SSL FILTRELEME (SQUID3-DEV // SQUIDGUARD-SQUID3)
-
Bende bugün itibarı ile SSL i aktif ettim şu an tüm clientlere sertifikayı da yükledim sorun olup olmayacağına bakacam gelişmeleri başlık altından bildiririm.
Çalışma için çok teşekkürler.
-
Geribildirim
Windows update servisi çakılıyor ayrıca windows etkinleştirme sistemleri de çakılıyor Sorun SSL den kaynaklı…
https://forum.pfsense.org/index.php?topic=68388.msg454915#msg454915
Çözüm updateler için var gibi test ediyorum ama etkinleştirmeler halen çakılıyor. -
white list'e yazılan domainler sslden geçmiyor diye biliyorum acl yazmak yerine direk microsoft sitelerini whitelist'e alabiliriz. şimdi update olayını bende deneyeceğim
-
Updateler için fix çalışıyor
Custom ACLS (Before_Auth) Kısmına aşağıdaki kodları girin
acl broken_sites dstdomain .update.microsoft.com acl broken_sites dstdomain .ds.download.windowsupdate.com acl broken_sites dstdomain .swupdl.adobe.com acl broken_sites dstdomain .ccmdl.adobe.com ssl_bump none broken_sites http_access allow localnet always_direct allow all ssl_bump server-first allCustom ACLS (After_Auth) Kısmına da aşağıdakileri girin
always_direct allow all ssl_bump server-first all -
Updateler için fix çalışıyor
Custom ACLS (Before_Auth) Kısmına aşağıdaki kodları girin
acl broken_sites dstdomain .update.microsoft.com acl broken_sites dstdomain .ds.download.windowsupdate.com acl broken_sites dstdomain .swupdl.adobe.com acl broken_sites dstdomain .ccmdl.adobe.com ssl_bump none broken_sites http_access allow localnet always_direct allow all ssl_bump server-first allCustom ACLS (After_Auth) Kısmına da aşağıdakileri girin
always_direct allow all ssl_bump server-first allPeki, buralarda problem çıkmasının mantığı ne ?
Başka nerelerde sıkıntı yaşanabilir onu öngörmek için soruyorum. -
microsoft'un nasıl bir server'ı varsa oda bizim içeriğine filtre koyduğumuz paketi okuyup bunun erişildiğini fark edip
update servisini vermiyor çünkü sayfasındaki hata kodunu araştırdığımda ssl sertifika hatası olarak gözüküyor belki rapid comodo ssl'li filtre'de sıkıntı çıkmayabilir ama belli de olmaz.. ayrıca bu sistemi kullanan yapan kaç yer olur bilemeyiz ama sorun yaşadığımız yerlerde update adresini acl olarak yazarak TechnicaL test etmiş updateler sorun çıkartmıyor bu da iyi haber geri kalanı sadece ihtiyacımız olan update adreslerini bulmak.bu arada squid'in yaptığı ssl filtreleme sadece url'ler üzerinden
yani mplayer.swf(http://www,auauaua.com/stream) falan şekilde embed kodlarla çalışan yerleri yakalayamıyor çünkü erişimi tarayıcı değil flash dosyası yapıyor ve squid bunları okuyamıyor layer 7'de buna göre regex yazılması lazım ama layer 7 de https ye bakmıyor çok karmaşık durum hot spot shield zenmate vb gibi programların bağlantıları kontrol edilemiyor squid üzerinden
bununla ilgili olarak snort kurdum kurallarını inceliyorum programların erişimlerini tespit edebiliyor mu bunlara bakacağım team viewer için hem indirirken hem server'a ping atarken hem bağlantı kurulurken yakalamak için kuralları var ama yakalayıp ne yapıyor ya da bizim ne yapmamız lazım bunları inceleyip geri dönüş yapacağım
-
Peki, buralarda problem çıkmasının mantığı ne ?
Başka nerelerde sıkıntı yaşanabilir onu öngörmek için soruyorum.Burda sorun çıkmıyor sorun Aktivasyon web sitelerini eklediğinde çıkıyor squid servisi çakılıyor.
-
Windows Update lerle ilgili sorun yaşayanlar için squidden bypass yapabilirsiniz.
technet update server ip konusu
https://social.technet.microsoft.com/Forums/windowsserver/en-US/b596aa81-2775-496c-b159-dcfc5c5bf22d/windows-update-ip-addresses-range-and-subnet-mask-for-windows-server-2008?forum=winserversecurityipler
65.0.0.1/8;70.0.0.1/8;94.0.0.1/8;111.0.0.1/8;132.0.0.1/8;157.0.0.1/8;207.0.0.1/8;213.0.0.1/8 -
Merhabalar,
PfSense 2.2 x64 üzerinde squid3-dev paketi görünmüyor. SSL filtrelemeyi nasıl yapacağız? Deneyen arkadaşımız var mı?…Kolay gelsin,
Mucip:) -
Merhabalar,
ilk önce anlatım için teşekkürler. pfsense 2.1.5 x64 üzerinde squid3-dev ve squidGuard-squid3 sistemime kurulu burada verilen tüm ayarları gerçekleştirdim gayet başarılı bir şekilde çalışıyor kısıtlamalarda yaptım ssl filtrelemeyide gerçkeliştirdim https siteleri başarılı bir şekilde çalışıyor. kısıtlı ve kısıtsız olarak kullanıcı grupları oluşturdum. kısıtsız grupdan olan kullanıcalara herşeyi eriyor ama torrent indirme işlemi yapmıyor. bunun neden kaynaklandığını çözemedim. bu konuda yardımcı olabilirmisiniz. bazı sitelerde sertifika hatasıda alınıyor mesela 100 site içerisinde 10 tanesinde bu uyarı veriyor. geçerli problemsiz bir sertifika nasıl oluşturulabilir. :(
kolay gelsin
-
Arkadaşlar System> Proxy Filter'a giremiyorum.
Parse error: syntax error, unexpected '}' in /usr/local/pkg/squidguard_configurator.inc on line 102 hatası alıyorum.
Yardım edermisiniz?Edit:custom settings : integrations aşağıdaki kodu yazınca sorun Çözüldü```
url_rewrite_program /usr/pbi/squidguard-squid3-amd64/bin/squidGuard -c /usr/pbi/squidguard-squid3-amd64/etc/squidGuard/squidGuard.conf;url_rewrite_bypass off;url_rewrite_children 16 startup=8 idle=4 concurrency=0Edit 2: Sorun devam ediyor düzelmedi -
pf 2.1.5 32 ve 64 de de denedim makineye resatart atınca squidgurad tekrar hata veriyor.
pach işlemi uygulayınca syntax error vermesinin nedeni nedir.
/usr/local/pkg/squidguard_configurator.inc dosyasını eskisi ile değiştirince error vermiyor.Zaten patch işlemi bu dosyayı etkiliyor.ing. bölümünde pach işleminden sonra paketi tekrar kurun demiş ama dosya değişince paket de yüklenemiyor.
-
Sorunu çözdüm sonunda.
Burada verilen patch bende omadı.
/usr/local/pkg/squidguard_configurator.inc dosyasını editledim.
dosyanın 102-113 satırları aşağıdaki gibi olacak(siz de değişebilir)
# squid config options # ------------------------------------------------------------------------------ define('REDIRECTOR_OPTIONS_REM', '# squidGuard options'); define('REDIRECTOR_PROGRAM_OPT', 'url_rewrite_program'); define('REDIRECT_BYPASS_OPT', 'url_rewrite_bypass'); define('REDIRECT_CHILDREN_OPT', 'url_rewrite_children'); define('REDIRECTOR_OPTIONS_REM', '# squidGuard options'); define('REDIRECTOR_PROCESS_COUNT', '16 startup=8 idle=4 concurrency=0'); # redirector processes count will started if ($pf_version >= 2.1) { define('REDIRECTOR_PROGRAM_OPT', 'url_rewrite_program'); define('REDIRECT_BYPASS_OPT', 'url_rewrite_bypass'); define('REDIRECT_CHILDREN_OPT', 'url_rewrite_children'); define('REDIRECTOR_PROCESS_COUNT', '16 startup=8 idle=4 concurrency=0'); } else { define('REDIRECTOR_PROGRAM_OPT', 'redirect_program'); define('REDIRECT_BYPASS_OPT', 'redirector_bypass'); define('REDIRECT_CHILDREN_OPT', 'redirector_children'); define('REDIRECTOR_PROCESS_COUNT', '5'); } # ------------------------------------------------------------------------------ # squidguard config optionsŞuanda sorunsuz bie şekilde çalışıyor.
Edit : Yazım hatası
-
Arkadaşlar merhaba sistemi kurdum orjinal rapidssl sertifikası ile gayet düzgün çalışıyor ancak Whatsapp da resim gönderilmiyor ssl aktif olunca resim gönderermiyor alamıyor, bu sorun ile kaynak da bulamadım yardımcı olacak arkadaşlara şimdiden teşekkür ederim
-
Son güncelleme ile squid ile squidguard hatasını çözebilen oldumu? Squid ile birlikte squidguard çalışmamakta.
-
Merhaba,
Mobil cihazlar için bir önerisi olan var mı ?
-
Son güncelleme ile squid ile squidguard hatasını çözebilen oldumu? Squid ile birlikte squidguard çalışmamakta.
pfsense 2.2.2 de temiz kurulum ile squid3 0.2.8 - squidGuard 1.9.14 sorunsuz çalışıyor stop sorunu olmadı.
Merhaba,
Mobil cihazlar için bir önerisi olan var mı ?
mobil cihazlarda https siteleri engellemek istiyorsan eğer
1. seçenek https siteleri firewall rule ile ip den yasaklama
2. seçenek non transparent modda wpad ile proxy kullanmaya zorlayabilrsin bunu yaparsan ios cihazlarda wireless ayarında http proxy auto olacak ve android cihazlarda da proxy adresini ve portunu manuel yazman gerekli.
3. seçenek ssl filterı aktif edip bağlanan mobil cihazlarda sertifika yüklemen gerekli.
veya wireless cihazlar için ap alırken mikrotik alıp router modunda çalıştırıp layer7 ile https leri engelleyebilirsiniz.
fiyatlar ürüne göre 30-100$ arası değişir.
