Wpad Firefox Problemi
-
İçerik filtrelemeyi zaten, servis sağlayıcınız yapıyor. O noktada yükümlülük onlarda.
Eğer siz de içeride bir içerik filtreleme yapacaksanız ki bu aynı zamanda log'da tutmaya başlamanız anlamına geliyor,
herşeyin hukuki ve etik olması için, mutlaka çalışanlarınıza, internet trafiklerinin kayıt altına alındığını yazılı olarak bildirmek zorundasınız.
Ayrıca logları inceleme hakkınız da yoktur. Siz kayıt altına alırsınız. Gerekli görüldüğü takdirde, ilgili hukuki makam inceleme yapar. -
Yükümlülük onlarda ise; Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür. Bu 2 nci fıkra, temel ile dursunun fıkrası değil her halde :)
filtreleme yapmak log tutacağımız anlamına gelmiyor. lightsquid ayrı paket sonuçta. Ben içerik log' u tutulması gerektiğini söylemedim. Kanunda blacklist kullanımından bahsetmiş. Aynı zamanda ben çalışanları değil hostspot kullanıcılardan bahsediyorum. Çalışanlar bir şekilde halledilebilir.
Telekom' un içerik filtrelemesi dns ile aşıldığı için zannediyorum kurumlarında filtreleme yapılmasını istemişler. Sorumluluğu da kuruma atmışlar. Saçmaklık ötesi olduğunun farkındayım. Lakin böyle bir kanun hükmü varsa ve açık açık bunu söylüyorsa, iş o raddeye geldiğinde devleti bilirsiniz 10 liralık borcunuz varsa onu sizden almak için gerekirse 10000 lira öder. Yine sizden onu alır.
Konuya dönecek olursak hotspot için 5651 sayılı kanunun 7 nci maddesinin 2 inci fıkrasına göre wpad browser sorununun çözülmesi gerekmektedir. Gayrı hüküm yüce pfsense derleyicilerinindir. ;D :P
-
Öncelikle kusura bakmayın.
Ben içerik sağlayıcılar ile kullanım sağlayıcıları birbirine karıştırmışım.Söylediğiniz üzere bizim iki tane yükümlülüğümüz var. Birisi DHCP loglarını imzalı bir şekilde kaydetmek.
Diğeri ise zaralı içeriği engellemek.
Ancak bu zararlı içerik konusunun ucu çok acık.Buradan sonrası kendi yorumumdur,
Yönetmelikteİnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 3 üncü maddesinin (d) bendi, “Filtreleme yazılımı: İnternet ortamında web adresi, alan adı, IP adresi, kelime ve benzeri kriterlere göre erişimi engelleyen yazılımları ifade eder.”,
4 üncü maddesinin birinci fıkrasının (a) bendi, “İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır: a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak”,
5 inci maddesinin b bendinde “Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.”
bendinde “Başkanlık tarafından onaylanan içerik filtreleme yazılımını kullanmak”,9 uncu maddesinin (g) bendi, “İşyerlerindeki bilgisayarlarda uyuşturucu veya uyarıcı madde alışkanlığı, intihara yönlendirme, cinsel istismar, müstehcenlik, fuhuş, şiddet, kumar ve benzeri kötü alışkanlıkları teşvik eden ve 18 yaşından küçüklerin psikolojik ve fizyolojik gelişimine olumsuz etkisi olabilecek oyunlar oynatılamaz”,
gibi hükümler içeriyor.
Yine ek olarak
Bu itibarla, Ticari amaçlı İnternet Toplu Kullanım Sağlayıcılar Telekomünikasyon İletişim Başkanlığınca onaylanan filtre programlarını kullanmaları gerekmektedir.Yani ben yoruma açık olarak diyorum ki (şirket kullanıcılarıma interneti paylaştıran biri olarak) :
Zaten ticari amaçlı bir internet sağlayıcısından (örn:Ttnet) hizmet alıyorum. Ve zaten bu sağlayıcı, başbakanlığın onayladığı vesaire bir filtreleme yazılımı kullanıyor.
1- Bundan aldığım filtrelemenin üzerine ben neden filtreleme yapayım ? Zaten trafik, filtrelenmiş.
2- İçerideki bir kullanıcının mevcut ttnet filtresini aşması benim sorumluluğumda neden olsun ? Bir kullanıcı DNS değiştirip yasak bir siteye girdiğinde, ben sorumlu tutulabilir miyim ? Ya da şu anda DNS değiştirip ya da başka yollarla yasak sitelere giren her bir kullanıcısı için ttnet sorumlu mu tutulmakta ?Yani biz ticari bir servis sağlayıcı kullanmakla zaten, başbakanlık tarafından onaylı bir filtreleme yazılımı şemsiyesi altında olduğumuzdan, bu gerekliliği sağlamış olmuyor muyuz ?
-
function FindProxyForURL(url, host)
{
return "PROXY 10.0.0.2:8080";
}bence yukarıdaki gibi basit bir script ile başlayın,
squid non-transparent olsun
dhcp server ve dns forwarder ayarlarından https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid linkinde belirtilen hususları harfiyen uygulayın
ben firewall da proxy ip'sine gelen ve giden trafiğe izin veren yeni bir kural ekledikten sonra firewall lan rules kısmında en altta bulunan ve tüm trafiğe izin veren kuralı block yapacak şekilde değiştirdim.böylece proxy'den geçmeyen hiç bir bağlantı çalışmaz hale geldi
firefox da proxy ayarlarında üstten ikinci sıradaki seçeneği işeretledim bu seçenek proxy'i otomatik olarak tespit edip kullanıyor
3. sıradaki seçenek proxy'i tespit etmediği için direk bağlantı kurmaya çalışsa da firewall da yukarıda açıkladığım engellemeye takılıyoren güzeli ise proxy non transparent olduğu için domain düzeyinde https (SSL) bağlantılarını da filtreleme imkanı oluyor
-
tuzsuzdeli, öncelikle merhaba
ana internet sağlayıcıları da nasıl olsa bizimle(sistem yöneticileri) aynı sorumluluğa sahip, onlar yaptığına göre benim yapmama gerek yok, sorumluluk bana ait değil demek bana çok mantıklı gelmedi doğrusu, sonuçta bu bir kanun ve herhangi bir şekilde internet dağıtan herkesi ilgilendiriyor ve sorumluluk yüklüyor.
yasal bir takibatta ana servis sağlayıcı bu yükümlülüğü yerine getirmediği için cezayla karşılaşacak aynı şekilde sizde cezai sorumluluk altına gireceksiniz, çünkü yasa nezdinde en az onun kadar sorumlusunuz.
Ki bu bence çok doğru bir yaklaşım, sonuçta yasa koyucunun tek derdi internet sağlayıcılara ceza yazmak değil, yasal takibatta ihtiyaç duyduğu bilgilere ulaşımı garanti altına almak, internet servis sağlayıcısı yapmıyorsa sistem yöneticisi yapsın ve ihtiyac duyulan bilgiye ulaşılabilsin istiyor
-
function FindProxyForURL(url, host)
{
return "PROXY 10.0.0.2:8080";
}bence yukarıdaki gibi basit bir script ile başlayın,
squid non-transparent olsun
dhcp server ve dns forwarder ayarlarından https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid linkinde belirtilen hususları harfiyen uygulayın
ben firewall da proxy ip'sine gelen ve giden trafiğe izin veren yeni bir kural ekledikten sonra firewall lan rules kısmında en altta bulunan ve tüm trafiğe izin veren kuralı block yapacak şekilde değiştirdim.böylece proxy'den geçmeyen hiç bir bağlantı çalışmaz hale geldi
firefox da proxy ayarlarında üstten ikinci sıradaki seçeneği işeretledim bu seçenek proxy'i otomatik olarak tespit edip kullanıyor
3. sıradaki seçenek proxy'i tespit etmediği için direk bağlantı kurmaya çalışsa da firewall da yukarıda açıkladığım engellemeye takılıyoren güzeli ise proxy non transparent olduğu için domain düzeyinde https (SSL) bağlantılarını da filtreleme imkanı oluyor
Söyledikleriniz çok mantıklı bunu deneyeceğim, yalnız şu dhcp server ve dns forwerder kısmını anlamadım bi örnek varsa gönderebilir misin?
Ben de squidguard kullanmadan bir yol düşündüm ama saçma gelebilir. Daha denemedim ama deneyeceğim.
Blacklist' i indirdim extrack ettim. Mesela chat yazan domain dosyasını editledim. Alt alta domainler dizildi. Chat dosyasında sadece 15000 domain var :)
Sonra aliases kısmından ip den host oluşturdum. Oluşturduğum host' a domainler girdim. Ardından backup dan sadece aliases' ın backup ını aldım. conf dosyasını editledim aşağıdaki çıktı.
Sub lime text ile alt alta dizili domainleri yan yana aşağıdaki gibi oluşturup, aşağıdaki listeye ekleyip. restore edeceğim. Tüm kategoriler için aliases oluşturup, restore edilirse
Lan dan destination ekleyip 443 ve 80 portlarına block konularak, en tepede iki rule ile bu işi bitirebiliriz. olurluluğu var mıdır sizce? ::)
<aliases><alias><name>chat</name>
<address>www.facebook.com facebook.com twitter.com 031903.com</address>
<descr><type>host</type>
<detail></detail></descr></alias></aliases> -
benim önerdiğim sistemle squidguardı hem http hem de https için rahatlıkla kullanabilirsiniz, bu kadar zahmete girmenize gerek kalmaz
dhcp server ve dns forwarder menüsünün host overries kısmına resimlerdeki gibi kendi ip lerinize göre ayarları girin,
-
Öncelikle kusura bakmayın.
Ben içerik sağlayıcılar ile kullanım sağlayıcıları birbirine karıştırmışım.Söylediğiniz üzere bizim iki tane yükümlülüğümüz var. Birisi DHCP loglarını imzalı bir şekilde kaydetmek.
Diğeri ise zaralı içeriği engellemek.
Ancak bu zararlı içerik konusunun ucu çok acık.Buradan sonrası kendi yorumumdur,
Yönetmelikteİnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 3 üncü maddesinin (d) bendi, “Filtreleme yazılımı: İnternet ortamında web adresi, alan adı, IP adresi, kelime ve benzeri kriterlere göre erişimi engelleyen yazılımları ifade eder.”,
4 üncü maddesinin birinci fıkrasının (a) bendi, “İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır: a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak”,
5 inci maddesinin b bendinde “Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.”
bendinde “Başkanlık tarafından onaylanan içerik filtreleme yazılımını kullanmak”,9 uncu maddesinin (g) bendi, “İşyerlerindeki bilgisayarlarda uyuşturucu veya uyarıcı madde alışkanlığı, intihara yönlendirme, cinsel istismar, müstehcenlik, fuhuş, şiddet, kumar ve benzeri kötü alışkanlıkları teşvik eden ve 18 yaşından küçüklerin psikolojik ve fizyolojik gelişimine olumsuz etkisi olabilecek oyunlar oynatılamaz”,
gibi hükümler içeriyor.
Yine ek olarak
Bu itibarla, Ticari amaçlı İnternet Toplu Kullanım Sağlayıcılar Telekomünikasyon İletişim Başkanlığınca onaylanan filtre programlarını kullanmaları gerekmektedir.Yani ben yoruma açık olarak diyorum ki (şirket kullanıcılarıma interneti paylaştıran biri olarak) :
Zaten ticari amaçlı bir internet sağlayıcısından (örn:Ttnet) hizmet alıyorum. Ve zaten bu sağlayıcı, başbakanlığın onayladığı vesaire bir filtreleme yazılımı kullanıyor.
1- Bundan aldığım filtrelemenin üzerine ben neden filtreleme yapayım ? Zaten trafik, filtrelenmiş.
2- İçerideki bir kullanıcının mevcut ttnet filtresini aşması benim sorumluluğumda neden olsun ? Bir kullanıcı DNS değiştirip yasak bir siteye girdiğinde, ben sorumlu tutulabilir miyim ? Ya da şu anda DNS değiştirip ya da başka yollarla yasak sitelere giren her bir kullanıcısı için ttnet sorumlu mu tutulmakta ?Yani biz ticari bir servis sağlayıcı kullanmakla zaten, başbakanlık tarafından onaylı bir filtreleme yazılımı şemsiyesi altında olduğumuzdan, bu gerekliliği sağlamış olmuyor muyuz ?
Yanlış anlaşılmalar olur kardeşim, yaklaşımın yeter. Ucu açık demekte haklısın, aslında bende tam o konuya değinecektim. Tib, imzalama programının download' unu vermiş kendi sitesinde ne güzel. Yaaa kardeşim blacklistide oraya koysana indirelim. şimdi gidip pfsense yabancı blacklisti koyacağız. Sonra blacklist varmı? var, yani kuru sıkı misali. Şimdi ankarayı arayıp kardeşim blacklisti verin desem ne diyecekler acaba. Kendileri biliyor mu acaba, herkez kendi kendine blacklist hazırlayıp güncelleme bedelleri alıyor bence yok yere, bunun bir standardı olması gerekiyor.
-
benim önerdiğim sistemle squidguardı hem http hem de https için rahatlıkla kullanabilirsiniz, bu kadar zahmete girmenize gerek kalmaz
dhcp server ve dns forwarder menüsünün host overries kısmına resimlerdeki gibi kendi ip lerinize göre ayarları girin,
teşekkürler mendilli, ancak firefox' da çalışmıyor malesef, bir yerde ben hata yapıyorum ama bilemedim.
-
bunlarda diğer ayarlar
-
sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,
1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirin -
sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,
1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirindediklerinin hepsini yaptım ve çalıştı. mendilli ilgin için çok teşekkürler. çok zahmet oldu sana.
saygılar.
-
sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,
1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirindediklerinin hepsini yaptım ve çalıştı. mendilli ilgin için çok teşekkürler. çok zahmet oldu sana.
saygılar.
estagfurullah yardımım dokunduysa ne mutlu, güle güle kullanın
