Squidguard запрет https трафика.

randreevich

@Guf-Rolex-X:

-включил режим прокси HTTPS
-создал Aliases с IP адресами которым разрешено ходить в обход прокси
-включил Transparent HTTP Proxy
-указал IP адреса которые будут ходить в обход прокси Bypass Proxy for Private Address Destination
-в Rules создал правило с альясом IP адресов которое создал ранее
клиентам которые должны ходить в обход на их ПК в свойствах обозревателя убрал IP прокси и поставил автоматически (все роде бы замечательно)., но теперь какой нибудь ушлый клиент может так же у себя поставить автоматически и будет лазить везде где захочет.
и еще у тех клиентов у которых остался прописан IP прокси, блокируется все что я указал для блокировки в Squiguard, а как мне разрешить к примеру определенный сайт этому клиенту, что я сделал, я создал свой Target Rules List в нем указал домен сайта который мне нужен в данном случае vk.com для проверки, создал Groups ACL с IP клиента, разрешил ему там этот самый ВК, нажал применить Apply, и…и ничего не заработало, что я делаю не так...подскажите пожалуйста уже измучился со squidguard,ом.
и еще происходит какая то ерунда в Свойствах обозревателя настройка сети ставлю автоматом проходит какое то время захожу опять в настройки а у меня опять прописан IP прокси, что это такое откуда он его присваивает..

возможно ли вообще настроить так что бы был не прозрачный прокси, IP адрес прокси сервера прописан в настройках браузера, разрешать определенным IP ходить мимо прокси, а у остальных все блокировалось согласно правилам гуарда, но в свою очередь для некоторых открывать определенные сайты???

в SquidGuard - Common ACL - Target Categories - Default access [all] = deny!
начните с этого…

Guf-Rolex-X

@randreevich:

@Guf-Rolex-X:

-включил режим прокси HTTPS
-создал Aliases с IP адресами которым разрешено ходить в обход прокси
-включил Transparent HTTP Proxy
-указал IP адреса которые будут ходить в обход прокси Bypass Proxy for Private Address Destination
-в Rules создал правило с альясом IP адресов которое создал ранее
клиентам которые должны ходить в обход на их ПК в свойствах обозревателя убрал IP прокси и поставил автоматически (все роде бы замечательно)., но теперь какой нибудь ушлый клиент может так же у себя поставить автоматически и будет лазить везде где захочет.
и еще у тех клиентов у которых остался прописан IP прокси, блокируется все что я указал для блокировки в Squiguard, а как мне разрешить к примеру определенный сайт этому клиенту, что я сделал, я создал свой Target Rules List в нем указал домен сайта который мне нужен в данном случае vk.com для проверки, создал Groups ACL с IP клиента, разрешил ему там этот самый ВК, нажал применить Apply, и…и ничего не заработало, что я делаю не так...подскажите пожалуйста уже измучился со squidguard,ом.
и еще происходит какая то ерунда в Свойствах обозревателя настройка сети ставлю автоматом проходит какое то время захожу опять в настройки а у меня опять прописан IP прокси, что это такое откуда он его присваивает..

возможно ли вообще настроить так что бы был не прозрачный прокси, IP адрес прокси сервера прописан в настройках браузера, разрешать определенным IP ходить мимо прокси, а у остальных все блокировалось согласно правилам гуарда, но в свою очередь для некоторых открывать определенные сайты???

в SquidGuard - Common ACL - Target Categories - Default access [all] = deny!
начните с этого…

но ведь так я заблокирую совсем все, а мне нужно заблокировать некоторые категории из Blacklist и некоторые сайты из этих категорий разрешить определенным клиентам, а некоторых вообще в обход пускать, и как и где настраивать WPAD не пойму если есть AD.

Guf-Rolex-X

создал правило в Target categories обозвал VK в Domain List указал vk.com
создал в Groups ACL клиента обозвал PC указал в Client (source) его IP адресс
в Target Rules мое правило указал как whitelist сохранил все
нажал Apply опять сохранился.
почему squidguard все равно блокирует vk.com, что не так?
по идее же он должен пускать на этот ресурс
что не так???

• мне нужно что бы VIP персоны скажем так ходили в интернет мимо прокси (ну или если без включенного прозрачного прокси так нельзя то на них на каждого тоже правила создавать)
• заблокировать некоторые категории из blacklist в squidguard
• из этих категорий некоторые сайты разрешать определенным IP
  все…что я делаю не так, понятно что можно все заблокировать и так далее а как разрешать то?
  может кто нибудь объяснить что у меня с настройками не так...запарился уже
  сейчас кстати IP прокси на всех клиентах прописаны в браузерах, автоматом не получается поставить (вернее получается но потом обновляется и опять IP прокси прописывается) так как нужно наверное настраивать WPAD, а как и где я понятия не имею, так как у нас есть только частичный доступ в консоль AD а там ничего подобного я не нашел.

Guf-Rolex-X

не пойму при создании WPAD в URL что указывать нужно?
http://<securityservername>:<portnumber>/wpad.dat, где SecurityServerName — полное доменное имя Security Server, а PortNumber — это порт, на котором публикуется информация WPAD в Forefront TMG
ip можно домена указывать или только имя, и обязателен ли порт? 80
т.е http://192.168.50.xx/wdap.dat или http://domen.ru:80/wdap.dat домен указывается на котором DHCP?</portnumber></securityservername>

Guf-Rolex-X

скажите как работает Transparent HTTP Proxy
т.е когда у меня на pfSense стоит Transparent HTTP Proxy, то в свойствах браузера IP прокси и порт автоматически прописываются как на первом скрине или же прям должна стоять галочка автоматическое определение параметров для прозрачного прокси.

так или так

я ставлю у себя к примеру на ПК автоматическое определение параметров у меня через некоторое время бац и опять прописывает IP прокси в настройках, откуда он там берется? раньше такого небыло

Scodezan

Автоматическое определение – это для тех у кого динамический адрес. Местоположение WPAD сценария подсказывает DHCP сервер.
Использовать сценарий -- для тех, у кого есть сценарий, но адрес статика.

В случае прозрачного прокси в браузере настройки прокси указывать не нужно.

Ajlex71

Если прописать алиас с IP, а в фаерволе прописать правило где source будет созданный алиас с IP, а остальные параметры поставить any, у юзеров прописать шлюз на pfsense, тогда в инет напрямую миную прокси пойдут ip из алиаса.
Может не в тему но у меня так настроено

Guf-Rolex-X

@Ajlex71:

Если прописать алиас с IP, а в фаерволе прописать правило где source будет созданный алиас с IP, а остальные параметры поставить any, у юзеров прописать шлюз на pfsense, тогда в инет напрямую миную прокси пойдут ip из алиаса.
Может не в тему но у меня так настроено

у меня именно так и сделано, я создал альяс с IP адресами которые хочу пустить мимо прокси, создал правила в source указал свой альяс, все остальное any, у клиентов этих стоит шлюзом IP pf, но это нифига не работает,  :'(  почему не понимаю
прокси у меня в HTTPS режиме, в свойствах браузера указан IP pf
также включен прозрачный прокси и внем в Bypass Proxy for Private Address Destination также указаны IP адреса из созданного альяса, в настройках браузера ставлю авто определение, а спустя какое то время у меня опять там IP прокси появляется, откуда он там берется раньше такого не было.
вот мои правила

последнее VIP и есть то самое правило

Guf-Rolex-X

а как разрешать то что заблокировано в гуарде вообще не понятно,
заблокировал некоторые категории в Common ACL
из одной категории мне нужно открыть клиенту к примеру horo.mail.com
создал свой список Target categories куда добавил horo.mail.com
создал группу с IP клиента разрешил ему там horo.mail.com все замечательно работает
но ни с ok.ru ни с vk.com ни с youtube.com не прокатывает так а почему не понятно хотя horo.mail.com тоже соединяется по протоколу https
в чем дело вообще не понимаю…
и еще если я в группе разрешаю что то определенное а остальное не фильтруется оно у него не будет фильтроваться и он будет ходить куда захочет или правила из Common ACL которые для всех будут распространяться на него, или же заново у него в этом листе блоеировать все тоже самое что и в Common ACl, если это так то это очень не удобно

Guf-Rolex-X

@Scodezan:

Автоматическое определение – это для тех у кого динамический адрес. Местоположение WPAD сценария подсказывает DHCP сервер.
Использовать сценарий -- для тех, у кого есть сценарий, но адрес статика.

В случае прозрачного прокси в браузере настройки прокси указывать не нужно.

а какой формат у URl при создании WPAD http://domen.ru:port/wdap.dat если у меня прокси в https режиме то мне порт 443 и протокол https указывать получается, т.е после всего этого никаких IP прописывать не нужно будет, и должен быть включен прозрачный прокси на pf?