Squidguard запрет https трафика.



  • доброго времени!
    прокси находится в обычном режиме HTTP
    включен прокси-фильтр, в нем присутсвует скаченный Blacklist
    если в настройках браузера прописан IP прокси, то блокируется все что указано Blacklist Squid
    так же включен Transparent HTTP Proxy
    когда в настройка стоит автоматически определение параметров
    то блокируется все, кроме HTTPS
    как настроить squidguard что бы блокировал https
    хотя в Target Rules List в movies стоит deny и там есть ну к примеру youtube.com, который переходит по https, но не блокируется squidguard
    Transparent HTTP Proxy отключать нельзя там указаны IP в обход прокси и правило создано на LAN IP которые в обход
    собственно вопрос в том как блокировать https и в случае чего как открыть определенный сайт определенному клиенту что бы не в обход его пускать, т.е в Groups Access Control List (ACL) создаю определенный ПК с IP и создаю Target categories с сайтом который нужно открыть, разрешаю его и все? или же еще правило какое на LAN нужно будет с этим IP



  • Блокируйте в Firewall



  • а если я переведу прокси обратно в HTTPS режим
    у клиентов оставлю прописанные настройки прокси сервера
    уберу прозрачный прокси
    то как мне некоторые IP адреса пускать в обход прокси
    правилами? т.е IPv4* 192.168.50.xx *  *  *  * и такое правило на каждый IP который бы я хотел пустить в обход прокси
    включу squidguard в нем в BlackList поставлю запрет к примеру на социальные сети, у все будут блокироваться соц.сети а для клиентов которым я хочу разрешить доступ к одной из соц.сети к примеру к ВК, создаю свой Target Rules List в нем указываю vk.com,  в группах создаю клиента разрешаю доступ к ВК и на этом все, применяю настройки.
    в таком случае будет так работать или у всех как ходил так и будет ходить через https и ничего блокироваться не будет?



  • вот сейчас выключил прозрачный прокси
    мой IP указан в Unrestricted IPs
    создал правило на свой IP IPv4*  192.168.50.5  *  *  *  *  none
    в squidguard/Common ACL Target Rules List к примеру на movies у меня стоит запрет (deny)
    когда пытаюсь зайти на youtube.com а он в этом списке присутствует, то меня не пускает.
    как мне ходить в обход прокси? правило не правильное?
    и если дело в правиле то что не так? или вообще так как я хочу так не будет работать, и так и так нужно включать прозрачный прокси и указывать IP адреса, кому в обход и правило на этот IP
    а когда прозрачный прокси выключен и в настройках обозревателя вообще ничего не указано один фиг пускает на все



  • @randreevich:

    Блокируйте в Firewall

    если я создам блокировку трафика https а при этом у меня прокси будет в режиме https, я на него зайти не смогу? так же если я кому то хочу разрешить трафик через https то как разрешить не весь а на определенный IP и определенный сайт



  • -включил режим прокси HTTPS
    -создал Aliases с IP адресами которым разрешено ходить в обход прокси
    -включил Transparent HTTP Proxy
    -указал IP адреса которые будут ходить в обход прокси Bypass Proxy for Private Address Destination
    -в Rules создал правило с альясом IP адресов которое создал ранее
    клиентам которые должны ходить в обход на их ПК в свойствах обозревателя убрал IP прокси и поставил автоматически (все роде бы замечательно)., но теперь какой нибудь ушлый клиент может так же у себя поставить автоматически и будет лазить везде где захочет.
    и еще у тех клиентов у которых остался прописан IP прокси, блокируется все что я указал для блокировки в Squiguard, а как мне разрешить к примеру определенный сайт этому клиенту, что я сделал, я создал свой Target Rules List в нем указал домен сайта который мне нужен в данном случае vk.com для проверки, создал Groups ACL с IP клиента, разрешил ему там этот самый ВК, нажал применить Apply, и…и ничего не заработало, что я делаю не так...подскажите пожалуйста уже измучился со squidguard,ом.
    и еще происходит какая то ерунда в Свойствах обозревателя настройка сети ставлю автоматом проходит какое то время захожу опять в настройки а у меня опять прописан IP прокси, что это такое откуда он его присваивает..

    возможно ли вообще настроить так что бы был не прозрачный прокси, IP адрес прокси сервера прописан в настройках браузера, разрешать определенным IP ходить мимо прокси, а у остальных все блокировалось согласно правилам гуарда, но в свою очередь для некоторых открывать определенные сайты???



  • @Guf-Rolex-X:

    @randreevich:

    Блокируйте в Firewall

    если я создам блокировку трафика https а при этом у меня прокси будет в режиме https, я на него зайти не смогу? так же если я кому то хочу разрешить трафик через https то как разрешить не весь а на определенный IP и определенный сайт

    заходите на него по другому порту.



  • @Guf-Rolex-X:

    -включил режим прокси HTTPS
    -создал Aliases с IP адресами которым разрешено ходить в обход прокси
    -включил Transparent HTTP Proxy
    -указал IP адреса которые будут ходить в обход прокси Bypass Proxy for Private Address Destination
    -в Rules создал правило с альясом IP адресов которое создал ранее
    клиентам которые должны ходить в обход на их ПК в свойствах обозревателя убрал IP прокси и поставил автоматически (все роде бы замечательно)., но теперь какой нибудь ушлый клиент может так же у себя поставить автоматически и будет лазить везде где захочет.
    и еще у тех клиентов у которых остался прописан IP прокси, блокируется все что я указал для блокировки в Squiguard, а как мне разрешить к примеру определенный сайт этому клиенту, что я сделал, я создал свой Target Rules List в нем указал домен сайта который мне нужен в данном случае vk.com для проверки, создал Groups ACL с IP клиента, разрешил ему там этот самый ВК, нажал применить Apply, и…и ничего не заработало, что я делаю не так...подскажите пожалуйста уже измучился со squidguard,ом.
    и еще происходит какая то ерунда в Свойствах обозревателя настройка сети ставлю автоматом проходит какое то время захожу опять в настройки а у меня опять прописан IP прокси, что это такое откуда он его присваивает..

    возможно ли вообще настроить так что бы был не прозрачный прокси, IP адрес прокси сервера прописан в настройках браузера, разрешать определенным IP ходить мимо прокси, а у остальных все блокировалось согласно правилам гуарда, но в свою очередь для некоторых открывать определенные сайты???

    в SquidGuard - Common ACL - Target Categories - Default access [all] = deny!
    начните с этого…



  • @randreevich:

    @Guf-Rolex-X:

    -включил режим прокси HTTPS
    -создал Aliases с IP адресами которым разрешено ходить в обход прокси
    -включил Transparent HTTP Proxy
    -указал IP адреса которые будут ходить в обход прокси Bypass Proxy for Private Address Destination
    -в Rules создал правило с альясом IP адресов которое создал ранее
    клиентам которые должны ходить в обход на их ПК в свойствах обозревателя убрал IP прокси и поставил автоматически (все роде бы замечательно)., но теперь какой нибудь ушлый клиент может так же у себя поставить автоматически и будет лазить везде где захочет.
    и еще у тех клиентов у которых остался прописан IP прокси, блокируется все что я указал для блокировки в Squiguard, а как мне разрешить к примеру определенный сайт этому клиенту, что я сделал, я создал свой Target Rules List в нем указал домен сайта который мне нужен в данном случае vk.com для проверки, создал Groups ACL с IP клиента, разрешил ему там этот самый ВК, нажал применить Apply, и…и ничего не заработало, что я делаю не так...подскажите пожалуйста уже измучился со squidguard,ом.
    и еще происходит какая то ерунда в Свойствах обозревателя настройка сети ставлю автоматом проходит какое то время захожу опять в настройки а у меня опять прописан IP прокси, что это такое откуда он его присваивает..

    возможно ли вообще настроить так что бы был не прозрачный прокси, IP адрес прокси сервера прописан в настройках браузера, разрешать определенным IP ходить мимо прокси, а у остальных все блокировалось согласно правилам гуарда, но в свою очередь для некоторых открывать определенные сайты???

    в SquidGuard - Common ACL - Target Categories - Default access [all] = deny!
    начните с этого…

    но ведь так я заблокирую совсем все, а мне нужно заблокировать некоторые категории из Blacklist и некоторые сайты из этих категорий разрешить определенным клиентам, а некоторых вообще в обход пускать, и как и где настраивать WPAD не пойму если есть AD.



  • создал правило в Target categories обозвал VK в Domain List указал vk.com
    создал в Groups ACL клиента обозвал PC указал в Client (source) его IP адресс
    в Target Rules мое правило указал как whitelist сохранил все
    нажал Apply опять сохранился.
    почему squidguard все равно блокирует vk.com, что не так?
    по идее же он должен пускать на этот ресурс
    что не так???

    • мне нужно что бы VIP персоны скажем так ходили в интернет мимо прокси (ну или если без включенного прозрачного прокси так нельзя то на них на каждого тоже правила создавать)
    • заблокировать некоторые категории из blacklist в squidguard
    • из этих категорий некоторые сайты разрешать определенным IP
      все…что я делаю не так, понятно что можно все заблокировать и так далее а как разрешать то?
      может кто нибудь объяснить что у меня с настройками не так...запарился уже
      сейчас кстати IP прокси на всех клиентах прописаны в браузерах, автоматом не получается поставить (вернее получается но потом обновляется и опять IP прокси прописывается) так как нужно наверное настраивать WPAD, а как и где я понятия не имею, так как у нас есть только частичный доступ в консоль AD а там ничего подобного я не нашел.


  • не пойму при создании WPAD в URL что указывать нужно?
    http://<securityservername>:<portnumber>/wpad.dat, где SecurityServerName — полное доменное имя Security Server, а PortNumber — это порт, на котором публикуется информация WPAD в Forefront TMG
    ip можно домена указывать или только имя, и обязателен ли порт? 80
    т.е http://192.168.50.xx/wdap.dat или http://domen.ru:80/wdap.dat домен указывается на котором DHCP?</portnumber></securityservername>



  • скажите как работает Transparent HTTP Proxy
    т.е когда у меня на pfSense стоит Transparent HTTP Proxy, то в свойствах браузера IP прокси и порт автоматически прописываются как на первом скрине или же прям должна стоять галочка автоматическое определение параметров для прозрачного прокси.

    так или так

    я ставлю у себя к примеру на ПК автоматическое определение параметров у меня через некоторое время бац и опять прописывает IP прокси в настройках, откуда он там берется? раньше такого небыло



  • Автоматическое определение – это для тех у кого динамический адрес. Местоположение WPAD сценария подсказывает DHCP сервер.
    Использовать сценарий -- для тех, у кого есть сценарий, но адрес статика.

    В случае прозрачного прокси в браузере настройки прокси указывать не нужно.



  • Если прописать алиас с IP, а в фаерволе прописать правило где source будет созданный алиас с IP, а остальные параметры поставить any, у юзеров прописать шлюз на pfsense, тогда в инет напрямую миную прокси пойдут ip из алиаса.
    Может не в тему но у меня так настроено



  • @Ajlex71:

    Если прописать алиас с IP, а в фаерволе прописать правило где source будет созданный алиас с IP, а остальные параметры поставить any, у юзеров прописать шлюз на pfsense, тогда в инет напрямую миную прокси пойдут ip из алиаса.
    Может не в тему но у меня так настроено

    у меня именно так и сделано, я создал альяс с IP адресами которые хочу пустить мимо прокси, создал правила в source указал свой альяс, все остальное any, у клиентов этих стоит шлюзом IP pf, но это нифига не работает,  :'(  почему не понимаю
    прокси у меня в HTTPS режиме, в свойствах браузера указан IP pf
    также включен прозрачный прокси и внем в Bypass Proxy for Private Address Destination также указаны IP адреса из созданного альяса, в настройках браузера ставлю авто определение, а спустя какое то время у меня опять там IP прокси появляется, откуда он там берется раньше такого не было.
    вот мои правила

    последнее VIP и есть то самое правило



  • а как разрешать то что заблокировано в гуарде вообще не понятно,
    заблокировал некоторые категории в Common ACL
    из одной категории мне нужно открыть клиенту к примеру horo.mail.com
    создал свой список Target categories куда добавил horo.mail.com
    создал группу с IP клиента разрешил ему там horo.mail.com все замечательно работает
    но ни с ok.ru ни с vk.com ни с youtube.com не прокатывает так а почему не понятно хотя horo.mail.com тоже соединяется по протоколу https
    в чем дело вообще не понимаю…
    и еще если я в группе разрешаю что то определенное а остальное не фильтруется оно у него не будет фильтроваться и он будет ходить куда захочет или правила из Common ACL которые для всех будут распространяться на него, или же заново у него в этом листе блоеировать все тоже самое что и в Common ACl, если это так то это очень не удобно



  • @Scodezan:

    Автоматическое определение – это для тех у кого динамический адрес. Местоположение WPAD сценария подсказывает DHCP сервер.
    Использовать сценарий -- для тех, у кого есть сценарий, но адрес статика.

    В случае прозрачного прокси в браузере настройки прокси указывать не нужно.

    а какой формат у URl при создании WPAD http://domen.ru:port/wdap.dat если у меня прокси в https режиме то мне порт 443 и протокол https указывать получается, т.е после всего этого никаких IP прописывать не нужно будет, и должен быть включен прозрачный прокси на pf?


Log in to reply