Pfsense ile https bloklama konusu hakkında tartışmak istiyorum



  • Merhaba, hala net bir çözümü olmayan bir konu sanıyorum.

    Bunla ilgili internette yazılan makalelerin hemen hemen %-99unu denedim. Maalesef bir çoğu bilgi kirliliğinden ibaret.

    Şuan için kullandığım yöntem, harici bir betik ile facebook youtube vs gibi sitelerin tüm ip adreslerini ve isim sunucularını listeletip firewall kuralı yazarak bu ip adreslerine giden bağlantıları engellemek. Sanırım forum kullanıcılarınında büyük bir çoğunluğu bu yöntemi kullanıyor.

    Fakat şöyle bir gerçek varki; windowsta ağ ayarları standart olan kullanıcılar bu sitelere erişemezken, windows üzerinden harici dns tanımlayan kullanıcılar (8.8.8.8 vs.) bu sitelere direk erişebiliyorlar. Muhtemelen bu sitelerin kullandığı çok fazla adres ve blok var, bu yüzdende farklı dns sunucuları farklı ip adreslerine gönderdiği için kural aşılıyor. Dolayısıyla bu yöntem işe yaramıyor.

    Bu konuyla ilgili genel olarak başka ne yapılabilir diye düşünüp denemeye karar verdim. Sıralamak gerekirse;

    • non-transparent modu işlevsel değil, tüm kullanıcılarda tek tek proxy tanımlamak çok uğraştırıcı ve garantisiz bir yöntem. Ayrıca birçok kullanıcı mobil tarayıcı kullanıyor.

    • active directory üzerinden group policy ile kullanıcıların ağ ayarlarını özelleştirememesi sağlanabilir, fakat bu sadece windows tabanlı masaüstü işletim sistemlerinde geçerli olacağı için yine kullanışlı değil, ortamda kullanılan mac ve android cihazlar yine etkilenmeyecekler.

    • squid + squidguard maalesef bu anlamda hiç bir işe yaramıyor eski sürümdede bu böyleydi yeni sürümdede uzun uzun denememe rağmen ssl konusunda hiçbir gelişme yok gibi.

    • ssl güvenlik sertifikasıyla işleyen bir yöntemden bahsediliyor bunu deneyemedim türkçe güzel bir kaynak bulamadım kullanan varsa veya kurulumunu anlatan bir başlık varsa deneyip inceleyip sonucunu paylaşmak isterim.

    Ayrıca son olarak merak ediyorum. Pfsense ile bunu çözebilen var mı?



  • Selam
    içerideki network un dış dünyadan herhangi bir dns isteğini pfsense üzerine yönlendirmen çözüm olabilir mi?






  • Bilgi kirliliği ?

    https://forum.pfsense.org/index.php?topic=62017.0

    Bu sistemi çatır çatır çatır kullanıyorum.

    Tek sorunu Wireless üzerinde koşan android cihazlar ve ios tabanlı cihazlar otomatik proxy ayarlarını algılamıyor.



  • Merhaba, o konuyu daha önce incelemiştim. Biri vmware sanal makinede diğeri tekno-pc de kurulu iki pfsense uzerınde denemiştim fakat edge ve i.e hiçbirşekilde proxy almamıştı.

    Birde kablosuzda telefonların internete ek ayar yapmadan direk bağlanamaması büyük bir sorun değil mi? Bunun için bir çalışma yapılabilir mi sizce. "Net bir çözüm yok"  derken bunu kastediyorum aslında, her yöntem bazı problemlerle birlikte geliyor veya bazı durumlarda tam olarak çalışmıyor.

    Pfsense in filtreleme olayını internette ve bu forumda aratığınızda bir sürü işe yaramayan veya güncelliğini yitirmiş makaleyle karşılaşıyorsunuz. Sizin yazdığınız makaledeki yöntem işe yarar görünüyor tekrar deneyeceğim fakat sürüm güncellemelerinde muhtemelen sorun çıkacak ve mobil işletim sistemlerinin kablosuz sorununu çözmek gerekecek.

    Active directory üzerinden ağ ayarlarını kilitlediğimde standart kurallarla yapılan yasaklamada şuan harikulade çalışıyor fakat android ios vb. windows olmayan cihazlar yasaktan etkilenmiyorlar, dns tanımlanabiliyor ve kural aşılıyor. Dolayısıyla "net bir çözüm" olmuyor.



  • Yanlış algılamayın pfsense i severek kullanıyorum fakat, bu konu neden bu kadar uğraş gerektiriyor? Ne eksik bunu merak ediyorum. Ücretli bir firewall aldığınızda istediğiniz yasaklamayı kısıtlamayı tek işlemde çözebiliyorsunuz bu çoğu zaman pfsense uzerındede böyle ama konu facebook youtube vs. siteleri engellemek olunca pfsense de bu yılan hikayesine dönüyor.



  • @akula:

    Selam
    içerideki network un dış dünyadan herhangi bir dns isteğini pfsense üzerine yönlendirmen çözüm olabilir mi?

    Deneyip sonucu paylaşacağım.



  • @akula:

    Selam
    içerideki network un dış dünyadan herhangi bir dns isteğini pfsense üzerine yönlendirmen çözüm olabilir mi?

    Merhaba, harici dnsleri engellemek için başarılı oldu. Ama dns engellemek bu iş için yeterli bir çözüm değil anlaşılan. Yinede işime yarayacak çok teşekkürler.



  • @TahaIrak:

    Yanlış algılamayın pfsense i severek kullanıyorum fakat, bu konu neden bu kadar uğraş gerektiriyor? Ne eksik bunu merak ediyorum. Ücretli bir firewall aldığınızda istediğiniz yasaklamayı kısıtlamayı tek işlemde çözebiliyorsunuz bu çoğu zaman pfsense uzerındede böyle ama konu facebook youtube vs. siteleri engellemek olunca pfsense de bu yılan hikayesine dönüyor.

    merhaba,
    sorunuz için fikir verebilir.
    https://forum.pfsense.org/index.php?topic=106688.msg594633#msg594633
    https://forum.pfsense.org/index.php?topic=112339.msg625361#msg625361



  • @TahaIrak:

    @akula:

    Selam
    içerideki network un dış dünyadan herhangi bir dns isteğini pfsense üzerine yönlendirmen çözüm olabilir mi?

    Merhaba, harici dnsleri engellemek için başarılı oldu. Ama dns engellemek bu iş için yeterli bir çözüm değil anlaşılan. Yinede işime yarayacak çok teşekkürler.

    Aslında DNS engellenmiyor bir nevi nat olayı…



  • Aynen engellenmiyor pfsense üzerine yönleniyor dolayısıyla olmuyor belki windows dns server ile çözülebilir.



  • Merhaba, bende uzun zaman bu konuda araştırmalar yaptım ve dediğiniz gibi çok fazla yöntem denedim. Fakat sonunda sorunsuz çalıştırmayı başardım.

    squid ve squidguard ile httpyi rahatlıkla engelliyorum.

    Https icinde bir alias ve bir kural işimi görüyor. Engelleyeceğiniz sitelerin 443 portlarını engelleyin.

    Ben bu şekilde çözdüm yaklşık 6 aydır kullanıyorum bir sorun yaşamadım.

    Bazı cihazlar girsin derseniz o zaman o cihazların ıp adreslerini sabitleyin bunu DHCP serverde mac eşitlemesiyle yapın.

    bu ipleri bir alias ile gruplayın ve kural da pass source ve dest. any verin. Kural listesinde en üste alın. Firewall da kurallar yukarıdan aşşağı doğru işlediğinden bı ip adresleri hic bir engele takılmadan https sitelerine girecektir.

    alias ve kuralların resimlerine gerek var mı bilmiyorum ihtiyacı olan varsa söylesin.



  • @muharrembulutoz:

    Merhaba, bende uzun zaman bu konuda araştırmalar yaptım ve dediğiniz gibi çok fazla yöntem denedim. Fakat sonunda sorunsuz çalıştırmayı başardım.

    squid ve squidguard ile httpyi rahatlıkla engelliyorum.

    Https icinde bir alias ve bir kural işimi görüyor. Engelleyeceğiniz sitelerin 443 portlarını engelleyin.

    Ben bu şekilde çözdüm yaklşık 6 aydır kullanıyorum bir sorun yaşamadım.

    Bazı cihazlar girsin derseniz o zaman o cihazların ıp adreslerini sabitleyin bunu DHCP serverde mac eşitlemesiyle yapın.

    bu ipleri bir alias ile gruplayın ve kural da pass source ve dest. any verin. Kural listesinde en üste alın. Firewall da kurallar yukarıdan aşşağı doğru işlediğinden bı ip adresleri hic bir engele takılmadan https sitelerine girecektir.

    alias ve kuralların resimlerine gerek var mı bilmiyorum ihtiyacı olan varsa söylesin.

    resimli alıntı koyarmısınız

    RESİMLİ



  • mrblar pfsense 2.3.2 kullanıyorum yapmak istediğim şey 3 ayrı grup oluşturup birincisi tamamen izinliler ikincisi tamamen yasaklılar ve üçüncüsü ise facebook youtube dailymotion girmesin diğer siteler girsin istiyoruz fakat bir türlü kural oluşturamadık bu konuda fikri olanlardan destek bekliyorum



  • Burada engelleyeceğimiz Https (443) sitelerini alias olarak tanımlıyoruz.

    Burada tanımladıgımız alias lan tarafında kurala bağlıyoruz.



  • @ponsinmor:

    mrblar pfsense 2.3.2 kullanıyorum yapmak istediğim şey 3 ayrı grup oluşturup birincisi tamamen izinliler ikincisi tamamen yasaklılar ve üçüncüsü ise facebook youtube dailymotion girmesin diğer siteler girsin istiyoruz fakat bir türlü kural oluşturamadık bu konuda fikri olanlardan destek bekliyorum

    Bu dediklerini yapabilirsin. Önce bu grupları alias ile belirlemen gerekiyor.

    1.Grup: 192.168.1.101,102,103,104,105 (izinliler)

    2.Grup: 192.168.1.106,107,108,109,110 (Sosyal_Yasaklılar)

    Bu gruplardan sonra engelleyeceğin sitelerin de gruplarını oluştur.
    sosyal_yasak

    Rules-Lan tarafında:

    1.grupa source ve dest. any ve pass ver. (kaynak ve hedef fark etmeksizin geciş verilecek)

    2.grupa source: Sosyal_Yasaklılar dest.: sosyal_yasak ve block ver.(kaynak: Sosyal_Yasaklılar hedef: sosyal_yasak geciş verilmeyecek)

    Burda en önemli detay kuralların sırası. o yuzden 1.grup en üstte 2.grup bir altta olacak.

    Tamamen yasklıları biraz daha acarsan yardımcı olabilirim.