Очередной вопрос по фильтрации HTTPS в squid
-
И еще у меня острое ощущение, что я что-то напорол в настройках днс резолвера. Может подсказать, где какие галки стоять должны.
Меня там одна галка смущает, котораяDNS Query Forwarding Enable Forwarding Mode
If this option is set, DNS queries will be forwarded to the upstream DNS servers defined under System > General Setup or those obtained via DHCP/PPP on WAN (if DNS Server Override is enabled there).Должна ли она стоять, и что должно быть в System->General Setup в настройках ДНС в таком случае?
-
Если имя wpad превращается в IP, то все правильно. Там может стоять 8.8.8.8 и 8.8.4.4, в конце концов "яндекс" должен же где-то резолвится?
Служба автоматического обнаружения веб-прокси включена? Хромом проверяете http://wpad/wpad.dat? В настройках IE стоит флаг автоматическое определение настроек прокси сервера? -
Если имя wpad превращается в IP, то все правильно. Там может стоять 8.8.8.8 и 8.8.4.4, в конце концов "яндекс" должен же где-то резолвится?
Служба автоматического обнаружения веб-прокси включена? Хромом проверяете http://wpad/wpad.dat? В настройках IE стоит флаг автоматическое определение настроек прокси сервера?Потушил стенд свой, завтра продолжу. Хромом проверял http://wpad/wpad.dat редирект на httpS://wpad:8080/wpad.dat и не открывается. У ишака флаг стоит. Завтра буду копать. Если у кого какие предположения еще будут- пожалуйста пишите. Как заработает- напишу что делал в картинках.
А не как вот тут: https://forum.pfsense.org/index.php?topic=62244.15 Сделал и пропал(((
-
Вот статья про редактирование web-gui https://awesomediocrity.wordpress.com/2017/06/05/confine-webinterface-to-ssh-only-on-pfsense-2-4/, а тут как конфигурировать nginx https://nginx.ru/ru/docs/beginners_guide.html. Вам нужно найти в /var/etc/nginx-webConfigurator.conf в блоке server 80 порт вам нужно указать статическое содержимое (место обитания dat-файла). Я так думаю ;)
-
Вот статья про редактирование web-gui https://awesomediocrity.wordpress.com/2017/06/05/confine-webinterface-to-ssh-only-on-pfsense-2-4/, а тут как конфигурировать nginx https://nginx.ru/ru/docs/beginners_guide.html. Вам нужно найти в /var/etc/nginx-webConfigurator.conf в блоке server 80 порт вам нужно указать статическое содержимое (место обитания dat-файла). Я так думаю ;)
Спасибо большое, попробую завтра чисто из спортивного уже даже интереса. Я на пробу глянул- боюсь запороть конфигу, тем более я не знаю в каком виде что там должно присутствовать. Как-то это неприятно, что приходится "коробочный фаерволл" допиливать изнутри. Походу проще эту раздачу wpad вынести на другой сервер, тут какая-то некромантия, боюсь, получится. Кстати, http://wpad/wpad.dat у меня не открывался и не открывается ни при каких условиях, открывается только с доменом если на http://wpad.pfsense.lan/wpad.dat. Мне в принципе, плевать, какую версию ставить, можно к мануалу прировняться.- но опять же дичь. Захочешь обновить- всё накроется)) Тут походу в шапке ЛЮБОГО мануала к pfsensу надо пейсать Огромными буквами версию. И не менее огромными буквами предупреждать, что с вероятностью в 80% в следующей версии это ничего работать не будет))
-
Вы хотите добавить функционал, не доступный из коробки, вот и приходится извращаться.
Вот неплохие статьи про wpad для общего развития
https://interface31.ru/tech_it/2016/05/wpad-ili-avtomaticheskaya-nastroyka-parametrov-proksi.html
https://m.habrahabr.ru/post/314918/ -
Jetberry
"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.
Интересно, зачем нужен прокси, если фильтрации нет?
-
Jetberry
"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.
Интересно, зачем нужен прокси, если фильтрации нет?
Фильтрация есть, только этот веб-интерфейс не актуален для современного сквида. Сквид сам фильтрует.
-
Вот статья про редактирование web-gui https://awesomediocrity.wordpress.com/2017/06/05/confine-webinterface-to-ssh-only-on-pfsense-2-4/, а тут как конфигурировать nginx https://nginx.ru/ru/docs/beginners_guide.html. Вам нужно найти в /var/etc/nginx-webConfigurator.conf в блоке server 80 порт вам нужно указать статическое содержимое (место обитания dat-файла). Я так думаю ;)
Я так пока не пробовал, но вернул вебморду pf обратно на 80 порт. http://wpad/wpad.dat работает и файлы оттуда забирать могёт. Но не могу врубиться, как настроить в таком случае фаерволл.
При поставленной галке в браузере клиента "получать автонастройку прокси" валится такое в statesLAN tcp 172.16.10.10:1950 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:8830 (172.16.10.10:1950) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1951 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:17559 (172.16.10.10:1951) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1952 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:61226 (172.16.10.10:1952) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1953 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:49685 (172.16.10.10:1953) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 BЕсли ставлю проксю вручную -всё работает и фильтруется, блоченые сайты не пущаются.
В фаерволле походу уже напорол дичи, но прикреплю картинку. Посмотрите, пожалуйста.
адрес wpad начал резолвиться с клиента, когда ему насильственно в настройках днса велел дописывать суффикс домена.
ЗЫ: У меня в качестве клиента стоит винда хр неизвестного происхождения, там я не нашел службы автоматического обнаружения веб-прокси winhttp. Должна быть?
-
Без схемы сети не смогу разобраться. Схема (рисунок) нужен. У вас 3 частные сети, у pfsense были проблемы с маршрутизацией и/или NAT между частными сетями. А у вас их 3! Откуда? Зачем? winhttp должен быть, Win XP с последним сервис паком используйте, т.е. вообще не используйте его. Вы чего? Win 7 уже устарела.
Вы же свой pac-файл используете, а не тот который я привел? В моем частные сети не идут через прокси, а идут напрямую. -
Да, я уже сам запутался. Сегодня ещё не успел нормально заняться, отвлекали весь день. Я, наверное, снесу, заново всё построю. А где третья сеть у меня? 172.16 это локалка, а 10.0 это wan, натом на реальную сетевуху. Пф на виртуалбоксе вертится и клиент там же во внутренней сети. Дистриба не было под рукой нормального, вот и левый хр заюзал. Хотя в конторе добрая половина компов на хп, потихоньку избавляемся, но парк очень большой.
-
-
Jetberry
"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.
Интересно, зачем нужен прокси, если фильтрации нет?
Фильтрация есть, только этот веб-интерфейс не актуален для современного сквида. Сквид сам фильтрует.
SquidGurd установлен ?
В моем случае (всё работает) нет
-
-
А где третья сеть у меня?
Показалось :)
А может можно как-нибудь другими средствами неугодные сайты поблокировать? В фаерволле, например, и алиасами понасовать туда клиентов? И к лешему может тогда этот прокси? Какие у меня ещё варианты есть?
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
Если использовать SquidGuard будет работать по вашему способу?
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
Если использовать SquidGuard будет работать по вашему способу?
Это не "мой способ". Должен.
-
Это не "мой способ". Должен.
Так то оно так. Но по вашему фильтруем https без галки фильтровать https.
глаз задергался от такой казуистики.
так что это ваш способ. -
Нет никакой казуистики. Флаг относится к разделу "SSL Man In the Middle Filtering", а не к фильтрации https как таковой.