Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense 5651 Kanuna Uygun Log İmzalama

    Scheduled Pinned Locked Moved Turkish
    85 Posts 29 Posters 36.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gsezen
      last edited by gsezen

      Eğer yapınızda birden fazla pfsense kullanıyorsanız ve bunların arasında CARP / Failover yapısı oluşturmuş iseniz, GW olarak CARP IP adresini kullandığınızı varsayıyorum, bu durumda Squid tarafında bir kaç ayar yapmanız gerekiyor ve ayrıca NAT yapmanız da gerekiyor. Lakin NAT yapmanıza rağmen proxy adresi olarak CARP Lan adresini girdiğinizde proxy çok düzgün çalışmayabiliyor.

      Mesela Ben firewall üzerinde Transparent Proxy özelliğini aktif etmedim. Bu yüzden şimdilik proxy adresi tanımlayarak erişim yaptırıyorum.
      Fakat SSL li sitelerde SSL İnspection yapmıyor.
      Squid ayarlarında Proxy interface olarak LAN ve loopback interface seçili.

      squid-1.png
      Squid.conf dosyasına baktığımda loopback adresi için ssl-bump certificate vs.aktif değildi.

      squid-2.png

      Firewall içinde NAT kuralı yapılandırılmış durumda.

      squid-3.png

      Çözümü şöyle buldum. Proxy İnterface olarak sadece LAN bıraktım ve Squid Custom Options bölümüne ilgili satırları yazdım.

      Squid.conf dosyasında LAN için ne yazıyorsa onun aynısını Loopback için de uyarladım ve ayarları kaydettim.

      squid-4.png

      Sonrasında yapı düzgün bir şekilde çalışmaya başladı.

      Dosyaları imzalama konusunda ise sanırım her iki node içinde imzalama yaptırıp ftp üzerine ilgili yedekleri aldırmamız gerekecek diye düşünüyorum.

      1 Reply Last reply Reply Quote 0
      • O
        onurturali
        last edited by

        Öncelikle merhaba. adımları teker teker uyguladım şimdilik hiçbir sorun yok gibi görünüyor fakat aklıma bir şey katıldı. Teşekkür ediyorum.

        Lightsquid ve sqstat raporlama yaparken sadece domain olarak yapıyor.
        Örneğin bir eticaret sitesinde ürünü incelerken full URL yerine sadece alanadını raporpanıyor.

        Mesela bu konuyu ziyaret ettiğim zaman forum.netgate.com/topic/125383/blablabla/ yerine sadece forum.netgate.com:443 olarak raporluyor.
        5651 için logladığım access.log dosyası da aynı şekilde. (https://i.hizliresim.com/lQZrOB.png)

        Anlık olarak trafiği izlemek için full URL görüntülemesi ve raporlaması nasıl oluyor acaba bir bilginiz var mı?
        Ayrıca sadece alanadi.com olarak raporlamak ve imzalamak 5651 kanunu için yeterli mi?

        U 1 Reply Last reply Reply Quote 0
        • U
          ucribrahim @onurturali
          last edited by

          @onurturali Merhabalar,

          URL full görüntüleyemezsiniz, SSL 'in çalışma mantığını araştırabilirsiniz. Gitmek istediğiniz adresin sadece domain kısmını görebilirsiniz, onun altındaki ilgili sayfa ve içeriğini göremezsiniz SSL ile şifreleniyor çünkü.

          Nasıl full URL bilgisini alabilirsiniz bilmiyorum, ama internette araştırarak çözüm bulabilirsiniz.

          alanadi.com olarak raporlamak ve imzalamak 5651 için kendi başına yeterli değil. Domain veya gittiği ip adresini raporlamak ve imzalamak aynı zamanda DHCP kayıtlarınıda imzalamak lazım.

          5651 kanununun son halini internet araştırıp detaylarına bakabilirsiniz.

          ” Online pfSense Firewall & Router Eğitimi | www.udemy.com/pfsense-training “

          O 1 Reply Last reply Reply Quote 0
          • O
            onurturali @ucribrahim
            last edited by onurturali

            @ucribrahim Domain veya gittiği ip adresini raporlamaktan kastınız Lightsquid'in siteleri hem IP hem de domain olarak raporlaması mı? Mesela bende Lightsquid "disqus.com:433" ve onun IP adresi olan "151.101.64.134:443" olarak rapor tutuyor. Ayrıca Lightsquid raporunda bir gün için 820 kayıttan sadece 370'i domain geriye kalanı IP adresi. Bu biraz saçma geliyor bana açıkçası.

            Bu arada cron çalışmıyor. Görseldeki gibi yaptım her şeyi. "service cron onerestart" komutu ile cron servisini yeniden başlatıtm, cron servisini silip tekrar kurdum, pfSense'i bile yeniden başlattım. Komutları manuel olarak çalışıtırabiliyorum hiç sıkıntı yok. Fakat imzalama komutları ne yazık ki cronda çalışmıyor. Zaman ile sıkıntı yok. "date" komutundaki çıktı ile yerel saat aynı. Çözemedim bir türlü.

            edit: cron birden bire çalışmaya başladı. Nasıl oldu bilmiyorum. "service cron start" komutunu çalıştırmıştım. Fakat öncesinde zaten cron çalışıyordu. "service cron status" ile bunu görüntülüyebiliyordum.

            U 1 Reply Last reply Reply Quote 0
            • U
              ucribrahim @onurturali
              last edited by ucribrahim

              @onurturali Hocam benim 5651 projesinin Lightsquid ile yakından uzaktan bir ilgisi yok. Bilginize.

              Hocam siz Squid&SquidGuard 'mı yoksa E2guardian 'mı kullanıyorsunuz? Squid kullanıyorsanız SSL Inception 'mı yapıyorsun. Bu soruyu Lightsquid 'i anlamak için soruyorum. Normalde HTTPS domain çözemezseniz direkt kişinin gittiğini domain'nin ip adresini görürsünüz sadece. Aynı zamanda sadece HTTP domainlerini görebilirsiniz, karşısında ip adresi ile birlikte. Ama HTTPS, sadece ip görürsünüz.

              Hocam Cron çok basic bir servis, çalışmama gibi bir lüksü olmamalı. Edit, kısmında çalıştığını görebiliyorsunuz demişsiniz, o zaman sıkıntı yok. Yine bakarsınız kontrol edersiniz, gerçekten çalışıyormu.

              ” Online pfSense Firewall & Router Eğitimi | www.udemy.com/pfsense-training “

              1 Reply Last reply Reply Quote 0
              • O
                onurturali
                last edited by

                @ucribrahim Squid & E2Guardian kullanıyorum. Buradaki gibi yaptım kurulumu ve ayarları.
                Evet, SSL interception yapıyorum.

                Bu arada cron işlerinin hepsini 23:30 yapınca çalışmadı sanırım bende. Komutları birer dakika arayla kurunca çalıştı. Bu bir etken olabilir mi sizce?

                1 Reply Last reply Reply Quote 0
                • L
                  lncsence
                  last edited by

                  Bir şeyi merak ediyorum. Squid https loglama yapıyor. Https tcp dump neden yapılıyor. Squid loglarini imzalayinca yeterli olmuyor mu?

                  U 1 Reply Last reply Reply Quote 0
                  • U
                    ucribrahim @lncsence
                    last edited by

                    @lncsence Squid varsayılan olarak HTTPS loglamaz, eğer sen kullanıcılara sertifika yükleyip veya başka ayarlar yaparsan HTTPS loglayabilir. O zaman benim HTTPS loglamak için kullandığım script dosyalarını eklemene gerek kalmaz. Eğer http ve https geçiyorsa squid dosyasından, sadece onu imzalamak yeterli olur.

                    Dhcp kayıtlarınıda imzalamak lazım, onuda belirteyim(zorunlu).

                    Detaylı bilgi için aşağıdaki blog yazımı takip edebilirsin.
                    https://lifeoverlinux.com/pfsense-5651-kanuna-uygun-log-imzalama/

                    ” Online pfSense Firewall & Router Eğitimi | www.udemy.com/pfsense-training “

                    1 Reply Last reply Reply Quote 1
                    • L
                      lncsence
                      last edited by

                      Yazılarinizi ilgiyle takip ediyorum. Paylaşımlarınız için teşekkür ederim. İmzalama işlemini yapmak için araştırmalar yapıyorum. Dhcp ve squid yeterli oluyor o zaman.

                      Verdiğiniz cevap için teşekkür ederim.

                      1 Reply Last reply Reply Quote 0
                      • K
                        kumpasagv
                        last edited by

                        Bu imzalama scripti Pfsense 2.5.1' de çalışmıyor galiba. 2.4.x te doğrulayabildiğim aynı ayarlarla 2.5.1 de hata alıyorum.

                        [2.5.1-RELEASE][root@pfSense.home.arpa]/root: sh /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh
                        Using configuration from /etc/ssl/openssl.cnf
                        Using configuration from /usr/local/ssl/imzalama/openssl.cnf
                        Response is not generated.
                        34371026944:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/conf/conf_lib.c:273:group=tsa_config1 name=signer_digest
                        34371026944:error:2F098088:time stamp routines:ts_CONF_lookup_fail:cannot find config variable:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/ts/ts_conf.c:106:tsa_config1::signer_digest
                        Using configuration from /etc/ssl/openssl.cnf
                        34371026944:error:02001002:system library:fopen:No such file or directory:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:69:fopen('dhcpd.leases.der','rb')
                        34371026944:error:2006D080:BIO routines:BIO_new_file:no such file:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:76:
                        Dogrulama Saglanamadi. Islemler geri aliniyor.
                        /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh: mail: not found
                        
                        
                        B 1 Reply Last reply Reply Quote 2
                        • B
                          betim_m @kumpasagv
                          last edited by betim_m

                          @kumpasagv said in PfSense 5651 Kanuna Uygun Log İmzalama:

                          kumpasagv arkadaşımızın aldığı hatayı beden alıyorum. Bu imzalama scripti Pfsense 2.5.1' de çalışmıyor galiba. 2.4.x te doğrulayabildiğim aynı ayarlarla 2.5.1 de hata alıyorum.

                          [2.5.1-RELEASE][root@pfSense.home.arpa]/root: sh /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh
                          Using configuration from /etc/ssl/openssl.cnf
                          Using configuration from /usr/local/ssl/imzalama/openssl.cnf
                          Response is not generated.
                          34371026944:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/conf/conf_lib.c:273:group=tsa_config1 name=signer_digest
                          34371026944:error:2F098088:time stamp routines:ts_CONF_lookup_fail:cannot find config variable:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/ts/ts_conf.c:106:tsa_config1::signer_digest
                          Using configuration from /etc/ssl/openssl.cnf
                          34371026944:error:02001002:system library:fopen:No such file or directory:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:69:fopen('dhcpd.leases.der','rb')
                          34371026944:error:2006D080:BIO routines:BIO_new_file:no such file:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:76:
                          Dogrulama Saglanamadi. Islemler geri aliniyor.
                          /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh: mail: not found
                          
                          
                          1 Reply Last reply Reply Quote 0
                          • A
                            ares
                            last edited by

                            2.5.x sürümünde çalışmıyor maalesef. Uzun zamandır da kimse pfsense 2.5.x sürümü için 5651 çalışması yapmıyor ve ya bu scripti düzenlemiyor.
                            2.4.5 sürüm olan makinede çalışıyordu sorunsuz, pf güncellenince scrip çalışmaz oldu. İlgili arkadaşlardan acil destek rica ediyoruz.

                            A 1 Reply Last reply Reply Quote 0
                            • A
                              ares @ares
                              last edited by ares

                              @ares Up

                              @ucribrahim hocam destek lütfen.

                              1 Reply Last reply Reply Quote 0
                              • M
                                myturkisheagle
                                last edited by

                                Hocam Selamlar
                                pf sense 2.5.2 de aynı sorunla karşılaştım
                                /usr/local/ssl/imzalama/openssl.cnf
                                344.satırına
                                signer_digest = md5
                                ekledim düzeldi

                                hata buydu
                                sh /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh
                                Using configuration from /etc/ssl/openssl.cnf
                                Using configuration from /usr/local/ssl/imzalama/openssl.cnf
                                Response is not generated.
                                34371026944:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/build/ce-crossbuild-252/sources/FreeBSD-src/crypto/openssl/crypto/conf/conf_lib.c:273:group=tsa_config1 name=signer_digest
                                34371026944:error:2F098088:time stamp routines:ts_CONF_lookup_fail:cannot find config variable:/build/ce-crossbuild-252/sources/FreeBSD-src/crypto/openssl/crypto/ts/ts_conf.c:106:tsa_config1::signer_digest
                                Using configuration from /etc/ssl/openssl.cnf
                                34371026944:error:02001002:system library:fopen:No such file or directory:/build/ce-crossbuild-252/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:69:fopen('dhcpd.leases.der','rb')
                                34371026944:error:2006D080:BIO routines:BIO_new_file:no such file:/build/ce-crossbuild-252/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:76:
                                Dogrulama Saglanamadi. Islemler geri aliniyor.
                                /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh: mail: not found

                                1 Reply Last reply Reply Quote 2
                                • U
                                  ucribrahim
                                  last edited by

                                  Herkese selamlar,

                                  @myturkisheagle yardımın için çok teşekkürler, diğer arkadaşlar içinde bu fix işe yarayabilir.

                                  Bu proje üzerinde artık güncellemele yapamıyorum, açık kaynak olduğu için herkes destekte, yorumda bulunabilir ve projenin güncel kalmasını sağlayabilir.

                                  Eğer olurda bir gün bir nedenden dolayı kalıcı olarak kullanamazsanız, internette ücretli veya ücretsiz pfSense üzerinde çalışan 5651 uygulamaları mevcut. (Araştırmanız lazım)

                                  ” Online pfSense Firewall & Router Eğitimi | www.udemy.com/pfsense-training “

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    ares
                                    last edited by

                                    Hocam çok teşekkürler. İşe yaradı, Allah razı olsun.

                                    1 Reply Last reply Reply Quote 0
                                    • A
                                      ahmetkanar54
                                      last edited by ahmetkanar54

                                      arkadaşlar dual wan load blancer ve squid i aynı anda çalıştırıp log kaydını alan arkadaş varmı yaptıysa nasıl yaptı bu işlemi ?

                                      A 1 Reply Last reply Reply Quote 0
                                      • A
                                        ahmetkanar54 @ucribrahim
                                        last edited by

                                        This post is deleted!
                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          mahsumyavuz
                                          last edited by

                                          Merhaba Hocam,

                                          Kanunda Tübitak Zaman damgası zorunluluğu da görünüyor. Şu anki yapıda nasıl yer alabilir. Yada bu yöntemde geçerli mi acaba ?

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            ares @ahmetkanar54
                                            last edited by

                                            @ahmetkanar54 tek wan ya da çoklu wan kullanmanız birşey değiştirmiyor. Squid tarafında lan bacağını seçmeniz yetecektir. Sonuçta lan tarafından bağlanacak olan cihazların log kayıtlarını almanız gerekiyor.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.