PFSENSE: Squid + ADGroups + HTTPS

werter

@modice
Да в чем угодно. Смотрите логи. И на Вин-сервере тоже.

modice

@werter не пойму, с чего вы решили что mime будет работать? может мы недопоняли друг друга. понятно просто заблокировать сайт. но, если сайт не заблокирован, а будем пытаться заблокировать видео на нем, соединение уже установлено, с чего вдруг будет блокироваться аудио или видео?
@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html , где в комментариях аккурат и говорят о том что это не прокатит с https

werter

This post is deleted!

modice

@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.

werter

@modice

@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html

Вы на дату статьи смотрели? Идея о том,что с тех пор могло многое измениться приходила?

Ссылка https://wiki.squid-cache.org/Features/SslPeekAndSplice была уже выше. Ключевой абзац там :

Peek and Splice gives admin a way to make bumping decisions later in the TLS handshake process, when client SNI and the server certificate are available. Or when it becomes clear that we are not dealing with a TLS connection at all!

Peek и Splice дают администратору возможность принимать решения по изменению параметров позднее в процессе TLS рукопожатия, когда доступны клиентские SNI и серверные сертификаты. Или когда станет ясно, что мы вообще не имеем дело с TLS соединением!

1. Создать для сквида только CA - сертификаты создавать не надо https://www.oodlestechnologies.com/blogs/File-extension-type-blocking-on-pfsense/

2. С форума конкурента:

That is the only reason why I stay with pfSense.. All I have to do in pfSense to get this working is to select Splice All in SSL/MITM Mode in squid configuration. With that option, filtering of ssl site will not require to install a cert on all clients on network..

3. https://community.spiceworks.com/topic/2209470-blocking-video-and-audio-streaming-using-squid-proxy-package

there are many ways to block video streaming in pfsense. you can either block the entire streaming websites in squid and/or pfblocker. Or you can use the follwoing code as a guideline to disable mime-types for streaming:

acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$

http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 all

http_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all

flamel

@modice said in PFSENSE: Squid + ADGroups + HTTPS:

@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.

Может я слабо понимаю, но разве видео передается по хттпс?
Я не задавался целью блокировать у пользователей видео, мне достаточно того что у нужных групп я заблокировал видеохостинги, но можем мне кто нибудь объяснить при чем тут потоковое видео и хттпс?

werter

@flamel
Ссылка на видео по httpS?

werter

@modice
За Вас нашел материал - потрудитесь хотя бы сделать пошагово. Не выйдет - отпишитесь.

flamel

@werter не надо) сам думаю загуглю, точнее просто посмотрю по какому порту видео передается) я просто всегда думал что по 80

werter

@flamel

Откройте ютуб и гляньте в любом браузере в Инструментах разработчика.

flamel

@werter с вашего позволения завтра отредактирую статью и добавлю ваши выжимки из комментариев, включая фильтрацию видео, может кому будет полезно)
Потом наверное буду переводить дружбу моего прокси с одного домен-контроллера на другой, или вообще перемещу на более производительную железку, а то уже на примерно 75 онлайн пользователях нагрузки высокие, процессора не хватает. Кстати clamav и icap-c тоже работают, но дают такую нагрузку, что 25 пользователей предел для железки) думаю потом может поработаю над вопросом прикрутки Касперского, если железка позволит.
В общем как буду переносить дополню статью очевидными или неочевидными шагами, а то смотрю много вопросов и кто то даже не верит что оно работает.

werter

@flamel
Всегда пожалуйста )
Особенно интересно про блокировку по mime type. Удобнее, чем 100500 расширений прописывать в regexp.
Было бы супер, если еще и с картинками )

Кстати clamav и icap-c тоже работают

Сразу нет. Clam - точно нет. Толку от него - мизер.

flamel

@werter если дадут железку по лучше и время - будут скрины)

modice

@flamel я буду очень рад, если у вас получится. не забудьте добавить что прописывая прокси через политики, проксю надо указывать по имени, иначе при открытии браузера будет выскакивать запрос логина пароля. хотя для вас это может и не новость.

werter

Кстати, попадалась рекомендация пользовать сквид ТОЛЬКО как фильтр выставив размер cache в 0 (нуль). Можно и так попробовать для чистоты экперимента.

werter

@flamel
В ЛС\чат кинул конфиг сквида от конкурента. Может, что интересного найдете.

flamel

@werter можно, думаю, но в моем случае удобен именно кеширующий прокси, потому что пользователи по утрам любят примерно на одни и те же сайты заходить

flamel

@werter кстати столкнулся с проблемой, что некоторые программы ломятся в интернет не под доменным пользователем, у нас Касперский этим грешит, пока политиками не заставишь его смотреть на наш сервер Касперского он бесконечно ломится в сеть, а ПФ его не пускает(что естественно), не попадали подобные проблемы?
Хотя мне кажется тут скорее проблемы софта, а не пф

modice

@flamel вот да, хотел спросить каким образом вы заворачиваете трафик на прокси. с доменными пользователями понятно, а как на счет локальных или устройств которые вообще не в домене?

flamel

@modice не стоит такой задачи, для всего остального есть выход без прокси. Но ничего не мешает добавить basic аутентификацию для таких случаев или использовать доменные учётки.
Прокси прописывается политиками