Очередной вопрос по фильтрации HTTPS в squid
-
Вы хотите добавить функционал, не доступный из коробки, вот и приходится извращаться.
Вот неплохие статьи про wpad для общего развития
https://interface31.ru/tech_it/2016/05/wpad-ili-avtomaticheskaya-nastroyka-parametrov-proksi.html
https://m.habrahabr.ru/post/314918/ -
Jetberry
"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.
Интересно, зачем нужен прокси, если фильтрации нет?
-
Jetberry
"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.
Интересно, зачем нужен прокси, если фильтрации нет?
Фильтрация есть, только этот веб-интерфейс не актуален для современного сквида. Сквид сам фильтрует.
-
Вот статья про редактирование web-gui https://awesomediocrity.wordpress.com/2017/06/05/confine-webinterface-to-ssh-only-on-pfsense-2-4/, а тут как конфигурировать nginx https://nginx.ru/ru/docs/beginners_guide.html. Вам нужно найти в /var/etc/nginx-webConfigurator.conf в блоке server 80 порт вам нужно указать статическое содержимое (место обитания dat-файла). Я так думаю ;)
Я так пока не пробовал, но вернул вебморду pf обратно на 80 порт. http://wpad/wpad.dat работает и файлы оттуда забирать могёт. Но не могу врубиться, как настроить в таком случае фаерволл.
При поставленной галке в браузере клиента "получать автонастройку прокси" валится такое в statesLAN tcp 172.16.10.10:1950 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:8830 (172.16.10.10:1950) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1951 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:17559 (172.16.10.10:1951) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1952 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:61226 (172.16.10.10:1952) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 B
LAN tcp 172.16.10.10:1953 -> 172.168.10.254:3128 CLOSED:SYN_SENT 3 / 0 156 B / 0 B
WAN tcp 10.0.2.15:49685 (172.16.10.10:1953) -> 172.168.10.254:3128 SYN_SENT:CLOSED 3 / 0 156 B / 0 BЕсли ставлю проксю вручную -всё работает и фильтруется, блоченые сайты не пущаются.
В фаерволле походу уже напорол дичи, но прикреплю картинку. Посмотрите, пожалуйста.
адрес wpad начал резолвиться с клиента, когда ему насильственно в настройках днса велел дописывать суффикс домена.
ЗЫ: У меня в качестве клиента стоит винда хр неизвестного происхождения, там я не нашел службы автоматического обнаружения веб-прокси winhttp. Должна быть?
-
Без схемы сети не смогу разобраться. Схема (рисунок) нужен. У вас 3 частные сети, у pfsense были проблемы с маршрутизацией и/или NAT между частными сетями. А у вас их 3! Откуда? Зачем? winhttp должен быть, Win XP с последним сервис паком используйте, т.е. вообще не используйте его. Вы чего? Win 7 уже устарела.
Вы же свой pac-файл используете, а не тот который я привел? В моем частные сети не идут через прокси, а идут напрямую. -
Да, я уже сам запутался. Сегодня ещё не успел нормально заняться, отвлекали весь день. Я, наверное, снесу, заново всё построю. А где третья сеть у меня? 172.16 это локалка, а 10.0 это wan, натом на реальную сетевуху. Пф на виртуалбоксе вертится и клиент там же во внутренней сети. Дистриба не было под рукой нормального, вот и левый хр заюзал. Хотя в конторе добрая половина компов на хп, потихоньку избавляемся, но парк очень большой.
-
-
Jetberry
"[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.
Интересно, зачем нужен прокси, если фильтрации нет?
Фильтрация есть, только этот веб-интерфейс не актуален для современного сквида. Сквид сам фильтрует.
SquidGurd установлен ?
В моем случае (всё работает) нет
-
-
А где третья сеть у меня?
Показалось :)
А может можно как-нибудь другими средствами неугодные сайты поблокировать? В фаерволле, например, и алиасами понасовать туда клиентов? И к лешему может тогда этот прокси? Какие у меня ещё варианты есть?
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
Если использовать SquidGuard будет работать по вашему способу?
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
Если использовать SquidGuard будет работать по вашему способу?
Это не "мой способ". Должен.
-
Это не "мой способ". Должен.
Так то оно так. Но по вашему фильтруем https без галки фильтровать https.
глаз задергался от такой казуистики.
так что это ваш способ. -
Нет никакой казуистики. Флаг относится к разделу "SSL Man In the Middle Filtering", а не к фильтрации https как таковой.
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
Было бы здорово. Но я, кстати, всё-таки сделал. Только wpad всё же вынес на сторонний сэрвэр. Поставил бубунту 16ю на виртуалку, вкрутил на нее lighttpd и три файла wpad.dat, wpad.da и proxy.pac затолкал в /var/www/html. А на пфсенсе в резолвере указал в хост оверрайдах wpad- ip бубунты. И всё взлетело и летает. Пока никаких подводных камней не вылезало, может быть и будут. Работает на клиенте win7 и даже на левой зверьхр, где я не нашел службы автоопределения прокси.
Единственное, что не получилось пока, то это чтобы сквидгвард переадресовывал блокированные ресурсы на какую-нибудь оскорбительную надпись или страничку с ошибкой. при блокировании у клиента выскакивает в хроме:
Не удается получить доступ к сайту
Веб-страница по адресу https://www.facebook.com/, возможно, временно недоступна или постоянно перемещена по новому адресу.
ERR_TUNNEL_CONNECTION_FAILEDВ принципе блокирует, да и ладно. Хотелось бы, конечно, чтобы покрасивше было.
-
а как такой вариант вам?
https://forum.it-monkey.net/index.php?topic=22.0
https://turbofuture.com/internet/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense
https://www.tecmint.com/install-configure-pfblockerng-dns-black-listing-in-pfsense/ -
а как такой вариант вам?
https://forum.it-monkey.net/index.php?topic=22.0
https://turbofuture.com/internet/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense
https://www.tecmint.com/install-configure-pfblockerng-dns-black-listing-in-pfsense/Да, я видал способы блокировки через этот пфблокер. Меня почему-то это напугало. Сегодня посвободнее буду- попробую, потом отпишусь
-
а как такой вариант вам?
Спасибо, очень интересно, работает. Настроил по первому руководству. Что пока не понял- это:
- как развести по группам (ну, например отделу рекламы надо соцсети, а бухам не надо).
- Потом что делать, если днс сервером сам пф не является.
Если сориентируете -буду очень благодарен.
-
Добрый.
- Потом что делать, если днс сервером сам пф не является.
Не страшно. Заверните все днс-запросы во вне на адрес пф правилами Port forwarding на ЛАН. И тогда неважно от кого они будут.
