PFSENSE: Squid + ADGroups + HTTPS
-
И даже в "прозрачном" работает )
https://wiki.squid-cache.org/Features/SslPeekAndSplice
https://habr.com/ru/post/267851/
nagibat0r
6 октября 2015 в 20:17
мало того, что в прозрачном режиме! используется новая технология peek-and-splice, которая позволяет бампить ssl без подмены сертификатов, т.е. без MITM атакиhttps://www.linux.org.ru/forum/admin/13207928
-
-
@modice
Да в чем угодно. Смотрите логи. И на Вин-сервере тоже. -
@werter не пойму, с чего вы решили что mime будет работать? может мы недопоняли друг друга. понятно просто заблокировать сайт. но, если сайт не заблокирован, а будем пытаться заблокировать видео на нем, соединение уже установлено, с чего вдруг будет блокироваться аудио или видео?
@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html , где в комментариях аккурат и говорят о том что это не прокатит с https -
This post is deleted! -
@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.
-
@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html
Вы на дату статьи смотрели? Идея о том,что с тех пор могло многое измениться приходила?
Ссылка https://wiki.squid-cache.org/Features/SslPeekAndSplice была уже выше. Ключевой абзац там :
Peek and Splice gives admin a way to make bumping decisions later in the TLS handshake process, when client SNI and the server certificate are available. Or when it becomes clear that we are not dealing with a TLS connection at all!
Peek и Splice дают администратору возможность принимать решения по изменению параметров позднее в процессе TLS рукопожатия, когда доступны клиентские SNI и серверные сертификаты. Или когда станет ясно, что мы вообще не имеем дело с TLS соединением!
-
Создать для сквида только CA - сертификаты создавать не надо https://www.oodlestechnologies.com/blogs/File-extension-type-blocking-on-pfsense/
-
С форума конкурента:
That is the only reason why I stay with pfSense.. All I have to do in pfSense to get this working is to select Splice All in SSL/MITM Mode in squid configuration. With that option, filtering of ssl site will not require to install a cert on all clients on network..
- https://community.spiceworks.com/topic/2209470-blocking-video-and-audio-streaming-using-squid-proxy-package
there are many ways to block video streaming in pfsense. you can either block the entire streaming websites in squid and/or pfblocker. Or you can use the follwoing code as a guideline to disable mime-types for streaming:
acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 allhttp_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all -
-
@modice said in PFSENSE: Squid + ADGroups + HTTPS:
@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.
Может я слабо понимаю, но разве видео передается по хттпс?
Я не задавался целью блокировать у пользователей видео, мне достаточно того что у нужных групп я заблокировал видеохостинги, но можем мне кто нибудь объяснить при чем тут потоковое видео и хттпс? -
@flamel
Ссылка на видео по httpS? -
@modice
За Вас нашел материал - потрудитесь хотя бы сделать пошагово. Не выйдет - отпишитесь. -
@werter не надо) сам думаю загуглю, точнее просто посмотрю по какому порту видео передается) я просто всегда думал что по 80
-
Откройте ютуб и гляньте в любом браузере в Инструментах разработчика.
-
@werter с вашего позволения завтра отредактирую статью и добавлю ваши выжимки из комментариев, включая фильтрацию видео, может кому будет полезно)
Потом наверное буду переводить дружбу моего прокси с одного домен-контроллера на другой, или вообще перемещу на более производительную железку, а то уже на примерно 75 онлайн пользователях нагрузки высокие, процессора не хватает. Кстати clamav и icap-c тоже работают, но дают такую нагрузку, что 25 пользователей предел для железки) думаю потом может поработаю над вопросом прикрутки Касперского, если железка позволит.
В общем как буду переносить дополню статью очевидными или неочевидными шагами, а то смотрю много вопросов и кто то даже не верит что оно работает. -
@flamel
Всегда пожалуйста )
Особенно интересно про блокировку по mime type. Удобнее, чем 100500 расширений прописывать в regexp.
Было бы супер, если еще и с картинками )Кстати clamav и icap-c тоже работают
Сразу нет. Clam - точно нет. Толку от него - мизер.
-
@werter если дадут железку по лучше и время - будут скрины)
-
@flamel я буду очень рад, если у вас получится. не забудьте добавить что прописывая прокси через политики, проксю надо указывать по имени, иначе при открытии браузера будет выскакивать запрос логина пароля. хотя для вас это может и не новость.
-
Кстати, попадалась рекомендация пользовать сквид ТОЛЬКО как фильтр выставив размер cache в 0 (нуль). Можно и так попробовать для чистоты экперимента.
-
@flamel
В ЛС\чат кинул конфиг сквида от конкурента. Может, что интересного найдете. -
@werter можно, думаю, но в моем случае удобен именно кеширующий прокси, потому что пользователи по утрам любят примерно на одни и те же сайты заходить
-
@werter кстати столкнулся с проблемой, что некоторые программы ломятся в интернет не под доменным пользователем, у нас Касперский этим грешит, пока политиками не заставишь его смотреть на наш сервер Касперского он бесконечно ломится в сеть, а ПФ его не пускает(что естественно), не попадали подобные проблемы?
Хотя мне кажется тут скорее проблемы софта, а не пф -
@flamel вот да, хотел спросить каким образом вы заворачиваете трафик на прокси. с доменными пользователями понятно, а как на счет локальных или устройств которые вообще не в домене?
-
@modice не стоит такой задачи, для всего остального есть выход без прокси. Но ничего не мешает добавить basic аутентификацию для таких случаев или использовать доменные учётки.
Прокси прописывается политиками -
@modice в моем случае ПФ не на границе, он больше нужен чтобы пользователей ограничивать от соцсетей и тд на работе. Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидит
-
-
@flamel
Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидитА на LAN (+ loopback) перевесить не получается?
-
@werter адреса динамические, ладно это не суть. подскажите как убрать ругательства о не безопасном соединении браузера когда заходишь на веб морду pfsense. или когда пользователь пытается зайти на сайт куда ему нельзя: вначале он видит предупреждение о безопасности, жмет кнопку "все равно перейти" и только после этого видит int error page. @flamel и через регулярки понятно куда вставлять, а вот это куда ?
acl youtube rep_mime_type -i ^audio/mp4$
acl youtube rep_mime_type -i ^video/mp4$ -
@modice said in PFSENSE: Squid + ADGroups + HTTPS:
о не безопасном соединении браузера когда заходишь на веб морду pfsense
Странный вопрос для итишника (
Решить можно заменив самоподписанный сертификат на реальный. Если это возможно, конечно, в ваших реалиях.или когда пользователь пытается зайти на сайт куда ему нельзя
Уже отвечал как это сделать БЕЗ подсовывания "левого" сертификата.
-
@werter это первый форум, где я который день не могу понять как по человечески цитировать... ладно.
касательно странного вопроса, посоветуйте литературу без "воды", буду признателен, а пока ощущение что в какой форум не зайди, все всё знают..
я может не так объяснил, допустим пользователю закрыт доступ к vk.com, при попытке зайти на него у него вначале браузер ругается что соединение не безопасно, после жмет кнопку все равно продолжить и только после этого он видит int error page. причем тут подсовывание сертификата? сайт заблокирован по домену в squidguard. на хосты никаких сертификатов не установлено. -
@werter это первый форум, где я который день не могу понять как по человечески цитировать... ладн
Поставить перед цитируемым знак ">"
я может не так объяснил, допустим пользователю закрыт доступ к vk.com, при попытке зайти на него
Сейчас подавляющее большинство сайтов работает по httpS. Видимо, что-то не то с настройками и браузеру это не нравится (
Вы CA для сквида сгенерили? Скрин(ы) настроек сквида покажите. -
-
@modice
У вас сквид непрозрачный?
Попробуйте как тут (прозрачный) https://www.oodlestechnologies.com/blogs/File-extension-type-blocking-on-pfsense/Зы. И ротацию логов вкл. Иначе сквид место вам забьет.
-
@werter Приветствую, не было опыта с настройкой доступа к W\A, telegram? Я так понял что надо или завернуть трафик мимо прокси или воспользоваться этим https://wiki.squid-cache.org/ConfigExamples/Chat/Whatsapp, но я пока совершенно не понял как адаптировать, с учетом того что у меня вообще не стоит галочка Enable SSL filtering.
Был такой опыт? Может я не в том направлении мыслю вообще -
Добрый.
@flamel
Может просто в Dst в исключениях сквида добавить? -
@werter
Ошибка имеет такой вид при попытке работы некоторых программ, они ломятся под учетками локальными то компов, то своими собственными и вот результат.
С учетом того что у меня прописана керберос авторизация попытка включить прозрачный вариант и в нем bypass поставить не увенчалась успехом.
Добавил в whitelist самого сквида - тоже ноль, есть здесь строка
Я так понял что те кто здесь - не фильтруются вообще, whatsapp скрыл свои CIDR после того как фейсбук крепко им занялся, а у NormaCS запросил. Попробую что будет. = Ничего, попробовал, бездарно вышло)
Или вы имели ввиду создавать acl перед авторизацией в поле custom options? -
Ошибка имеет такой вид при попытке работы некоторых программ, они ломятся под учетками локальными то компов, то своими собственными
Если все остальное работает хорошо, то получается, что нек-ый софт у Вас кривой?
Попробуйте откл кеш на сквиде вообще - поставьте 0 (нуль) в размере кеша. После очистить кеш браузера на клиенте и проверить.Или вы имели ввиду создавать acl перед авторизацией в поле custom options?
Стоит попробовать.
-
есть feature request на это дело: https://redmine.pfsense.org/issues/5646
надо бы запилить реализацию
-
@viktor_g
Не оно?
https://habr.com/ru/post/492684/ -
@werter надо бы запилить чтоб из WebGUI всё конфигурилось, без ручной правки /etc/krb5.conf и Custom Options
p.s. спасибо за ссылку
-
-
@flamel said in PFSENSE: Squid + ADGroups + HTTPS:
Далее переходим в раздел Groups ACL и в поле Client (source) формируем лдап запрос по которому будет производится поиск принадлежности пользователя к группе, как пример
- как я понимаю, поиск идет по полю CN учетки пользователя, а это не Имя входа пользователя, а Отображаемое имя. Т.е. есть юзер с логином ivanov, а Отображаемое имя у него- Иванов Иван Иванович, поэтому хелпер никогда не найдет его ни в какой группе.