpad5.jpg_thumb

cenkata

bunlarda diğer ayarlar

wpad6.jpg_thumb

wpad7.jpg_thumb

wpad8.jpg_thumb

mendilli

sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,

1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirin

cenkata

@mendilli:

sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,

1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirin

dediklerinin hepsini yaptım ve çalıştı. mendilli ilgin için çok teşekkürler. çok zahmet oldu sana.

saygılar.

mendilli

@cenkata:

@mendilli:

sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,

1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirin

dediklerinin hepsini yaptım ve çalıştı. mendilli ilgin için çok teşekkürler. çok zahmet oldu sana.

saygılar.

estagfurullah yardımım dokunduysa ne mutlu, güle güle kullanın