Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak

mynameisozz · Mar 20, 2017, 10:22 AM

Herkese merhaba,

General setup kısmında elle verdiğim dns leri kaldırdım. Dns forwarder açıktı onu da kapattım. Dns Resolver ı aktif hale getirip ayarlarını yaptım. Tüm istemciler dns olarak pfsense i görüyor. Tüm hafta sonu test ettim, herhangi bir sorun gözlemlemedim. Şu an son derece stabil çalışıyor. Hiçbir erişim problemi yaşamıyorum, bilginize arkadaşlar. Emeği geçenlere çok teşekkür ederim.

susamlicubuk · Mar 20, 2017, 1:13 PM

tüm yaptığın ayarların ekran görüntüsünü paylaşır mısın?
birde bazı cep telefonu uygulamalarında zaman zaman bağlanılamadı gibi hata alıyormusun?

mynameisozz · Mar 21, 2017, 6:41 AM

@susamlicubuk:

tüm yaptığın ayarların ekran görüntüsünü paylaşır mısın?
birde bazı cep telefonu uygulamalarında zaman zaman bağlanılamadı gibi hata alıyormusun?

Elbette paylaşırım. Forumun yapısını bozmamak için link olarak ekliyorum.

General Setup: Burada daha önce elle verdiğim DNS ler vardı, tamamını kaldırdım.
http://i.hizliresim.com/nREQPB.png

Dns Resolver: Daha önce Dns forwarder aktif haldeydi, devre dışı bıraktım. Custom options kısmında PfBlocker eklentisinin yazdığı bir satır var. Onun dışında henüz bir ayar değişikliği gerçekleştirmedim.
http://i.hizliresim.com/ZZYX2o.png

Squid: Squid ayarları ise bu şekilde.
http://i.hizliresim.com/GB3m1N.png

Ayrıca;

Yapıda wpad yok (Tembellikten bir türlü yapamadım)
İstemcilere dağıtılmış bir sertifika yok
Yapıda bir Win 2012 R2 bulunuyor. DHCP görevini bu makine üstleniyor. Aynı zamanda DC olarak görev yapıyor. Dns ayarını dhcp üzerinden gönderiyorum.
Rules kısmında elle dns ayarı yapanlara kısıtlama getiren bir kural bulunuyor. Gerçi dns in ne olduğunu bilen kimse olmadığı için bugüne kadar ihtiyaç olmadı. Neyse konuyu dağıtmayayım.
DC nin kendisine elle dns vermek zorunda olduğum için https sitelerin açılma problemi bu cihaz üzerinde mevcut. Bu cihazın internete (windows update dışında) erişmesine ihtiyacım olmadığı için problem teşkil etmiyor.

Şu ana kadar 1 ipad, 2 android telefon, 1 iphone, ayrıca 1 windows 7 kurulu laptop ile 1 windows 10 kurulu laptop kullanarak test ettim. Gün içinde sürekli kullanıcıları gezip geri bildirim alıyorum. Kullanıcıların hiçbiri olumsuz birşey söylemedi. Ancak benim gözlemlediğim bir husus var.

Trafiğin yoğun olduğu saatlerde whatsapp mesajlarının karşıya iletilmesi biraz uzun sürüyor (Bazen 1 dakika kadar). Instagram mobil uygulaması ilk açılışta yeni postları otomatik güncelleyemiyor, manuel refresh yapınca kafayı toparlıyor, sitesi üzerinden giriş yapınca herşey normal. Bunlar iş süreçlerimize engel teşkil etmediği için bir problem olarak görmüyorum.

Ortalama her kullanıcının telefonunda/tabletinde olan uygulamaların tümünü kurup kullandım diyebilirim. Gözlemlediklerim sadece yukarıdakiler oldu. Denememi istediğiniz bir uygulama olursa memnuniyetle sonucu bildiririm.

muhammet · Apr 2, 2017, 2:48 PM

Tutarsız bir durum var, 15 kullanıcılı bir yapı'da problemsiz filtreleme yapılırken farklı bir ortamda özellikle google servislerine ssl ile erişilirken problem yaşıyoruz.

susamlicubuk · Apr 3, 2017, 10:20 AM

kullanıcı pc lerine elle dns girilmediğine emin olun.
bahsettiğiniz problem pc lerle mi alakalı yoksa mobil cihazlarla mı?

muhammet · Apr 3, 2017, 10:31 AM

@susamlicubuk:

kullanıcı pc lerine elle dns girilmediğine emin olun.
bahsettiğiniz problem pc lerle mi alakalı yoksa mobil cihazlarla mı?

Dns'ler otomatik olarak dhcp tarafindan dc'ye set edilmis durumda.

Dns olarak pfsense kullanmiyoruz, problem pc'lerde. Mobil cihazlarda test etme sansim olmadi henuz.

Pfsense uzerindeki dns resolver'i aktif ederek bir pc'ye elle pfsense dns'i verdim sonuc degismedi.

Ornek olarak chrome'da https://mail.google.com yazdigimda sol alt tarafta "guvenli baglanti olusturuluyor" kisminda bekletiyor sayfa goruntulenmiyor.

susamlicubuk · Apr 3, 2017, 12:53 PM

https ssl proxy nin zaten dns sıkıntıları var.
dns resolverdaki dns forwarderi açıp deneyin.
veya dns i otomatikte bırakıp clientlara dhcpden dc dns i basmasanız dns resolver daki host yada domain dns girdileri oluşturup deneseniz daha stabil olacaktır.
açıkçası hala wpad daha stabil ve daha hızlı.
wpadi pc ler için kullanıp https proxy yide mobile cihazlar için kullanmak daha sağlıklı çözüm.

tuzsuzdeli · Apr 3, 2017, 2:05 PM

wpad'li yapı yerine clientlara elle proxy yazmak aynı sonucu verir mi ?
yani prensipte aynı işlem mi bu ?

susamlicubuk · Apr 3, 2017, 4:43 PM

Verirde bazı siteler için bypas gerekebilir

mynameisozz · Apr 4, 2017, 8:12 PM

@muhammet:

@susamlicubuk:

kullanıcı pc lerine elle dns girilmediğine emin olun.
bahsettiğiniz problem pc lerle mi alakalı yoksa mobil cihazlarla mı?

Dns'ler otomatik olarak dhcp tarafindan dc'ye set edilmis durumda.

Dns olarak pfsense kullanmiyoruz, problem pc'lerde. Mobil cihazlarda test etme sansim olmadi henuz.

Pfsense uzerindeki dns resolver'i aktif ederek bir pc'ye elle pfsense dns'i verdim sonuc degismedi.

Ornek olarak chrome'da https://mail.google.com yazdigimda sol alt tarafta "guvenli baglanti olusturuluyor" kisminda bekletiyor sayfa goruntulenmiyor.

merhaba,

dns i pfsense tarafına yönlendirip, dns resolver ile dc yi tanımlama şeklinde deneme yapmanız mümkün mü. bir süredir bu şekilde kullanıyorum ve oldukça memnunum.

muhammet · Apr 5, 2017, 11:33 PM

@susamlicubuk:

https ssl proxy nin zaten dns sıkıntıları var.
dns resolverdaki dns forwarderi açıp deneyin.
veya dns i otomatikte bırakıp clientlara dhcpden dc dns i basmasanız dns resolver daki host yada domain dns girdileri oluşturup deneseniz daha stabil olacaktır.
açıkçası hala wpad daha stabil ve daha hızlı.
wpadi pc ler için kullanıp https proxy yide mobile cihazlar için kullanmak daha sağlıklı çözüm.

Dns resolver'ı aktif edip, problem çıkaran bir pc'ye el ile pfsense'i dns server olarak atadım ancak sonuç değişmedi, yine aynı şekilde özellikle google servislerini çözümleyemiyor.

İşin ilginç tarafıysa it danışmanlığını yaptığımız farklı bir müşteride yaklaşık 1 aydır problemsiz olarak ssl filtreleme aktif durumda.

@mynameisozz:

@muhammet:

@susamlicubuk:

kullanıcı pc lerine elle dns girilmediğine emin olun.
bahsettiğiniz problem pc lerle mi alakalı yoksa mobil cihazlarla mı?

Dns'ler otomatik olarak dhcp tarafindan dc'ye set edilmis durumda.

Dns olarak pfsense kullanmiyoruz, problem pc'lerde. Mobil cihazlarda test etme sansim olmadi henuz.

Pfsense uzerindeki dns resolver'i aktif ederek bir pc'ye elle pfsense dns'i verdim sonuc degismedi.

Ornek olarak chrome'da https://mail.google.com yazdigimda sol alt tarafta "guvenli baglanti olusturuluyor" kisminda bekletiyor sayfa goruntulenmiyor.

merhaba,

dns i pfsense tarafına yönlendirip, dns resolver ile dc yi tanımlama şeklinde deneme yapmanız mümkün mü. bir süredir bu şekilde kullanıyorum ve oldukça memnunum.

Merhaba,

Bence sorun dns çözümleme tarafında değil, lokal dns sunucusu başarılı bir şekilde çözümlemeleri yapıyor. Google'ın kullandığı ssl'leri çözemiyor gibi sanki. Google dışında facebook, twitter, youtube, banka siteleri hiç birinde problem yok.

vitamin122 · Apr 27, 2017, 8:07 PM

çok teşekkür ederim öncelikle sorunsuz çalıştı. sadece chrome da youtube açıyor bu neden olabilir acaba

aslanakyol · May 11, 2017, 9:55 AM

@mynameisozz:

Herkese merhaba,

General setup kısmında elle verdiğim dns leri kaldırdım. Dns forwarder açıktı onu da kapattım. Dns Resolver ı aktif hale getirip ayarlarını yaptım. Tüm istemciler dns olarak pfsense i görüyor. Tüm hafta sonu test ettim, herhangi bir sorun gözlemlemedim. Şu an son derece stabil çalışıyor. Hiçbir erişim problemi yaşamıyorum, bilginize arkadaşlar. Emeği geçenlere çok teşekkür ederim.

Bide pfblockerng yüklü olması mı lazım?
Bunun ayarları hakkındada bilgi verebilir misiniz?

mynameisozz · May 11, 2017, 10:34 AM

@aslanakyol:

@mynameisozz:

Herkese merhaba,

General setup kısmında elle verdiğim dns leri kaldırdım. Dns forwarder açıktı onu da kapattım. Dns Resolver ı aktif hale getirip ayarlarını yaptım. Tüm istemciler dns olarak pfsense i görüyor. Tüm hafta sonu test ettim, herhangi bir sorun gözlemlemedim. Şu an son derece stabil çalışıyor. Hiçbir erişim problemi yaşamıyorum, bilginize arkadaşlar. Emeği geçenlere çok teşekkür ederim.

Bide pfblockerng yüklü olması mı lazım?
Bunun ayarları hakkındada bilgi verebilir misiniz?

merhaba,

https filtreleme için pfblocker a ihtiyacınız yok.

aslanakyol · May 11, 2017, 10:48 AM

DNS Resolver içerisinde Custum Options ta (3. Resim) bir değer var.

Yazıp kaydetmeye çalıştığımda dosyanın olmadığına dair hata veriyor.
O sebeple sordum.
Bu durumda o parametreyi yazmayacakmıyız?

mynameisozz · May 11, 2017, 4:24 PM

@aslanakyol:

DNS Resolver içerisinde Custum Options ta (3. Resim) bir değer var.

Yazıp kaydetmeye çalıştığımda dosyanın olmadığına dair hata veriyor.
O sebeple sordum.
Bu durumda o parametreyi yazmayacakmıyız?

Merhaba,
Doğrudur, o değeri (kurulu olsaydı) pfblocker oraya otomatik yazıyor. Sizin buna ihtiyacınız yok.

raiko · Jun 22, 2017, 10:31 AM

Öncellikle çok teşekkür ediyorum. Çok stabil bir şekilde kullanıyorum ve çalışıyor. Benim Sorunum çok fazla ram tüketimi 4gb ram 3-4 saat içinde yüzde 80 kullanım ve swap usage yüzde 30 lara geliyor. Normalmidir ?

muhammet · Jun 22, 2017, 11:36 PM

Bir yerde hata mı yapıyorum hala stabil şekilde çalışmıyor. :)

Wpad ile client'lara proxy dağıttığımda problem çıkmıyor ancak mobil cihazlarda ssl bağlantılarında problem çıkabiliyor.

Özellikle wifi üzerinden whatsapp'da bağlantı problemleri ciddi gecikmeler yaşıyorum, herhangi bir engelleme olmamasına rağmen.

kalender · Jul 24, 2017, 2:06 PM

s.a arkadaşlar konuda anlatılan squid+squidguard ile https sitelerin içerik filtrelemesini bir türlü yapamadım yardımcı olabilirseniz sevinirim

pfsense 2.3.4 64 bit sürümü kurulu dhcp server kullanmıyorum pc lerde sabit ip verili

2 adet internet hattı var biri varsayılan internet hattı diğeri içinse rules kısmında kurallar ile

online oyunları ona yönlendiriyorum load balance veya fail over yok

captive portal ı ise sadece mac filtreleme için kullanıyorum yani captive portal aktif ve macs kısmına pfsense

üzerinden internete çıkan pc lerin mac adresleri girili

ayrıca aşağıdaki linkteki videodanda faydalanmaya çalıştım
https://www.youtube.com/watch?v=F8gmaNQxeRA

sistemde dhcp açık olmadığı için wpad(ki daha önce hiç kullanmadım hiç ihtiyacımda olmadı) benzeri

clientlara sertifika dağıtan bir uygulama veya mekanizma da yok

pfsense i internet kafede kullanıyorum işin ilginç tarafıda burada başlıyor

clientlara sertifika yüklemediğim halde herhangi bir güvenli bağlantı sorunu falan almış değilim
dün gece ana makinaya sertifikayı yükledim(win7 prof 64bit) hatta mozilla chrome ve opera
tarayıcılarında ayarlardan sertifikayı içe aktar yapmama rağmen hem bağlantı sertifika sorunu yok
HEMDE SQUİDGUARD FİLTRELEME YAPMIYOR

örneğin squidguard common acl de social seçeneğini deny yapıp save edip allow tıklayıp tekrar save edip
hatta state reset yapıp denediğimde facebook twitter instagram ana giriş sayfalarını açıyor :(

Yardımcı olabilen olamayan herkese şimdiden teşekkürler hayırlı çalışmalar

![Snap 2017-07-24 at 15.53.16.png](/public/imported_attachments/1/Snap 2017-07-24 at 15.53.16.png)
![Snap 2017-07-24 at 15.53.16.png_thumb](/public/imported_attachments/1/Snap 2017-07-24 at 15.53.16.png_thumb)
![Snap 2017-07-24 at 15.53.35.png](/public/imported_attachments/1/Snap 2017-07-24 at 15.53.35.png)
![Snap 2017-07-24 at 15.53.35.png_thumb](/public/imported_attachments/1/Snap 2017-07-24 at 15.53.35.png_thumb)