Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Очередной вопрос по фильтрации HTTPS в squid

    Scheduled Pinned Locked Moved Russian
    45 Posts 5 Posters 8.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      Jetberry
      last edited by

      @smils:

      @Jetberry:

      @smils:

      Jetberry

      "[] Enable SSL filtering." Вот в этом поле флаг (галка) нужно убрать.

      Интересно, зачем нужен прокси, если фильтрации нет?

      Фильтрация есть, только этот веб-интерфейс не актуален для современного сквида. Сквид сам фильтрует.

      SquidGurd установлен ?

      В моем случае (всё работает) нет

      1 Reply Last reply Reply Quote 0
      • J
        Jetberry
        last edited by

        @der_violette_igel:

        А где третья сеть у меня?

        Показалось  :)

        1 Reply Last reply Reply Quote 0
        • D
          der_violette_igel
          last edited by

          @Jetberry:

          @der_violette_igel:

          А где третья сеть у меня?

          Показалось  :)

          А может можно как-нибудь другими средствами неугодные сайты поблокировать? В фаерволле, например, и алиасами понасовать туда клиентов? И к лешему может тогда этот прокси? Какие у меня ещё варианты есть?

          1 Reply Last reply Reply Quote 0
          • J
            Jetberry
            last edited by

            pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках

            1 Reply Last reply Reply Quote 0
            • S
              smils
              last edited by

              @Jetberry:

              pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках

              Если использовать SquidGuard будет работать по вашему способу?

              1 Reply Last reply Reply Quote 0
              • J
                Jetberry
                last edited by

                @smils:

                @Jetberry:

                pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках

                Если использовать SquidGuard будет работать по вашему способу?

                Это не "мой способ". Должен.

                1 Reply Last reply Reply Quote 0
                • S
                  smils
                  last edited by

                  Это не "мой способ". Должен.

                  Так то оно так. Но по вашему фильтруем https  без галки фильтровать https. глаз задергался от такой казуистики.
                  так что это ваш способ.

                  1 Reply Last reply Reply Quote 0
                  • J
                    Jetberry
                    last edited by

                    Нет никакой казуистики. Флаг относится к разделу "SSL Man In the Middle Filtering", а не к фильтрации https как таковой.

                    1 Reply Last reply Reply Quote 0
                    • D
                      der_violette_igel
                      last edited by

                      @Jetberry:

                      pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках

                      Было бы здорово. Но я, кстати, всё-таки сделал. Только wpad всё же вынес на сторонний сэрвэр. Поставил бубунту 16ю на виртуалку, вкрутил на нее lighttpd и три файла wpad.dat, wpad.da и proxy.pac затолкал в /var/www/html. А на пфсенсе в резолвере указал в хост оверрайдах wpad- ip бубунты. И всё взлетело и летает. Пока никаких подводных камней не вылезало, может быть и будут. Работает на клиенте win7 и даже на левой зверьхр, где я не нашел службы автоопределения прокси.

                      Единственное, что не получилось пока, то это чтобы сквидгвард переадресовывал блокированные ресурсы на какую-нибудь оскорбительную надпись или страничку с ошибкой. при блокировании у клиента выскакивает в хроме:

                      Не удается получить доступ к сайту

                      Веб-страница по адресу https://www.facebook.com/, возможно, временно недоступна или постоянно перемещена по новому адресу.
                      ERR_TUNNEL_CONNECTION_FAILED

                      В принципе блокирует, да и ладно. Хотелось бы, конечно, чтобы покрасивше было.

                      1 Reply Last reply Reply Quote 0
                      • S
                        shpalovich
                        last edited by

                        а как такой вариант вам?
                        https://forum.it-monkey.net/index.php?topic=22.0
                        https://turbofuture.com/internet/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense
                        https://www.tecmint.com/install-configure-pfblockerng-dns-black-listing-in-pfsense/

                        1 Reply Last reply Reply Quote 0
                        • D
                          der_violette_igel
                          last edited by

                          @shpalovich:

                          а как такой вариант вам?
                          https://forum.it-monkey.net/index.php?topic=22.0
                          https://turbofuture.com/internet/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense
                          https://www.tecmint.com/install-configure-pfblockerng-dns-black-listing-in-pfsense/

                          Да, я видал способы блокировки через этот пфблокер. Меня почему-то это напугало. Сегодня посвободнее буду- попробую, потом отпишусь

                          1 Reply Last reply Reply Quote 0
                          • D
                            der_violette_igel
                            last edited by

                            @shpalovich:

                            а как такой вариант вам?

                            Спасибо, очень интересно, работает. Настроил по первому руководству. Что пока не понял- это:

                            1. как развести по группам (ну, например отделу рекламы надо соцсети, а бухам не надо).
                            2. Потом что делать, если днс сервером сам пф не является.

                            Если сориентируете -буду очень благодарен.

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              Добрый.

                              1. Потом что делать, если днс сервером сам пф не является.

                              Не страшно. Заверните все днс-запросы во вне на адрес пф правилами Port forwarding на ЛАН. И тогда неважно от кого они будут.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.