PFSENSE: Squid + ADGroups + HTTPS

werter · Jan 26, 2020, 7:56 AM

Удалил спорные моменты.

modice · Feb 1, 2020, 1:34 AM

@flamel Если я верно понял. Доменный пользователь вводит пароль только один раз при входе в систему. Далее ему есть либо нет доступа к определенным сайтам. Так же собирается статистика по доменным пользователям, кто куда как часто ходил и тд. И плюс ко всему есть возможность блокировать видео и аудио поток. Все верно?

flamel · Feb 1, 2020, 1:34 AM

@modice все верно, единственное что с видео и аудио потоком не заморачивался, просто определенным группам заблокировал видеохостинги, включая Ютуб, на данный момент 100 пользователей успешно работают

modice · Feb 1, 2020, 1:55 PM

@flamel В какую сторону копать чтоб не блокировать целиком сайт, а только видео и ауди поток с https?

flamel · Feb 1, 2020, 6:54 PM

@modice в сторону MIME, https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html

werter · Feb 1, 2020, 8:19 PM

@modice
Что-то типа:

# Blocked mime types
acl mmedia_block rep_mime_type -i ^.video.
acl mmedia_block rep_mime_type -i ^.audio.
acl mmedia_block rep_mime_type -i ^.flash.
acl mmedia_block rep_mime_type -i ^.application.

Squid пользует PCRE-синтаксис.
RexExp-ы:

Маски:
. - одиночный символ
* - неограниченное повторение последнего символа
.* - соотв любая последовательность
. - точка
\\ - один слеш
^ - от начала строки
$ - конец строки
() - скобки ограничивают токен
[] - скобки допустимые символы
| - знак или
[0-9]* - любая строка из цифр
[a-zA-Z0-9] - любая цифро-буквенная строка с латинице

http:\\\\\.*\.mail\.ru\\.* - соответствует http:\\*.mail.ru\*
.*\.mail\.ru.*\.(exe|zip)$ - соответствует *.mail.ru*.exe или *.mail.ru*.zip

Еще так можно:

pcre srvheader allow "Content-type: 
application/(.*java.*|pdf|.*excel.*|.*word.*|rtf|.*powerpoint.*|.*access.*|.*mswrite.*|.*cert.*)|text/(cmd|css|csv|html|.*java.*|vcard|xml)|image/" * 192.168.0.0/24 *
pcre srvheader allow "Content-type: message|x-world" * 192.168.1.0/24 *
pcre srvheader deny "Content-type: application|video|audio|text/" * 192.168.2.0/24 *

modice · Feb 3, 2020, 5:58 AM

@werter @flamel интересно как это должно срабатывать если используется https?

werter · Feb 3, 2020, 2:34 PM

@modice
При "непрозрачном" точно сработает. Проверьте.

modice · Feb 3, 2020, 2:34 PM

@werter может глупый вопрос, но как? да, прокси не прозрачный, но трафик ведь шифрованный.

werter · Feb 4, 2020, 8:09 AM

@modice

И даже в "прозрачном" работает )

https://wiki.squid-cache.org/Features/SslPeekAndSplice

https://habr.com/ru/post/267851/

nagibat0r
6 октября 2015 в 20:17
мало того, что в прозрачном режиме! используется новая технология peek-and-splice, которая позволяет бампить ssl без подмены сертификатов, т.е. без MITM атаки

https://www.linux.org.ru/forum/admin/13207928

modice · Feb 6, 2020, 7:26 AM

@werter kinit отрабатывает, но почему то у пользователя идет запрос логина пароля при попытке открыть любой сайт. в чем может быть причина? @flamel

werter · Feb 6, 2020, 3:58 PM

@modice
Да в чем угодно. Смотрите логи. И на Вин-сервере тоже.

modice · Feb 7, 2020, 6:34 AM

@werter не пойму, с чего вы решили что mime будет работать? может мы недопоняли друг друга. понятно просто заблокировать сайт. но, если сайт не заблокирован, а будем пытаться заблокировать видео на нем, соединение уже установлено, с чего вдруг будет блокироваться аудио или видео?
@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html , где в комментариях аккурат и говорят о том что это не прокатит с https

werter · Feb 13, 2020, 2:08 PM

This post is deleted!

modice · Feb 13, 2020, 2:02 PM

@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.

werter · Feb 13, 2020, 2:10 PM

@modice

@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html

Вы на дату статьи смотрели? Идея о том,что с тех пор могло многое измениться приходила?

Ссылка https://wiki.squid-cache.org/Features/SslPeekAndSplice была уже выше. Ключевой абзац там :

Peek and Splice gives admin a way to make bumping decisions later in the TLS handshake process, when client SNI and the server certificate are available. Or when it becomes clear that we are not dealing with a TLS connection at all!

Peek и Splice дают администратору возможность принимать решения по изменению параметров позднее в процессе TLS рукопожатия, когда доступны клиентские SNI и серверные сертификаты. Или когда станет ясно, что мы вообще не имеем дело с TLS соединением!

Создать для сквида только CA - сертификаты создавать не надо https://www.oodlestechnologies.com/blogs/File-extension-type-blocking-on-pfsense/
С форума конкурента:

That is the only reason why I stay with pfSense.. All I have to do in pfSense to get this working is to select Splice All in SSL/MITM Mode in squid configuration. With that option, filtering of ssl site will not require to install a cert on all clients on network..

https://community.spiceworks.com/topic/2209470-blocking-video-and-audio-streaming-using-squid-proxy-package

there are many ways to block video streaming in pfsense. you can either block the entire streaming websites in squid and/or pfblocker. Or you can use the follwoing code as a guideline to disable mime-types for streaming:

acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$

http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 all

http_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all

flamel · Feb 13, 2020, 2:10 PM

@modice said in PFSENSE: Squid + ADGroups + HTTPS:

@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.

Может я слабо понимаю, но разве видео передается по хттпс?
Я не задавался целью блокировать у пользователей видео, мне достаточно того что у нужных групп я заблокировал видеохостинги, но можем мне кто нибудь объяснить при чем тут потоковое видео и хттпс?

werter · Feb 13, 2020, 2:11 PM

@flamel
Ссылка на видео по httpS?

werter · Feb 13, 2020, 2:13 PM

@modice
За Вас нашел материал - потрудитесь хотя бы сделать пошагово. Не выйдет - отпишитесь.

flamel · Feb 13, 2020, 2:13 PM

@werter не надо) сам думаю загуглю, точнее просто посмотрю по какому порту видео передается) я просто всегда думал что по 80