Pfsense 2.3.2 Https Filtreleme



  • Merhaba arkadaşlar;
    Pfsense 2.3.2 versiyonunu kullanıyorum. squid 3 ve squidguard ile transparent modda filtreleme işlemi yapıyorum. http filtreleme ile ilgili hiçbir problemim yok squidguard tarafında gruplar oluşturarak kim hangi siteye girebilir kim hangi siteye giremez ve hatta kimler internete hiç giremez gibi ip bazında filtreleme işlemi yapıyorum. youtube facebook gibi https siteleri ise kural oluşturarak engelliyorum. buraya kadar herşey normal. fakat ben istiyorum ki ister transparent modda olsun isterse non transparent modda (hangisi kolay olacaksa artık) hem http hemde https istekleri squid ve squidguard üzerinden geçsin ve ben her geçen gün sayısı artan yasaklamam gereken https siteler için kural oluşturmayayım. kısacası squidteki https filtreleme işlemini nasıl aktif hale getirebilirim. birçok şey denedim ama başarılı olamadım yardımlarınızı bekliyorum.şimdiden teşekkür ederim.



  • merhaba,
    squid üzerinde ssl filter / bump'ı aktif edip, oluşturduğunuz sertifikayı kullanıcılarınıza dağıtmanız yeterli.
    portal ve arama motorlarında konu hakkında kaynak bulabilirsiniz.



  • 9@tcjackal:

    merhaba,
    squid üzerinde ssl filter / bump'ı aktif edip, oluşturduğunuz sertifikayı kullanıcılarınıza dağıtmanız yeterli.
    portal ve arama motorlarında konu hakkında kaynak bulabilirsiniz.

    ilginiz için çok teşekkür ederim. portal üzerinde ve arama motorlarında çok arama yaptım ve bulduğum anlatımlar genelde 2.1.3 ve öncesi versiyonlar için anlatımlar bazı menülerde 2.3.2 ile ve squid3 ile uyuşmuyor takılıp kalıyorum. 30 adet bilgisayarım var ve bu bilgisayarların hepsine dün proxy olarak pfsense makinasının ip sini ve 3128 olan port numarasını ekledim. pfsense tarafında da transparetn proxy i kapadım (açıkkende denemiştim) istedim ki proxy adresini yazmadığım hiçbir bilgisayar internete çıkamasın maalesef ki çıktı. sonra default olarak gelen lan dan wan a olan tüm istekleri açık bırakan kuralı devre dışı bıraktım ve bu istekleri proxye yönlendiren bir kural oluşturdum. istediğim oldu proxy adresi olmayan bilgisayarlar internete giremedi fakat bu seferde outlook lar hata verdi. onlar içinde 587 ve 110 nolu portlara ayrı bir kural oluşturdum. outlokta düzeldi. sonrasında bir baktımki bütün kısıtlamalarım devre dışı kalmış herkes her siteye girebiliyor. iyice çorba etmeden elimdeki son yedekten geri yükledim. kendi başıma bu işi yapamayacağıma ve güncel versiyonlar üzerine yazılmış bir doküman bulmadan da olmayacağına karar verdim. pfsense foruma medet dedim :). umarım bu işi yapan ve yaptığı işi resimli bir doküman haline getirip paylaşabilecek vakti ve zamanı olan bir arkadaş olur. ben ve benim gibi acemilere yol gösterir.
    tekrardan çok teşekkür ediyorum.



  • Transparent mode will filter SSL (port 443) if you enable man-in-the-middle options below.
    In order to proxy both HTTP and HTTPS protocols without intercepting SSL connections, configure WPAD/PAC options on your DNS/DHCP servers.

    wpad/pac ayarlarını 2.3.2 e göre resimli olarak bilen bir arkadaşımız anlatsa  da  loglarda http/https trafiğini görebilsek

    forum da anlatılanları uyguladım wpad/pac dosyalarını atıp 0755 yaptım blocklamada yapıyor ama loglarda https görünmüyor
    şimdiden teşekkür ederm



  • daha önce tr portal adminlerden mümkün ise, hit sayısı ve aktif kullanıcılar ile ilgili bir talebim oldu diye hatırlıyorum.
    herhangi bir rakam paylaşılmadı ama genel bağlamda portalın durumu ortada.
    bilgisini paylaşan birey sayısı fazlası ile düşük.
    döküman yapan veya farklı paylaşımlarda bulunan insanlara karşı üslub / yaklaşım tarzı da ortada.
    örnek vermek gerekirse, Samet'in projesi olan "ghost hotspot" tarafında yaşananlar ortada, geçmiş postlara bakabilirsiniz.
    bu modülü, satan, satmaya kalkışan ve hatta blog'un da benim projem diye yayınlayanları saymıyorum bile.
    neyse konuyu çok uzattım, umarım talebinizi de içeren, paylaşımlarda bulunan bireyler artar.



  • bende 2.3.2 de baya sıkıntı yaşamıştım ilk başta fakat şuan bu işlemleri yapabiliyorum takıldığın özel bir yer varsa yazabilirmisin.  ekran resimleri ile nasıl yapılışını bu gece foruma atmış olurum

    @ashil:

    9@tcjackal:

    merhaba,
    squid üzerinde ssl filter / bump'ı aktif edip, oluşturduğunuz sertifikayı kullanıcılarınıza dağıtmanız yeterli.
    portal ve arama motorlarında konu hakkında kaynak bulabilirsiniz.

    ilginiz için çok teşekkür ederim. portal üzerinde ve arama motorlarında çok arama yaptım ve bulduğum anlatımlar genelde 2.1.3 ve öncesi versiyonlar için anlatımlar bazı menülerde 2.3.2 ile ve squid3 ile uyuşmuyor takılıp kalıyorum. 30 adet bilgisayarım var ve bu bilgisayarların hepsine dün proxy olarak pfsense makinasının ip sini ve 3128 olan port numarasını ekledim. pfsense tarafında da transparetn proxy i kapadım (açıkkende denemiştim) istedim ki proxy adresini yazmadığım hiçbir bilgisayar internete çıkamasın maalesef ki çıktı. sonra default olarak gelen lan dan wan a olan tüm istekleri açık bırakan kuralı devre dışı bıraktım ve bu istekleri proxye yönlendiren bir kural oluşturdum. istediğim oldu proxy adresi olmayan bilgisayarlar internete giremedi fakat bu seferde outlook lar hata verdi. onlar içinde 587 ve 110 nolu portlara ayrı bir kural oluşturdum. outlokta düzeldi. sonrasında bir baktımki bütün kısıtlamalarım devre dışı kalmış herkes her siteye girebiliyor. iyice çorba etmeden elimdeki son yedekten geri yükledim. kendi başıma bu işi yapamayacağıma ve güncel versiyonlar üzerine yazılmış bir doküman bulmadan da olmayacağına karar verdim. pfsense foruma medet dedim :). umarım bu işi yapan ve yaptığı işi resimli bir doküman haline getirip paylaşabilecek vakti ve zamanı olan bir arkadaş olur. ben ve benim gibi acemilere yol gösterir.
    tekrardan çok teşekkür ediyorum.



  • @saliharik:

    bende 2.3.2 de baya sıkıntı yaşamıştım ilk başta fakat şuan bu işlemleri yapabiliyorum takıldığın özel bir yer varsa yazabilirmisin.  ekran resimleri ile nasıl yapılışını bu gece foruma atmış olurum

    ilginiz için çok teşekkür ederim bayram yoğunluğu dolayısı ile foruma ancak girebiliyorum bayram sonrası yapabildiklerim ve isteyipte yapamadıklarımla alakalı detaylı bilgi paylaşırım ve yardımcı olursanız çok sevinirim tekrardan çok teşekkür ederim.

    nasıl yapıldığına dair oluşturacağınız resimli anlatım konusunu ben ve benim gibi acemiler dört gözle bekliyor olacak :)



  • Merhaba,

    Bu işlem için iki seçeneğiniz var. SSL ile çözüm ve wpad. İkisinde de ilk basta sizi ugrastıran ufak sorunlar çıkabiliyor. Mesela SSLde clientlere sertifika basmalısınız. Bazen banka sitelerinde sorun yaratabiliyor. Ben iyi configure edilirse wpad çözümünün daha uygun olduğunu düşünüyorum. 2.3 versiyon için hazırlanmış yabancı bir döküman var bundan faydalanabilirsiniz.

    https://nguvu.org/pfsense/pfSense-2.3-WPAD-PAC-proxy-configuration-guide/



  • wpad çözümünü türkçe meali  ile birlikte resimli olarak biri anlatsada artık bu konu kapansa bilgisini paylaşacak bir arkadaş bekliyoruz



  • @abg:

    wpad çözümünü türkçe meali  ile birlikte resimli olarak biri anlatsada artık bu konu kapansa bilgisini paylaşacak bir arkadaş bekliyoruz

    forum basliklarini biraz kurcalarsan bulabilirsin



  • inanki yeterince formu inceledim başkalarıda incelemişki onlarda bu sorunu tekrar buraya yazmış formda anlatılan 4.dosyayı oluşturup winscp ile attım 0755 yaptım dns ayarlarınıda anlatıldığı gibi yaptım olmadı olmadığı içinde buraya yazdım hatta yukarıda bir arkadaş resimli olarak atacağını yazmış ama hala atamamış sanırım siz yapmışsınız sizde sorun yok ozaman siz resimli olarak anlatında biz yapamayan acemiler bu sorundan kurtulsun



  • https://forum.pfsense.org/index.php/topic,62017.0.html

    Bu açıklama 2.3.2 sürümünde de çalışmaktadır.



  • Hocam Merhaba ben aşağıdaki kodlarla yaptım ancak Client makinalar Pfsense DHCP den otomatik ip aldığı zaman sorunsuz. manuel ip girdiğim zaman internet çalışmıyor.

    Kullandığım Kodlar:

    Komutlar
    –------------------------
    squid -f /usr/local/etc/squid/squid.conf -k parse
    touch /usr/local/www/proxy.pac
    ln -s /usr/local/www/proxy.pac  /usr/local/www/wpad.dat
    ln -s /usr/local/www/proxy.pac  /usr/local/www/wpad.da

    mime type

    application/x-ns-proxy-autoconfig  pac;
    application/x-ns-proxy-autoconfig  dat;
    application/x-ns-proxy-autoconfig  da;

    DHCP - String

    http://wpad.localdomain.local/proxy.pac
    http://wpad.localdomain.local/wpad.dat
    http://wpad.localdomain.local/wpad.da

    Script PAC

    function FindProxyForURL(url, host){

    var hostIP = dnsResolve(host);

    if ( isInNet(hostIP, "10.0.0.0", "255.0.0.0") ||
            isInNet(hostIP, "172.16.0.0",  "255.240.0.0") ||
            isInNet(hostIP, "192.168.0.0",  "255.255.0.0") ||
            isInNet(hostIP, "127.0.0.0", "255.255.255.0")){

    return "DIRECT";
      }

    if (isPlainHostName(host)){

    return "DIRECT";
      }

    if (dnsDomainIs(host, ".localdomain.local")) {

    return "DIRECT";
      }

    return "PROXY wpad.localdomain.local:3128";

    }