Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak

kalender

s.a arkadaşlar konuda anlatılan squid+squidguard ile https sitelerin içerik filtrelemesini bir türlü yapamadım yardımcı olabilirseniz sevinirim

pfsense 2.3.4 64 bit sürümü kurulu dhcp server kullanmıyorum pc lerde sabit ip verili

2 adet internet hattı var biri varsayılan internet hattı diğeri içinse rules kısmında kurallar ile

online oyunları ona yönlendiriyorum load balance veya fail over yok

captive portal ı ise sadece mac filtreleme için kullanıyorum yani captive portal aktif ve macs kısmına pfsense

üzerinden internete çıkan pc lerin mac adresleri girili

ayrıca aşağıdaki linkteki videodanda faydalanmaya çalıştım
https://www.youtube.com/watch?v=F8gmaNQxeRA

sistemde dhcp açık olmadığı için wpad(ki daha önce hiç kullanmadım hiç ihtiyacımda olmadı) benzeri

clientlara sertifika dağıtan bir uygulama veya mekanizma da yok

pfsense i internet kafede kullanıyorum işin ilginç tarafıda burada başlıyor

clientlara sertifika yüklemediğim halde herhangi bir güvenli bağlantı sorunu falan almış değilim
dün gece ana makinaya sertifikayı yükledim(win7 prof 64bit) hatta mozilla chrome ve opera
tarayıcılarında ayarlardan sertifikayı içe aktar yapmama rağmen hem bağlantı sertifika sorunu yok
HEMDE SQUİDGUARD FİLTRELEME YAPMIYOR

örneğin squidguard common acl de social seçeneğini deny yapıp save edip allow tıklayıp tekrar save edip
hatta state reset yapıp denediğimde facebook twitter instagram ana giriş sayfalarını açıyor :(

Yardımcı olabilen olamayan herkese şimdiden teşekkürler hayırlı çalışmalar


kalender

üstteki mesajımda son iki resim sığmadı diğer iki resmide buraya ekledim teşekkürler

ÖNEMLİ EKLEME: General Setup kısmında girili olan dnsler servis sağlayıcıların (vodafone+türknet)

dnsleri ayrıca vodafone (yani internet hattında) güvenli internet aktif onuda belirteyim

kalender

Selamlar arkadaşlar

yaptığım araştırmada aşağıdaki linkteki konu sahibi arkadaşın

anlatımında belittiği işlemi yapınca çok şükür https filtreleme çalışmaya başladı

https://forum.pfsense.org/index.php?topic=112335.0

konuda belittiği küçük ayrıntı yani daha önce yapmadığım fakat sonra uygulayınca
filtrelemenin çalışmaya başladığı ayar budur (daha önce HTTPS seçiliydi)

"set pfsense Protocol to http (This is a MUST, it will not work if you do not do this)
System: Advanced: Admin Access Protocol http"

Türkçesi pfsense te System>Advanced yoluna gittiğimizde HTTP SEÇİLİ OLMALI DİYOR

aşağıya resimde ekliyorum

ayrıca şunuda belirteyim kullandığım sürümüde bu işlemi yapmadan önce

2.3.4-RELEASE-p1 (amd64)
built on Fri Jul 14 14:52:43 CDT 2017
FreeBSD 10.3-RELEASE-p19

sürümüne yani 2.3.4 patch1 sürümüne güncelledim

ve rem kullanımı yaklaşık %20 ler civarında geziyor
artı eksi %5 artıp düşebiliyor ama bende dhcp kapalı ve wpad gibi bir
sertifika dağıtan bir uygulama yok

squid tranparent modda çalışıyor clientlara herhangi bir sertifika yüklememe de gerek kalmadı
ama internet options ta 2. resimde görülen ayarları otomatik algıla seçeneğinin işaretli olması gerekiyor

umarım sorunla karşılaşan arkadaşlara yardımcı olabilmişimdir hepinize hayırlı çalışmalar


plusbil

Peki bütün bu ayarlarla beraber multiwan çalışabilen var mı? Ben yaklaşık 1 aydır beceremedim. :) 2.1.5'teki ayarları deniyorum ama olmuyor, çalışmadı bir türlü. 4 wan var, ancak gruplandırmaya bakmaksızın "default" hangisiyse onunla çıkıyor bütün makinalar. 2.1.5'te squid ile multiwan'ı çözüldü diye sevinmiştik, şimdi ssl'i çözüldü ama bu sefer de multiwan gitti. :)

susamlicubuk

@kalender:

Selamlar arkadaşlar

yaptığım araştırmada aşağıdaki linkteki konu sahibi arkadaşın

anlatımında belittiği işlemi yapınca çok şükür https filtreleme çalışmaya başladı

https://forum.pfsense.org/index.php?topic=112335.0

konuda belittiği küçük ayrıntı yani daha önce yapmadığım fakat sonra uygulayınca
filtrelemenin çalışmaya başladığı ayar budur (daha önce HTTPS seçiliydi)

"set pfsense Protocol to http (This is a MUST, it will not work if you do not do this)
System: Advanced: Admin Access Protocol http"

Türkçesi pfsense te System>Advanced yoluna gittiğimizde HTTP SEÇİLİ OLMALI DİYOR

aşağıya resimde ekliyorum

ayrıca şunuda belirteyim kullandığım sürümüde bu işlemi yapmadan önce

2.3.4-RELEASE-p1 (amd64)
built on Fri Jul 14 14:52:43 CDT 2017
FreeBSD 10.3-RELEASE-p19

sürümüne yani 2.3.4 patch1 sürümüne güncelledim

ve rem kullanımı yaklaşık %20 ler civarında geziyor
artı eksi %5 artıp düşebiliyor ama bende dhcp kapalı ve wpad gibi bir
sertifika dağıtan bir uygulama yok

squid tranparent modda çalışıyor clientlara herhangi bir sertifika yüklememe de gerek kalmadı
ama internet options ta 2. resimde görülen ayarları otomatik algıla seçeneğinin işaretli olması gerekiyor

umarım sorunla karşılaşan arkadaşlara yardımcı olabilmişimdir hepinize hayırlı çalışmalar

web gui portu http seçili olmasınının https proxy ile bir alakası yok wpad kullanacaksanız http şart veya nginx ile yönlendirme şart.
squidguard ayarlarında ip adresi ile erişimi yasakla aktif iken tag/none hataları yüzünden bazı sitelerde hata alabilirsiniz.
konuyla çok alakalı değil ama loadbalance kullanıyor musunuz? veya multiwan da fail over yapısınıda ekleyince down olan hattan sonra squid sorunsuz 2. hatta yükü devrediyor mu?

tuzsuzdeli

@susamlicubuk:

web gui portu http seçili olmasınının https proxy ile bir alakası yok wpad kullanacaksanız http şart veya nginx ile yönlendirme şart.
squidguard ayarlarında ip adresi ile erişimi yasakla aktif iken tag/none hataları yüzünden bazı sitelerde hata alabilirsiniz.
konuyla çok alakalı değil ama loadbalance kullanıyor musunuz? veya multiwan da fail over yapısınıda ekleyince down olan hattan sonra squid sorunsuz 2. hatta yükü devrediyor mu?

failover yapısında eğer ayarlarda "default gateway switching" seçili ise problemsiz çalışıyor.

ancak:
sondan bir önceki versiyonda, squid, birinci hat gidip, ikinci hat üzerinden çalışırken, birinci hat tekrar online olduğunda yine de ikinci hat üzerinden çalışmaya devam ediyordu.
son versiyonda durum nedir bilmiyorum.

plusbil

Son versiyonda failover çalışmıyor. Daha doğrusu tutarsız. Bir aydır kullanıyor ve kurcalıyorum. Geçen haftaya kadar failover hiç çalışmadı. Dahası; rules ile 4 wan'a ayırdığım ağdaki makinalar da rules kurallarına uymak yerine, hep defaulttan çıkış yaptı. Geçen hafta  proxyden vazgeçip failover için 2.1.5'e dönüşe karar verdim ve "ne kadar daha bozabilirim ki" düşüncesiyle başka bir konudaki üyenin yazdığı loadbalancing ayarlarını denemeye karar verdim. O ayarlar neti kökten kesti, ben de ayarları geri sildim ve makinayı tekrar başlattım, bir anda rules komutları ve failover çalışmaya başladı. Multiwan çalışmadı ama failover düzgün şekilde çalışıyordu. Ama bu sefer de lightsquid ve squidguard ayarları iptal oldu. Ne yapıp ettiysem çalışmadı, çalışıyor görünüyor ama proxyden veri çekmiyordu. Sürümün herbirşeyi düzgün çalışana kadar, 2.3.4 makinayı sistemden çekmeye karar verdim ben de, proxy olmadan 2.1.5 versiyona devam.

susamlicubuk

@plusbil:

Son versiyonda failover çalışmıyor. Daha doğrusu tutarsız. Bir aydır kullanıyor ve kurcalıyorum. Geçen haftaya kadar failover hiç çalışmadı. Dahası; rules ile 4 wan'a ayırdığım ağdaki makinalar da rules kurallarına uymak yerine, hep defaulttan çıkış yaptı. Geçen hafta  proxyden vazgeçip failover için 2.1.5'e dönüşe karar verdim ve "ne kadar daha bozabilirim ki" düşüncesiyle başka bir konudaki üyenin yazdığı loadbalancing ayarlarını denemeye karar verdim. O ayarlar neti kökten kesti, ben de ayarları geri sildim ve makinayı tekrar başlattım, bir anda rules komutları ve failover çalışmaya başladı. Multiwan çalışmadı ama failover düzgün şekilde çalışıyordu. Ama bu sefer de lightsquid ve squidguard ayarları iptal oldu. Ne yapıp ettiysem çalışmadı, çalışıyor görünüyor ama proxyden veri çekmiyordu. Sürümün herbirşeyi düzgün çalışana kadar, 2.3.4 makinayı sistemden çekmeye karar verdim ben de, proxy olmadan 2.1.5 versiyona devam.

squid olmadan yeni versiyonda failover da çalışıyor loadbalance ta
sorun yaşamanız garipmiş.

plusbil

Squid olmadan çalışıyor herşey, evet. Ama bu sefer de versiyonun bir anlamı kalmıyor lokasyonumuzda. Pf makinayı iki sebeple kullanıyorum. Failover ve Loadbalance. Yeni versiyonda ssl sıkıntısı çözülünce, kullanıcı bazlı kapasite raporu da almak için geçiş yapmıştım. Ama failoversız bir kullanımda, atıl kalan 100MBitlik sınırsız 3 fiber hattın varlığına ancak 1 ay sabredebildim. :) 2.1.5 hafif ve hızlı bir sürüm olduğundan squidsiz 2.3.4 ile devam etmedim.

tuzsuzdeli

aynı durumdayım,
mecburen araya bir pfsense daha koydum
çok konforlu değil ama
WAN tarafına bakanda failover-loadbalance yapıp, LAN tarafında squid ile webfilter yapıyorum.

muhammet

Merhaba,

SSL filter problemsiz çalışıyor ancak mobil cihazlar whatsapp'a bağlanmıyor. Herhangi bir filtre'ye takılmıyor ancak böyle bir problem var. Araştırdım ama bu sorunla alakalı bir çözüm bulamadım.

Sizin önerileriniz nelerdir ?

mynameisozz

@muhammet:

Merhaba,

SSL filter problemsiz çalışıyor ancak mobil cihazlar whatsapp'a bağlanmıyor. Herhangi bir filtre'ye takılmıyor ancak böyle bir problem var. Araştırdım ama bu sorunla alakalı bir çözüm bulamadım.

Sizin önerileriniz nelerdir ?

Merhaba,

Uygulamaya ilk başladığımda aynı sorun benim de başıma gelmişti. 5223, 5228, 4244, 5242 ve 5222 numaralı portlara izin vererek sorunu aştım. İlgili portlar whatsapp ın kullandığı portlar.

Kolay gelsin

muhammet

@mynameisozz:

@muhammet:

Merhaba,

SSL filter problemsiz çalışıyor ancak mobil cihazlar whatsapp'a bağlanmıyor. Herhangi bir filtre'ye takılmıyor ancak böyle bir problem var. Araştırdım ama bu sorunla alakalı bir çözüm bulamadım.

Sizin önerileriniz nelerdir ?

Merhaba,

Uygulamaya ilk başladığımda aynı sorun benim de başıma gelmişti. 5223, 5228, 4244, 5242 ve 5222 numaralı portlara izin vererek sorunu aştım. İlgili portlar whatsapp ın kullandığı portlar.

Kolay gelsin

Teşekkürler, TCP 5222 izin verince problem çözüldü. Şimdi de team viewer bağlanmıyor ? :)

Düzeltme: TCP 5938 izin verince bağlandı.

mynameisozz

@muhammet:

@mynameisozz:

@muhammet:

Merhaba,

SSL filter problemsiz çalışıyor ancak mobil cihazlar whatsapp'a bağlanmıyor. Herhangi bir filtre'ye takılmıyor ancak böyle bir problem var. Araştırdım ama bu sorunla alakalı bir çözüm bulamadım.

Sizin önerileriniz nelerdir ?

Merhaba,

Uygulamaya ilk başladığımda aynı sorun benim de başıma gelmişti. 5223, 5228, 4244, 5242 ve 5222 numaralı portlara izin vererek sorunu aştım. İlgili portlar whatsapp ın kullandığı portlar.

Kolay gelsin

Teşekkürler, TCP 5222 izin verince problem çözüldü. Şimdi de team viewer bağlanmıyor ? :)

Rica ederim :)

Teamviewer problemi için aşağıdaki makaleyi incelemeniz faydalı olacaktır. Programın hangi platformda, hangi koşullarda, hangi portları kullandığını açıklamışlar.

https://community.teamviewer.com/t5/Knowledge-Base/Which-ports-are-used-by-TeamViewer/ta-p/4139

Kolay gelsin

ipsec16

Merhabalar burada herkes https adreslerini engellemek konusuyla ilglii soru sormuş ancak ben şunu farkettim, 2.3.5 kurulu sistemimde sadece izleme yapmak istiyoruz, kim nereye girmiş ne kadar trafik harcamış, http sitelere girdiğinde proxy report ta görünüyor ancak https sitelere girildiğinde bu adresler ne squid logs access.log da nede :7445 web rapor sayfasında görüntülenemiyor, acaba https: sitelere girişini göstermesi için squid yada squid guard da hangi ayarın yapılması gerekmekte

İnternette biraz araştırma yapınca şu bilgiye ulaştım
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
burada https i izleyebilmemiz için önce sertifika oluşturup bunu izlenecek bilgisayarlara kurmamız gerektiğini anlatıyor sanırım ancak hem telefon hem de bilgisayarların hepsine tek tek bu sertifikayı kurmak gerçekten çok zor bunun başka bir yolu var mı https siteleri de squid proxy report sayfasında görmenin daha basit bir yolu var mı?

https trafiğinini dinlenemediğini öğrendim, peki benim gün içinde gerçek oranda (çünkü squid report ta sadece http trafiğinin kullanım yükünü gösteriyor) hangi ip ne kadar trafik tüketmiş bu konuda hangi aracı kullanmalıyım ntop diye bir aracı kurdum ancak anlık veri gösteriyor ve bazen dış ip bazen iç ip tüketimini gösteriyor. Sizlerin kullandığı araçlar nelerdir bu değerleri nasıl ölçüyorsunuz

tuzsuzdeli

aşağıdaki paketler işinizi görebilir :

bandwidthd
darkstat

A Former User

Merhaba pfsense sürümüm 2.4.2, squid versiyonum 3.5.27
herhangi bir siteyi yasaklamadan https site açıyım dedim youtube bazen açıldı bazen açılmadı, hata verdi
metin içerikli https web sitesi açmaya kalktığımda ise açıldı. bu sorunu nasıl çözebilirim?

tuzsuzdeli

Squid ayarlarınızı yollayın, ordan bakalım
Squid'in "General" ekranı yeterli olacaktır.

A Former User

https sitelere erişim sağlayabiliyorum. ekşi, dünya halleri, pfsense forum örnek gösterebilirim ama google servislerinde sıkıntım var. youtube.com'a da erişmiyor, google.com'a da. ekran görüntülerini aşağıya ekliyorum şimdiden teşekkür ederim
bu karşılaştığım hata: https://hizliresim.com/m2JQbP

services>squid>
http://hizliresim.com/XPEa8D
http://hizliresim.com/YgOY8E
http://hizliresim.com/rOJAXP
https://hizliresim.com/9mDnzr

system>cert. manager 1
http://hizliresim.com/bBLnvm

system>cert.manager 2
http://hizliresim.com/rOJANa

dns olarak yandex dns kullanıyorum. tt dnsleri twitterdaki görselleri yüklemiyordu. bu dnslerle sertifika oluşturmadan önce her yere girebiliyordum.
77.88.8.7
77.88.8.3

not: 8.8.8.8 8.8.4.4 denedim onda da hata alıyorum

tuzsuzdeli

Sizin mevcut konfigürasyon oldukça farklı.

• Resolve DNS IPv4 First, seçili olsun
• SSL/MITM mode'u Splice all yapın (her cihaz için sertifika oluşturmanıza gerek kalmaz)
• Remote Cert Checks 'de Accept remote server certifiacet with errors' seçili olsun
• Certificate Adapt kısmında "Not Before" seçin

bu şekilde olması lazım.