Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSENSE: Squid + ADGroups + HTTPS

    Scheduled Pinned Locked Moved Russian
    114 Posts 7 Posters 17.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by werter

      Кстати, попадалась рекомендация пользовать сквид ТОЛЬКО как фильтр выставив размер cache в 0 (нуль). Можно и так попробовать для чистоты экперимента.

      F 1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        @flamel
        В ЛС\чат кинул конфиг сквида от конкурента. Может, что интересного найдете.

        F 1 Reply Last reply Reply Quote 0
        • F
          flamel @werter
          last edited by

          @werter можно, думаю, но в моем случае удобен именно кеширующий прокси, потому что пользователи по утрам любят примерно на одни и те же сайты заходить

          1 Reply Last reply Reply Quote 0
          • F
            flamel @werter
            last edited by

            @werter кстати столкнулся с проблемой, что некоторые программы ломятся в интернет не под доменным пользователем, у нас Касперский этим грешит, пока политиками не заставишь его смотреть на наш сервер Касперского он бесконечно ломится в сеть, а ПФ его не пускает(что естественно), не попадали подобные проблемы?
            Хотя мне кажется тут скорее проблемы софта, а не пф

            M 1 Reply Last reply Reply Quote 0
            • M
              modice @flamel
              last edited by

              @flamel вот да, хотел спросить каким образом вы заворачиваете трафик на прокси. с доменными пользователями понятно, а как на счет локальных или устройств которые вообще не в домене?

              F werterW 3 Replies Last reply Reply Quote 0
              • F
                flamel @modice
                last edited by

                @modice не стоит такой задачи, для всего остального есть выход без прокси. Но ничего не мешает добавить basic аутентификацию для таких случаев или использовать доменные учётки.
                Прокси прописывается политиками

                1 Reply Last reply Reply Quote 0
                • F
                  flamel @modice
                  last edited by

                  @modice в моем случае ПФ не на границе, он больше нужен чтобы пользователей ограничивать от соцсетей и тд на работе. Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидит

                  werterW 1 Reply Last reply Reply Quote 0
                  • werterW
                    werter @modice
                    last edited by

                    Добрый
                    @modice

                    @flamel вот да, хотел спросить каким образом вы заворачиваете трафик на прокси. с доменными пользователями понятно, а как на счет локальных или устройств которые вообще не в домене

                    Есть же возможность добавить адреса в настройках сквида для исключения?

                    M 1 Reply Last reply Reply Quote 0
                    • werterW
                      werter @flamel
                      last edited by

                      @flamel
                      Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидит

                      А на LAN (+ loopback) перевесить не получается?

                      1 Reply Last reply Reply Quote 0
                      • M
                        modice @werter
                        last edited by modice

                        @werter адреса динамические, ладно это не суть. подскажите как убрать ругательства о не безопасном соединении браузера когда заходишь на веб морду pfsense. или когда пользователь пытается зайти на сайт куда ему нельзя: вначале он видит предупреждение о безопасности, жмет кнопку "все равно перейти" и только после этого видит int error page. @flamel и через регулярки понятно куда вставлять, а вот это куда ?
                        acl youtube rep_mime_type -i ^audio/mp4$
                        acl youtube rep_mime_type -i ^video/mp4$

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by werter

                          @modice said in PFSENSE: Squid + ADGroups + HTTPS:

                          о не безопасном соединении браузера когда заходишь на веб морду pfsense

                          Странный вопрос для итишника (
                          Решить можно заменив самоподписанный сертификат на реальный. Если это возможно, конечно, в ваших реалиях.

                          или когда пользователь пытается зайти на сайт куда ему нельзя

                          Уже отвечал как это сделать БЕЗ подсовывания "левого" сертификата.

                          M 1 Reply Last reply Reply Quote 0
                          • M
                            modice @werter
                            last edited by modice

                            @werter это первый форум, где я который день не могу понять как по человечески цитировать... ладно.
                            касательно странного вопроса, посоветуйте литературу без "воды", буду признателен, а пока ощущение что в какой форум не зайди, все всё знают..
                            я может не так объяснил, допустим пользователю закрыт доступ к vk.com, при попытке зайти на него у него вначале браузер ругается что соединение не безопасно, после жмет кнопку все равно продолжить и только после этого он видит int error page. причем тут подсовывание сертификата? сайт заблокирован по домену в squidguard. на хосты никаких сертификатов не установлено.

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by werter

                              @modice

                              @werter это первый форум, где я который день не могу понять как по человечески цитировать... ладн

                              Поставить перед цитируемым знак ">"

                              я может не так объяснил, допустим пользователю закрыт доступ к vk.com, при попытке зайти на него

                              Сейчас подавляющее большинство сайтов работает по httpS. Видимо, что-то не то с настройками и браузеру это не нравится (
                              Вы CA для сквида сгенерили? Скрин(ы) настроек сквида покажите.

                              M 1 Reply Last reply Reply Quote 0
                              • M
                                modice @werter
                                last edited by

                                @werter sq.png

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by werter

                                  @modice
                                  У вас сквид непрозрачный?
                                  Попробуйте как тут (прозрачный) https://www.oodlestechnologies.com/blogs/File-extension-type-blocking-on-pfsense/

                                  Зы. И ротацию логов вкл. Иначе сквид место вам забьет.

                                  1 Reply Last reply Reply Quote 0
                                  • F
                                    flamel
                                    last edited by

                                    @werter Приветствую, не было опыта с настройкой доступа к W\A, telegram? Я так понял что надо или завернуть трафик мимо прокси или воспользоваться этим https://wiki.squid-cache.org/ConfigExamples/Chat/Whatsapp, но я пока совершенно не понял как адаптировать, с учетом того что у меня вообще не стоит галочка Enable SSL filtering.
                                    Был такой опыт? Может я не в том направлении мыслю вообще

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      Добрый.
                                      @flamel
                                      Может просто в Dst в исключениях сквида добавить?

                                      F 1 Reply Last reply Reply Quote 0
                                      • F
                                        flamel @werter
                                        last edited by flamel

                                        @werter 230e3731-33f8-4928-989d-de3ea25c3172-image.png
                                        Ошибка имеет такой вид при попытке работы некоторых программ, они ломятся под учетками локальными то компов, то своими собственными и вот результат.
                                        С учетом того что у меня прописана керберос авторизация попытка включить прозрачный вариант и в нем bypass поставить не увенчалась успехом.
                                        Добавил в whitelist самого сквида - тоже ноль, есть здесь строка 35c7ac72-6b8e-4887-8292-4d52ca9e52f4-image.png
                                        Я так понял что те кто здесь - не фильтруются вообще, whatsapp скрыл свои CIDR после того как фейсбук крепко им занялся, а у NormaCS запросил. Попробую что будет. = Ничего, попробовал, бездарно вышло)
                                        Или вы имели ввиду создавать acl перед авторизацией в поле custom options?

                                        1 Reply Last reply Reply Quote 0
                                        • werterW
                                          werter
                                          last edited by werter

                                          @flamel

                                          Ошибка имеет такой вид при попытке работы некоторых программ, они ломятся под учетками локальными то компов, то своими собственными

                                          Если все остальное работает хорошо, то получается, что нек-ый софт у Вас кривой?
                                          Попробуйте откл кеш на сквиде вообще - поставьте 0 (нуль) в размере кеша. После очистить кеш браузера на клиенте и проверить.

                                          Или вы имели ввиду создавать acl перед авторизацией в поле custom options?

                                          Стоит попробовать.

                                          1 Reply Last reply Reply Quote 0
                                          • viktor_gV
                                            viktor_g Netgate
                                            last edited by

                                            есть feature request на это дело: https://redmine.pfsense.org/issues/5646

                                            надо бы запилить реализацию

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.