pfSense 2.4.4 Прокси и WhatsApp

werter

@AlexanderCh said in pfSense 2.4.4 Прокси и WhatsApp:

В Unrestricted IPs

Не то. Удаляйте.
Там есть пункт "Bypass proxy for this destination ip" Вот туда и вносите. Но только не кучу ip, как у вас. Достаточно или целые подсети WA или имена хостов, к-ые он пользует.

И whitelist неверный. Удаляйте.

Гвард не правьте вообще на предмет WA. Откл. тот ACL.

После правки Apply жать не забывайте. Иначе сквид конфиг не перечитывает.

Зы. QR-код для десктоп-клиентов пользуется?

AlexanderCh

@werter said in pfSense 2.4.4 Прокси и WhatsApp:

Там есть пункт "Bypass proxy for this destination ip" Вот туда и вносите. Но только не кучу ip, как у вас. Достаточно или целые подсети WA или имена хостов, к-ые он пользует.

Спасибо, но эта строка неактивна, потому что не включен Transparent HTTP Proxy. Bypas можно использовать только с прозрачным прокси, в этом то и загвоздка. А у меня терминальная машина, определять и ограничивать пользователя по IP адресу не получится, у всех один ip.

@werter said in pfSense 2.4.4 Прокси и WhatsApp:

Зы. QR-код для десктоп-клиентов пользуется?

Ну, для веб версии. Если вы про пк приложение, то нет оно не используется

werter

@AlexanderCh

Обычно на ТС установлено какое-то ПО, ради к-го и поднимался ТС. Зачем на терминальном сервере доступ в Сеть? Войдет 5-10-20-n пол-лей, каждый запустит Хром, вкл. в нем видео и сервер "лег" . Может оно того не стОит?

В крайнем случае отказаться от сквида и работать в Сети по белому списку, создав алиас(ы).

AlexanderCh

@werter said in pfSense 2.4.4 Прокси и WhatsApp:

@AlexanderCh
Обычно на ТС установлено какое-то ПО, ради к-го и поднимался ТС. Зачем на терминальном сервере доступ в Сеть? Войдет 5-10-20-n пол-лей, каждый запустит Хром, вкл. в нем видео и сервер "лег" . Может оно того не стОит?
В крайнем случае отказаться от сквида и работать в Сети по белому списку, создав алиас(ы).

Да, определённое ПО с которым работают, и параллельно нужно заходить на определённые сайты. Вот в том то и дело, что мне 90% пользователей нужно выпускать только на эти определённые сайты (развлекательные ресурсы закрыты), а для остальных 10% более менее свободный интернет с закрытыми определёнными ресурсами. На ТС у меня на жёсткую прописана прокси в браузере, т.е. она автоматом прописывается всем и её нельзя поменять в настройках. Все выходят в интернет через прокси. Я его настроил так как мне было нужно, всё, кроме вацапа для 10% пользователей.

werter

@AlexanderCh said in pfSense 2.4.4 Прокси и WhatsApp:

а для остальных 10% более менее свободный интернет с закрытыми определёнными ресурсами

Врядли так можно закрыть всякие онлайн кинотеатры, впн-сервисы и остальную "развлекуху" для "избранных".
Оптимальным вариантом будет разрешение доступа только на определенные сайты, куда входит и WA. И это можно настроить простыми правилами fw.
Зачем пол-лям доступ с ТС куда-то помимо белого списка (алиаса на fw), если у них "свой" интернет имеется на раб. местах? Они же как-то к ТС подключаются. Или это тонкие клиенты?
Я бы подумал.

AlexanderCh

@werter said in pfSense 2.4.4 Прокси и WhatsApp:

если у них "свой" интернет имеется на раб. местах?

Нет, они работают только с терминального. На локальных компьютерах закрыт доступ в интернет, доступ только в локальную сеть, а с ТС уже в интернет. Кому то строго разграниченный, кому то слабо разграничен. Но все с авторизацией по логину и паролю

@werter said in pfSense 2.4.4 Прокси и WhatsApp:

всякие онлайн кинотеатры, впн-сервисы и остальную "развлекуху" для "избранных".

Это я закрываю запретом на расширения файлов, и видео/музыка просто не загружаются

Мешает всему этому только доступ в WA

werter

@AlexanderCh said in pfSense 2.4.4 Прокси и WhatsApp:

Это я закрываю запретом на расширения файлов, и видео/музыка просто не загружаются

Попробуйте закрыть rezka.ag так

Konstanti

@AlexanderCh
Здр

https://forum.netgate.com/topic/117763/whatsapp-web-nao-gera-qrcode

взгляните тут , мб поможет , это на португальском , но смысл ясен
обратите внимание на последнее сообщение

Если это не поможет , я бы рекомендовал

с помощью tcpdump (да , простит меня Вертер) отловил бы все DNS запросы в момент загрузки QR кода и уже эти хосты/ FQDN вносил бы в ACL .

17:15:37.777182 IP 192.168.1.96.12495 > 192.168.1.230.domain: 23902+ A? web.whatsapp.com. (34)
17:15:37.887377 IP 192.168.1.230.domain > 192.168.1.96.12495: 23902 2/13/12 CNAME mmx-ds.cdn.whatsapp.net., A 185.60.216.53 (500)
17:15:38.537462 IP 192.168.1.96.34074 > 192.168.1.230.domain: 55271+ A? pps.whatsapp.net. (34)
17:15:38.649638 IP 192.168.1.230.domain > 192.168.1.96.34074: 55271 2/13/13 CNAME mmx-ds.cdn.whatsapp.net., A 185.60.216.53 (504)

17:17:55.331541 IP 192.168.1.96.21576 > 192.168.1.230.domain: 30851+ A? web.whatsapp.com. (34)
17:17:55.441558 IP 192.168.1.230.domain > 192.168.1.96.21576: 30851 2/13/12 CNAME mmx-ds.cdn.whatsapp.net., A 31.13.83.51 (500)
17:17:57.959035 IP 192.168.1.96.2840 > 192.168.1.230.domain: 48434+ A? pps.whatsapp.net. (34)
17:17:57.959438 IP 192.168.1.230.domain > 192.168.1.96.2840: 48434 2/13/13 CNAME mmx-ds.cdn.whatsapp.net., A 31.13.83.51 (504)

так , навскидку,
Вам нужны вот эти сети
https://ipinfo.io/AS32934

modice

@AlexanderCh "Это я закрываю запретом на расширения файлов, и видео/музыка просто не загружаются"
Как Вы это делаете?

AlexanderCh

@modice said in pfSense 2.4.4 Прокси и WhatsApp:

Как Вы это делаете?

В Guard'e в Target categories создал группу video, там в Regular Expression прописал

(..(3g2|3gp|3gp2|3gpp|3gpp2|asf|avi|bin|dat|f4v|flv|gtp|m4v|mov|mp4|mpeg|mpg|mts|swf|vob|wm|wmv))

Создал вторую группу music, там прописал

(..(aac|flac|m3u|m3u8|m4a|m4p|m4r|mp3|mp4|mpa|msv|ogg|wav|wm|wma))

И включил эту группу под запретом у пользователей, в Groups ACL.

По моему вопросу, я пока его отложил. Пока что я просто добавил вацап в исключения прокси в настройках браузера. Да, так он работает у всех, буду пробовать дальше когда будет побольше свободного времени. отпишусь здесь как что-нибудь попробую

modice

@AlexanderCh почему тогда это не работает ? (./..(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu))

AlexanderCh

@modice said in pfSense 2.4.4 Прокси и WhatsApp:

почему тогда это не работает ? (./..(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu))

Не знаю, я эту информацию находил в сети, так же как и Вы наверное.
Что как по мне странно, это зачем нужно "./" в начале, и расширение "wm.", "mp." не знаю.

Попробуйте с тем что у меня, тоже не работает?

modice

@AlexanderCh (.*\/.*\.(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu)) вот как выглядит моя, не сразу понял как вставить правильно

werter

Добрый

@modice

Попробуйте
(.*\.(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu)$)

werter

@AlexanderCh
Насчет Ватспапп. Попробовать создать white list в гварде:

Вар.1 (.*whatsapp.com)
(.*whatsapp\.com\/.*)

Вар.2 (*.web.whatsapp.com)
(.*\.web\.whatsapp\.com\/.*)

modice

@werter said in pfSense 2.4.4 Прокси и WhatsApp:

Добрый

@modice

Попробуйте
(.*\.(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu)$)

Предлагаю переместиться сюда . Ваше предложение не помогло. Как будто гуард вообще перестал реагировать на регулярки.

werter

@modice
Адаптировать для пф docs.diladele.com/faq/squid/sslbump_exlusions/whatsapp.html

flamel

@AlexanderCh @modice

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on

# включаем авторизацию по паролю
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" #Список доменов, разрешенных до авторизации.
http_access allow nonauth #разрешение всем 
http_access deny !auth
http_access allow auth

список доменов прописываем в виде

.whatsapp.com
.whatsapp.net