Очередной вопрос по фильтрации HTTPS в squid

der_violette_igel

@Jetberry:

Если имя wpad превращается в IP, то все правильно. Там может стоять 8.8.8.8 и 8.8.4.4, в конце концов "яндекс" должен же где-то резолвится?
Служба автоматического обнаружения веб-прокси включена? Хромом проверяете http://wpad/wpad.dat? В настройках IE стоит флаг автоматическое определение настроек прокси сервера?

Потушил стенд свой, завтра продолжу.  Хромом проверял http://wpad/wpad.dat редирект на httpS://wpad:8080/wpad.dat и не открывается. У ишака флаг стоит. Завтра буду копать. Если у кого какие предположения еще будут- пожалуйста пишите. Как заработает- напишу что делал в картинках.

А не как вот тут: https://forum.pfsense.org/index.php?topic=62244.15 Сделал и пропал(((

Jetberry

Вот статья про редактирование web-gui https://awesomediocrity.wordpress.com/2017/06/05/confine-webinterface-to-ssh-only-on-pfsense-2-4/, а тут как конфигурировать nginx https://nginx.ru/ru/docs/beginners_guide.html. Вам нужно найти в /var/etc/nginx-webConfigurator.conf в блоке server 80 порт вам нужно указать статическое содержимое (место обитания dat-файла). Я так думаю  ;)

der_violette_igel

@Jetberry:

Вот статья про редактирование web-gui https://awesomediocrity.wordpress.com/2017/06/05/confine-webinterface-to-ssh-only-on-pfsense-2-4/, а тут как конфигурировать nginx https://nginx.ru/ru/docs/beginners_guide.html. Вам нужно найти в /var/etc/nginx-webConfigurator.conf в блоке server 80 порт вам нужно указать статическое содержимое (место обитания dat-файла). Я так думаю  ;)

Спасибо большое, попробую завтра чисто из спортивного уже даже интереса. Я на пробу глянул- боюсь запороть конфигу, тем более я не знаю в каком виде что там должно присутствовать. Как-то это неприятно, что приходится "коробочный фаерволл" допиливать изнутри. Походу проще эту раздачу wpad вынести на другой сервер, тут какая-то некромантия, боюсь, получится.  Кстати,  http://wpad/wpad.dat у меня не открывался и не открывается ни при каких условиях, открывается только с доменом если на  http://wpad.pfsense.lan/wpad.dat.  Мне в принципе, плевать, какую версию ставить, можно к мануалу прировняться.- но опять же дичь. Захочешь обновить- всё накроется)) Тут походу в шапке ЛЮБОГО мануала к pfsensу надо пейсать Огромными буквами версию. И не менее огромными буквами предупреждать, что с вероятностью в 80% в следующей версии это ничего работать не будет))

Jetberry

Вы хотите добавить функционал, не доступный из коробки, вот и приходится извращаться.
Вот неплохие статьи про wpad для общего развития
https://interface31.ru/tech_it/2016/05/wpad-ili-avtomaticheskaya-nastroyka-parametrov-proksi.html
https://m.habrahabr.ru/post/314918/

smils

Jetberry

"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.

Интересно, зачем нужен прокси, если фильтрации нет?

Jetberry

@smils:

Jetberry

"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.

Интересно, зачем нужен прокси, если фильтрации нет?

Фильтрация есть, только этот веб-интерфейс не актуален для современного сквида. Сквид сам фильтрует.

der_violette_igel

@Jetberry:

Вот статья про редактирование web-gui https://awesomediocrity.wordpress.com/2017/06/05/confine-webinterface-to-ssh-only-on-pfsense-2-4/, а тут как конфигурировать nginx https://nginx.ru/ru/docs/beginners_guide.html. Вам нужно найти в /var/etc/nginx-webConfigurator.conf в блоке server 80 порт вам нужно указать статическое содержимое (место обитания dat-файла). Я так думаю  ;)

Я так пока не пробовал, но вернул вебморду pf обратно на 80 порт. http://wpad/wpad.dat работает и файлы оттуда забирать могёт.  Но не могу врубиться, как настроить в таком случае фаерволл.
При поставленной галке в браузере клиента "получать автонастройку прокси" валится такое в states

LAN tcp 172.16.10.10:1950 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:8830 (172.16.10.10:1950) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1951 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:17559 (172.16.10.10:1951) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1952 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:61226 (172.16.10.10:1952) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1953 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:49685 (172.16.10.10:1953) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B

Если ставлю проксю вручную -всё работает и фильтруется, блоченые сайты не пущаются.

В фаерволле походу уже напорол дичи, но прикреплю картинку. Посмотрите, пожалуйста.

адрес wpad начал резолвиться с клиента, когда ему насильственно в настройках днса велел дописывать суффикс домена.

ЗЫ: У меня в качестве клиента стоит винда хр неизвестного происхождения, там я не нашел службы автоматического обнаружения веб-прокси winhttp.  Должна быть?

Jetberry

Без схемы сети не смогу разобраться. Схема (рисунок) нужен. У вас 3 частные сети, у pfsense были проблемы с маршрутизацией и/или NAT между частными сетями. А у вас их 3! Откуда? Зачем? winhttp должен быть, Win XP с последним сервис паком используйте, т.е. вообще не используйте его. Вы чего? Win 7 уже устарела.
Вы же свой pac-файл используете, а не тот который я привел? В моем частные сети не идут через прокси, а идут напрямую.

der_violette_igel

Да,  я уже сам запутался.  Сегодня ещё не успел нормально заняться, отвлекали весь день.  Я, наверное, снесу, заново всё построю.  А где третья сеть у меня?  172.16 это локалка,  а 10.0 это wan,  натом на реальную сетевуху.  Пф на виртуалбоксе вертится и клиент там же во внутренней сети.  Дистриба не было под рукой нормального,  вот и левый хр заюзал.  Хотя в конторе добрая половина компов на хп,  потихоньку избавляемся,  но парк очень большой.

smils

@Jetberry:

@smils:

Jetberry

"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.

Интересно, зачем нужен прокси, если фильтрации нет?

Фильтрация есть, только этот веб-интерфейс не актуален для современного сквида. Сквид сам фильтрует.

SquidGurd установлен ?

Jetberry

@smils:

@Jetberry:

@smils:

Jetberry

"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.

Интересно, зачем нужен прокси, если фильтрации нет?

Фильтрация есть, только этот веб-интерфейс не актуален для современного сквида. Сквид сам фильтрует.

SquidGurd установлен ?

В моем случае (всё работает) нет

Jetberry

@der_violette_igel:

А где третья сеть у меня?

Показалось  :)

der_violette_igel

@Jetberry:

@der_violette_igel:

А где третья сеть у меня?

Показалось  :)

А может можно как-нибудь другими средствами неугодные сайты поблокировать? В фаерволле, например, и алиасами понасовать туда клиентов? И к лешему может тогда этот прокси? Какие у меня ещё варианты есть?

Jetberry

pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках

smils

@Jetberry:

pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках

Если использовать SquidGuard будет работать по вашему способу?

Jetberry

@smils:

@Jetberry:

pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках

Если использовать SquidGuard будет работать по вашему способу?

Это не "мой способ". Должен.

smils

Это не "мой способ". Должен.

Так то оно так. Но по вашему фильтруем https  без галки фильтровать https. глаз задергался от такой казуистики.
так что это ваш способ.

Jetberry

Нет никакой казуистики. Флаг относится к разделу "SSL Man In the Middle Filtering", а не к фильтрации https как таковой.

der_violette_igel

@Jetberry:

pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках

Было бы здорово. Но я, кстати, всё-таки сделал. Только wpad всё же вынес на сторонний сэрвэр. Поставил бубунту 16ю на виртуалку, вкрутил на нее lighttpd и три файла wpad.dat, wpad.da и proxy.pac затолкал в /var/www/html. А на пфсенсе в резолвере указал в хост оверрайдах wpad- ip бубунты. И всё взлетело и летает. Пока никаких подводных камней не вылезало, может быть и будут. Работает на клиенте win7 и даже на левой зверьхр, где я не нашел службы автоопределения прокси.

Единственное, что не получилось пока, то это чтобы сквидгвард переадресовывал блокированные ресурсы на какую-нибудь оскорбительную надпись или страничку с ошибкой. при блокировании у клиента выскакивает в хроме:

Не удается получить доступ к сайту

Веб-страница по адресу https://www.facebook.com/, возможно, временно недоступна или постоянно перемещена по новому адресу.
ERR_TUNNEL_CONNECTION_FAILED

В принципе блокирует, да и ладно. Хотелось бы, конечно, чтобы покрасивше было.

shpalovich

а как такой вариант вам?
https://forum.it-monkey.net/index.php?topic=22.0
https://turbofuture.com/internet/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense
https://www.tecmint.com/install-configure-pfblockerng-dns-black-listing-in-pfsense/