Pfsense 2.3.2 Https Filtreleme

asaracoglu

Merhaba arkadaşlar;
Pfsense 2.3.2 versiyonunu kullanıyorum. squid 3 ve squidguard ile transparent modda filtreleme işlemi yapıyorum. http filtreleme ile ilgili hiçbir problemim yok squidguard tarafında gruplar oluşturarak kim hangi siteye girebilir kim hangi siteye giremez ve hatta kimler internete hiç giremez gibi ip bazında filtreleme işlemi yapıyorum. youtube facebook gibi https siteleri ise kural oluşturarak engelliyorum. buraya kadar herşey normal. fakat ben istiyorum ki ister transparent modda olsun isterse non transparent modda (hangisi kolay olacaksa artık) hem http hemde https istekleri squid ve squidguard üzerinden geçsin ve ben her geçen gün sayısı artan yasaklamam gereken https siteler için kural oluşturmayayım. kısacası squidteki https filtreleme işlemini nasıl aktif hale getirebilirim. birçok şey denedim ama başarılı olamadım yardımlarınızı bekliyorum.şimdiden teşekkür ederim.

tcjackal

merhaba,
squid üzerinde ssl filter / bump'ı aktif edip, oluşturduğunuz sertifikayı kullanıcılarınıza dağıtmanız yeterli.
portal ve arama motorlarında konu hakkında kaynak bulabilirsiniz.

asaracoglu

9@tcjackal:

merhaba,
squid üzerinde ssl filter / bump'ı aktif edip, oluşturduğunuz sertifikayı kullanıcılarınıza dağıtmanız yeterli.
portal ve arama motorlarında konu hakkında kaynak bulabilirsiniz.

ilginiz için çok teşekkür ederim. portal üzerinde ve arama motorlarında çok arama yaptım ve bulduğum anlatımlar genelde 2.1.3 ve öncesi versiyonlar için anlatımlar bazı menülerde 2.3.2 ile ve squid3 ile uyuşmuyor takılıp kalıyorum. 30 adet bilgisayarım var ve bu bilgisayarların hepsine dün proxy olarak pfsense makinasının ip sini ve 3128 olan port numarasını ekledim. pfsense tarafında da transparetn proxy i kapadım (açıkkende denemiştim) istedim ki proxy adresini yazmadığım hiçbir bilgisayar internete çıkamasın maalesef ki çıktı. sonra default olarak gelen lan dan wan a olan tüm istekleri açık bırakan kuralı devre dışı bıraktım ve bu istekleri proxye yönlendiren bir kural oluşturdum. istediğim oldu proxy adresi olmayan bilgisayarlar internete giremedi fakat bu seferde outlook lar hata verdi. onlar içinde 587 ve 110 nolu portlara ayrı bir kural oluşturdum. outlokta düzeldi. sonrasında bir baktımki bütün kısıtlamalarım devre dışı kalmış herkes her siteye girebiliyor. iyice çorba etmeden elimdeki son yedekten geri yükledim. kendi başıma bu işi yapamayacağıma ve güncel versiyonlar üzerine yazılmış bir doküman bulmadan da olmayacağına karar verdim. pfsense foruma medet dedim :). umarım bu işi yapan ve yaptığı işi resimli bir doküman haline getirip paylaşabilecek vakti ve zamanı olan bir arkadaş olur. ben ve benim gibi acemilere yol gösterir.
tekrardan çok teşekkür ediyorum.

abg

Transparent mode will filter SSL (port 443) if you enable man-in-the-middle options below.
In order to proxy both HTTP and HTTPS protocols without intercepting SSL connections, configure WPAD/PAC options on your DNS/DHCP servers.

wpad/pac ayarlarını 2.3.2 e göre resimli olarak bilen bir arkadaşımız anlatsa  da  loglarda http/https trafiğini görebilsek

forum da anlatılanları uyguladım wpad/pac dosyalarını atıp 0755 yaptım blocklamada yapıyor ama loglarda https görünmüyor
şimdiden teşekkür ederm

tcjackal

daha önce tr portal adminlerden mümkün ise, hit sayısı ve aktif kullanıcılar ile ilgili bir talebim oldu diye hatırlıyorum.
herhangi bir rakam paylaşılmadı ama genel bağlamda portalın durumu ortada.
bilgisini paylaşan birey sayısı fazlası ile düşük.
döküman yapan veya farklı paylaşımlarda bulunan insanlara karşı üslub / yaklaşım tarzı da ortada.
örnek vermek gerekirse, Samet'in projesi olan "ghost hotspot" tarafında yaşananlar ortada, geçmiş postlara bakabilirsiniz.
bu modülü, satan, satmaya kalkışan ve hatta blog'un da benim projem diye yayınlayanları saymıyorum bile.
neyse konuyu çok uzattım, umarım talebinizi de içeren, paylaşımlarda bulunan bireyler artar.

saliharik

bende 2.3.2 de baya sıkıntı yaşamıştım ilk başta fakat şuan bu işlemleri yapabiliyorum takıldığın özel bir yer varsa yazabilirmisin.  ekran resimleri ile nasıl yapılışını bu gece foruma atmış olurum

@ashil:

9@tcjackal:

merhaba,
squid üzerinde ssl filter / bump'ı aktif edip, oluşturduğunuz sertifikayı kullanıcılarınıza dağıtmanız yeterli.
portal ve arama motorlarında konu hakkında kaynak bulabilirsiniz.

ilginiz için çok teşekkür ederim. portal üzerinde ve arama motorlarında çok arama yaptım ve bulduğum anlatımlar genelde 2.1.3 ve öncesi versiyonlar için anlatımlar bazı menülerde 2.3.2 ile ve squid3 ile uyuşmuyor takılıp kalıyorum. 30 adet bilgisayarım var ve bu bilgisayarların hepsine dün proxy olarak pfsense makinasının ip sini ve 3128 olan port numarasını ekledim. pfsense tarafında da transparetn proxy i kapadım (açıkkende denemiştim) istedim ki proxy adresini yazmadığım hiçbir bilgisayar internete çıkamasın maalesef ki çıktı. sonra default olarak gelen lan dan wan a olan tüm istekleri açık bırakan kuralı devre dışı bıraktım ve bu istekleri proxye yönlendiren bir kural oluşturdum. istediğim oldu proxy adresi olmayan bilgisayarlar internete giremedi fakat bu seferde outlook lar hata verdi. onlar içinde 587 ve 110 nolu portlara ayrı bir kural oluşturdum. outlokta düzeldi. sonrasında bir baktımki bütün kısıtlamalarım devre dışı kalmış herkes her siteye girebiliyor. iyice çorba etmeden elimdeki son yedekten geri yükledim. kendi başıma bu işi yapamayacağıma ve güncel versiyonlar üzerine yazılmış bir doküman bulmadan da olmayacağına karar verdim. pfsense foruma medet dedim :). umarım bu işi yapan ve yaptığı işi resimli bir doküman haline getirip paylaşabilecek vakti ve zamanı olan bir arkadaş olur. ben ve benim gibi acemilere yol gösterir.
tekrardan çok teşekkür ediyorum.

asaracoglu

@saliharik:

bende 2.3.2 de baya sıkıntı yaşamıştım ilk başta fakat şuan bu işlemleri yapabiliyorum takıldığın özel bir yer varsa yazabilirmisin.  ekran resimleri ile nasıl yapılışını bu gece foruma atmış olurum

ilginiz için çok teşekkür ederim bayram yoğunluğu dolayısı ile foruma ancak girebiliyorum bayram sonrası yapabildiklerim ve isteyipte yapamadıklarımla alakalı detaylı bilgi paylaşırım ve yardımcı olursanız çok sevinirim tekrardan çok teşekkür ederim.

nasıl yapıldığına dair oluşturacağınız resimli anlatım konusunu ben ve benim gibi acemiler dört gözle bekliyor olacak :)

efrasiyap

Merhaba,

Bu işlem için iki seçeneğiniz var. SSL ile çözüm ve wpad. İkisinde de ilk basta sizi ugrastıran ufak sorunlar çıkabiliyor. Mesela SSLde clientlere sertifika basmalısınız. Bazen banka sitelerinde sorun yaratabiliyor. Ben iyi configure edilirse wpad çözümünün daha uygun olduğunu düşünüyorum. 2.3 versiyon için hazırlanmış yabancı bir döküman var bundan faydalanabilirsiniz.

https://nguvu.org/pfsense/pfSense-2.3-WPAD-PAC-proxy-configuration-guide/

abg

wpad çözümünü türkçe meali  ile birlikte resimli olarak biri anlatsada artık bu konu kapansa bilgisini paylaşacak bir arkadaş bekliyoruz

Qbilay

@abg:

wpad çözümünü türkçe meali  ile birlikte resimli olarak biri anlatsada artık bu konu kapansa bilgisini paylaşacak bir arkadaş bekliyoruz

forum basliklarini biraz kurcalarsan bulabilirsin

abg

inanki yeterince formu inceledim başkalarıda incelemişki onlarda bu sorunu tekrar buraya yazmış formda anlatılan 4.dosyayı oluşturup winscp ile attım 0755 yaptım dns ayarlarınıda anlatıldığı gibi yaptım olmadı olmadığı içinde buraya yazdım hatta yukarıda bir arkadaş resimli olarak atacağını yazmış ama hala atamamış sanırım siz yapmışsınız sizde sorun yok ozaman siz resimli olarak anlatında biz yapamayan acemiler bu sorundan kurtulsun

technical

https://forum.pfsense.org/index.php/topic,62017.0.html

Bu açıklama 2.3.2 sürümünde de çalışmaktadır.

landforces

Hocam Merhaba ben aşağıdaki kodlarla yaptım ancak Client makinalar Pfsense DHCP den otomatik ip aldığı zaman sorunsuz. manuel ip girdiğim zaman internet çalışmıyor.

Kullandığım Kodlar:

Komutlar
–------------------------
squid -f /usr/local/etc/squid/squid.conf -k parse
touch /usr/local/www/proxy.pac
ln -s /usr/local/www/proxy.pac  /usr/local/www/wpad.dat
ln -s /usr/local/www/proxy.pac  /usr/local/www/wpad.da

mime type

application/x-ns-proxy-autoconfig  pac;
application/x-ns-proxy-autoconfig  dat;
application/x-ns-proxy-autoconfig  da;

DHCP - String

http://wpad.localdomain.local/proxy.pac
http://wpad.localdomain.local/wpad.dat
http://wpad.localdomain.local/wpad.da

Script PAC

function FindProxyForURL(url, host){

var hostIP = dnsResolve(host);

if ( isInNet(hostIP, "10.0.0.0", "255.0.0.0") ||
        isInNet(hostIP, "172.16.0.0",  "255.240.0.0") ||
        isInNet(hostIP, "192.168.0.0",  "255.255.0.0") ||
        isInNet(hostIP, "127.0.0.0", "255.255.255.0")){

return "DIRECT";
  }

if (isPlainHostName(host)){

return "DIRECT";
  }

if (dnsDomainIs(host, ".localdomain.local")) {

return "DIRECT";
  }

return "PROXY wpad.localdomain.local:3128";

}