Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak



  • https://youtu.be/yPRmHPqW1_U

    Samet YILMAZ kardeşim pfSense Squid için SSL sertifikası yüklemeden filtrelemeyi çözmüş arkadaşlar.Helal olsun gardasima umarim isinize yarar.



  • Selam,

    Malesef abi 3-4 kişi test ettik ama bir sıkıntı görememiştik.Bugün bir arkadaşın talebi üzerine tekrar testlerimizi gerçekleştirdiğimizde bypass edildiğini gördük. Üzerinde çalışıyoruz tekrar post'a dönüş yapacağız.



  • Samet 2.3.3 de dener misin? daha stabil.

    devreye alan arkadaşlar geri bildirimde bulunursa faydalı olur.



  • @susamlicubuk:

    Samet 2.3.3 de dener misin? daha stabil.

    devreye alan arkadaşlar geri bildirimde bulunursa faydalı olur.

    Benim pf versiyonum 2.3.2 ama bunu fark edememin en büyük nedeni, MacOS ve Ubuntu türevi istemcilere sahip bir test ortamına sahibim.Doğal olarak bütün tarayıcılarım en yüksek versiyondalar bundan dolayı herhangi bir bypass yaşamadım. Ama sanal'a birtane Windows XP kurup IE Versiyonu 8 olan bir istemciden bypass edildiğini gördüm.

    Sen özelleştirdiğin conf paylaşabilirsen onuda görmüş olalım.



  • 2.3.3 teki bendeki ekran görüntülerini paylaşıyorum.

    El ile dns girmiş clientlarda dns sorunu yaşayabilrsiniz.. özellikle google ile site aratıp tıklayınca açmayabiliyor.






  • @susamlicubuk:

    2.3.3 teki bendeki ekran görüntülerini paylaşıyorum.

    El ile dns girmiş clientlarda dns sorunu yaşayabilrsiniz.. özellikle google ile site aratıp tıklayınca açmayabiliyor.

    Merhabalar ,Bypass Problemi Yaşadınız Mı ? ,Özellikler Acl Yazdığınız Kurallardan Sonra.



  • allah razı olsun. daha kurmadım denemedim ama çalışacağına eminim çalışmasa bile emeğin yeter.



  • Selam tekrardan ;

    Sadece IE 8'de bypass oluyor. Diğer tarayıcılarda herhangi bir sorun yok gibi..



  • @ashil:

    allah razı olsun. daha kurmadım denemedim ama çalışacağına eminim çalışmasa bile emeğin yeter.

    Teşekkür ederim. Umarım sorunsuz stabil hale getirebiliriz.



  • @Mirvari:

    @susamlicubuk:

    2.3.3 teki bendeki ekran görüntülerini paylaşıyorum.

    El ile dns girmiş clientlarda dns sorunu yaşayabilrsiniz.. özellikle google ile site aratıp tıklayınca açmayabiliyor.

    Merhabalar ,Bypass Problemi Yaşadınız Mı ? ,Özellikler Acl Yazdığınız Kurallardan Sonra.

    custom auth acl mi?
    birazdaha açarmısınız?



  • sadece windows xp internet explorer 8 de bypass problemi var.

    Wİndows 7 ve üzeri internet explorer 8 de dahil bütün tarayıcılarda çalışmaktadır.

    not: windows xp diğer tarayıcılarda bypass problemi yoktur.



  • kurulumu yaptım gayet güzel çalıştı zaten çok karmaşık bir düzenim yok. 30 küsür bilgisayarım var bunları belli gruplara ayırıp bazılarına hiç internet vermiyorum bazılarına sadece oluşturduğum whitelist teki siteleri açık tutuyorum geri kalanlara da herşey serbest. benim sistemde illa non transparent olmasına da gerek yok.  her bilgisayara proxy adresi de girip işlemi yapabilirdim.  lakin onuda denemiştim forumdan okuduğum makaleler ışığında bir türlü çalıştırmamıştım. tam her şey güzel derken birde baktım squidGuard ve squid servisleri durmuş. yeniden başlat dedim başlamadı. bende sistemi komple yeniden başlattım şu an aktif çalışıyor inşallah böylede devam eder. tekrar emeğiniz ve paylaşımınız için çok teşekkür ederim. allah razı olsun. herhangi bir sorun olursa zaten bilginize başvuracağım için haberiniz olacaktır.  ;D



  • @Jig:

    Selam tekrardan ;

    Sadece IE 8'de bypass oluyor. Diğer tarayıcılarda herhangi bir sorun yok gibi..

    merhaba,
    bu sorun ticari çözümlerin hepsinde geçerli. forti/cyberoam/watchguard/paloalto vb.
    pfsense tarafında yapılan ssl filter ile ilgisi yok.
    konu xp ve ie8 ise, yapacak birşey yok, yükseltin diyorlar :)
    Çalışma için @Samet'e teşekkürler.



  • @tcjackal:

    @Jig:

    Selam tekrardan ;

    Sadece IE 8'de bypass oluyor. Diğer tarayıcılarda herhangi bir sorun yok gibi..

    merhaba,
    bu sorun ticari çözümlerin hepsinde geçerli. forti/cyberoam/watchguard/paloalto vb.
    pfsense tarafında yapılan ssl filter ile ilgisi yok.
    konu xp ve ie8 ise, yapacak birşey yok, yükseltin diyorlar :)
    Çalışma için @Samet'e teşekkürler.

    Cansın biliyorsun dimi  8) Dursun abiyi unutmayalım @susamlicubuk



  • merhaba arkadaşlar. https filtrelemeyi aktif ettiğimden beri kullanıcılar internetin yavaşlığından şikayet eder oldular. örneğin bir siteyi açmaya çalışıyoruz açmıyor sonra yenile deyince açıyor diyorlar bazen yenile desekte açmıyor diyorlar. şimdi desem ki sorunum nedir nereleri kontrol edeyim çok geniş bir soru olacak biliyorum ama malum acemiyim nereleri kontrol edeceğim konusunda bir fikrim yok. belki lazım olur diye pf dashboard ekran resmini ekledim

    ![pf bir.JPG](/public/imported_attachments/1/pf bir.JPG)
    ![pf bir.JPG_thumb](/public/imported_attachments/1/pf bir.JPG_thumb)
    ![pf 2.JPG](/public/imported_attachments/1/pf 2.JPG)
    ![pf 2.JPG_thumb](/public/imported_attachments/1/pf 2.JPG_thumb)



  • Ram kullanımın çok yüksek.
    squid access loglarda tag 200 hatası alıyor musun?



  • @susamlicubuk:

    Ram kullanımın çok yüksek.
    squid access loglarda tag 200 hatası alıyor musun?

    bahsettiğiniz hata şöyle birşeymi access logdan bir satır kopyaladım farklı ip ler ile bir sürü var

    1484564030.906    30 192.167.10.15 TAG_NONE/200 0 CONNECT 31.13.84.4:443 - HIER_NONE/- -



  • bende hala stabil
    özelden yaz bağlanıp bi inceleyelim



  • @susamlicubuk:

    Ram kullanımın çok yüksek.
    squid access loglarda tag 200 hatası alıyor musun?

    tag 200 hatasının çözümü nedir yardımcı olurmusun



  • @abg:

    @susamlicubuk:

    Ram kullanımın çok yüksek.
    squid access loglarda tag 200 hatası alıyor musun?

    tag 200 hatasının çözümü nedir yardımcı olurmusun

    Malesef tag 200 hatasının çözümü yok. reverse proxy de dns sorunu yaşıyoruz zaman zaman pc lerde sayfa bulunamadı hatasına sebep oluyor.
    Mobil cihazlarda sayfa bulunamadı hatasına denk gelmedim henüz. stabil çalışıyor.
    bu sorunlarla ilgili bug dan bahsedilmiş.
    2.3.3 veya 2.4 te düzeltmelerini bekliyoruz.
    wpad ile pc leri internete çıkartıp kalan diğer cihazları (android,ios vs.) https proxy ile internete çıkartıyorum. cep telefonlarında ayar gerekmiyor.
    daha temiz squid logları geliyor bu şekilde.
    birde wpad kullanmaz iseniz windows update tarzı sitelerde cache sorunu çıkartabiliyor.



  • https filtreleme çok iyi bir şekilde çalışıyor. Samet ve bu konuda emeği geçen herkese teşşekkür ediyorum. Şöyle bir sıkıntım var https siteleri blog ladığımda başka bir sayfaya yönlendiremiyorum http siteleri yönlendirdiğimiz gibi https siteleri nasıl yönlendirebilirim.



  • Merhaba

    öncelikle emekleriniz çok teşekkürler, yine işimizi çok çok kolaylaştıracak bir hizmet sunmuşsunuz. Sizin sayenizde birçok şey öğreniyoruz ve kendimizi geliştiriyoruz.

    benim sorunum, Custom ACLS (Before Auth) a vermiş olduğunuz kodları girdiğimde squid servisi stop oluyor ve çalıştıramıyorum.

    2.2.6-RELEASE (amd64)
    FreeBSD 10.1-RELEASE-p25

    kullanıyorum. kullandığım sürüm ile uyumsuzluk olabilir mi?

    Yardımcı olursanız çok sevinirim.

    Teşekkürler



  • @SoaL:

    Merhaba

    öncelikle emekleriniz çok teşekkürler, yine işimizi çok çok kolaylaştıracak bir hizmet sunmuşsunuz. Sizin sayenizde birçok şey öğreniyoruz ve kendimizi geliştiriyoruz.

    benim sorunum, Custom ACLS (Before Auth) a vermiş olduğunuz kodları girdiğimde squid servisi stop oluyor ve çalıştıramıyorum.

    2.2.6-RELEASE (amd64)
    FreeBSD 10.1-RELEASE-p25

    kullanıyorum. kullandığım sürüm ile uyumsuzluk olabilir mi?

    Yardımcı olursanız çok sevinirim.

    Teşekkürler

    Selam,

    Mesajınız için teşekkürler.Bu tarz mesajlar bize daha fazla motivasyon katıyor umarım bu tarz paylaşımlar çoğalır. Sorunuza gelecek olursak, pf sürümünüz min. 2.3 olmalıdır. Eğer farklı bir sürüm kullanıyorsanız Squid paketinin minimum 3.5 olması gerekir. Konsol'da " squid -v " koşturarak squid versiyonunu öğnerebilirsiniz. Servisinizin çalışmama nedeni bundan kaynaklanabilir.

    Saygılar



  • @Jig:

    Selam,

    Mesajınız için teşekkürler.Bu tarz mesajlar bize daha fazla motivasyon katıyor umarım bu tarz paylaşımlar çoğalır. Sorunuza gelecek olursak, pf sürümünüz min. 2.3 olmalıdır. Eğer farklı bir sürüm kullanıyorsanız Squid paketinin minimum 3.5 olması gerekir. Konsol'da " squid -v " koşturarak squid versiyonunu öğnerebilirsiniz. Servisinizin çalışmama nedeni bundan kaynaklanabilir.

    Saygılar

    pf versiyon 2.2.6 ve squid versiyonumda 3.4.10

    2.2.6 için 3.5 yok sanırım



  • Teşekkürler



  • pf 2.3.2 te biraz önce kurdum.
    Elinize emeğinize sağlık.
    Allah razı olsun.
    Gayet mükemmel çalışıyor.



  • @gazili84:

    pf 2.3.2 te biraz önce kurdum.
    Elinize emeğinize sağlık.
    Allah razı olsun.
    Gayet mükemmel çalışıyor.

    Teşekkürler.  :)



  • Bu arada Squid+captive portal kullanıyorum.proxy manuel girince giriş ekranı gelmeden nete çıkıyor.

    3128 den 8004 e
    3129 dan 8004 e
    2 adet Nat LAN  kuralı ekledim.on numara oldu:)



  • Win 7 chrome da youtube engellemesi çalışmıyor
    Firefox ta sorun yok.
    Anlatılanları aynen uyguladım
    Bişeyleri yanlış mi yaptım acaba ?



  • @vgumus:

    Merhabalar ;

    bütün işlemleri tekrar tekrar gözden geçrimeme rağmen squid üzerinde https aktif ettiğimde  https sitelerin hepsine giriyorum facebook twitter giremiyorum. squidguard pasif durumda herhangi bir kısıtlama yok. sorun neden olabilir acaba

    Merhaba

    Yapılan ayarları gözden geçirmenizde fayda var. "tail -f /var/squid/logs/access.log" komutunu koşturduktan sonra facebook ve twitter'a erişmeyi denediğinizde access log'a yazıyor mu ? Cevap ne dönüyor ?



  • @vgumus:

    Merhabalar ;

    bütün işlemleri tekrar tekrar gözden geçrimeme rağmen squid üzerinde https aktif ettiğimde  https sitelerin hepsine giriyorum facebook twitter giremiyorum. squidguard pasif durumda herhangi bir kısıtlama yok. sorun neden olabilir acaba

    aynı problemi ben de yaşıyorum. https sitelerin bir çoğu uygulamadan sonra açılmıyor. misal yapı kredinin sitesi ve facebook açılıyorken, twitter, google play vs açılmıyor. örnek olarak twitter a girmek istediğimde access.log da hiç bir hareket olmuyor. uzunca bir süre bekledikten sonra sitenin yarısı zar zor yükleniyor, görseller gelmiyor. google play de 10-15 denemeden sonra açılsa da görseller yüklenmiyor. bu esnada access.log da aşağıdakine benzer kayıtlar oluşuyor.

    TAG_NONE/200 0 CONNECT 31.13.84.4:443 - HIER_NONE/- -

    squidguard ı kapattım. tüm firewall kurallarını kapatıp herşeye izin veren tek kural ekledim ve cihazı yeniden başlattım. sonuç değişmedi. versiyon 2.3.2-RELEASE-p1 (amd64)

    edit: squid config ekran görüntüsü eklendi.



  • Samet bey, çalışmalarınız ve paylaşımlarınız için çok teşekkürler.

    2.3.2-RELEASE-p1 (amd64) üzerinde test ettim, problemsiz çalışıyor. Windows 7 / 8 / 10 client'lar da bypass görülmedi.



  • Samet bey paylaşımlarınız için teşekkürler emeğinize sağlık



  • konu ile ilgili değil ama bir düşüncemi sormak isterim.

    ben istedigim web sayfasını engellemek için:

    içeride 2 adet dns sunucusu tutuyorum. pfsense tarafında ip dağıtırken bu dns adreslerini kullanmasını saglıyorum. kuralların en ust kısmında  bu dns adresleri dısında dns istegine kapatıyorum ve benim dns sunucum dısında başka dns e istek gönderttirmiyorum.

    dns sunucusundada yasaklamak istedigim domaini istedigim fake bir adrese gönderebiliyorum :)



  • yaklaşık iki aydır sistemi kullanıyorum. ilk kurulumda hatalarım vardı susamlıçubuk arkadaşımız sağolsun sisteme bağlanıp düzenlemeler yaptı. sistemi halen daha aktif olarak kullanmaktayım. 2 gb ram benim makine için yetersiz geliyor bu sebeple ram kullanımım %90 lara ulaşıyordu. o sorunu ram artırmadan nasıl çözerim diye uğraştım aslında ram eklemek basit ama dedim ya uğraşmak mesele :) crontaba her 3 saatte bir squidi restart yapacak bir komut ekledim ram kullanımını bu şekilde stabil hale aldım. halen daha eksiklerim yokmu. elbette var internet sayfalarının açılma hızlarında bir düşüş yaşıyorum ara ara açılamamalar sayfayı yenileyince açılmalar falan ama hiçbir ayar değişmediğim halde günden güne azalıyor bu sorunlar. pfsense sürümüm 2.3.3.r.20170211.1424 hemen hergün bir güncelleme alıyorum yüksek ihtimalle sorunlarımın çözümüde kaynağıda aldığım güncellemelerdir. en nihayet kullanıyorum kullanmaya devam edeceğim işimi çok kolaylaştırdı. yapanın ellerine sağlık allah ondan razı olsun yapamadığım için desteğini esirgemeyendende allah razı olsun. böyle kibirden egodan arınmış bir konuda bilgili insanların o konu ile ilgili diğer insanlara maddi bir kaygı gütmeden yardımda bulunması bilginin zekatıdır diyorum. son olarak hepsine çok teşekkür ediyorum.



  • @ashil:

    yaklaşık iki aydır sistemi kullanıyorum. ilk kurulumda hatalarım vardı susamlıçubuk arkadaşımız sağolsun sisteme bağlanıp düzenlemeler yaptı. sistemi halen daha aktif olarak kullanmaktayım. 2 gb ram benim makine için yetersiz geliyor bu sebeple ram kullanımım %90 lara ulaşıyordu. o sorunu ram artırmadan nasıl çözerim diye uğraştım aslında ram eklemek basit ama dedim ya uğraşmak mesele :) crontaba her 3 saatte bir squidi restart yapacak bir komut ekledim ram kullanımını bu şekilde stabil hale aldım. halen daha eksiklerim yokmu. elbette var internet sayfalarının açılma hızlarında bir düşüş yaşıyorum ara ara açılamamalar sayfayı yenileyince açılmalar falan ama hiçbir ayar değişmediğim halde günden güne azalıyor bu sorunlar. pfsense sürümüm 2.3.3.r.20170211.1424 hemen hergün bir güncelleme alıyorum yüksek ihtimalle sorunlarımın çözümüde kaynağıda aldığım güncellemelerdir. en nihayet kullanıyorum kullanmaya devam edeceğim işimi çok kolaylaştırdı. yapanın ellerine sağlık allah ondan razı olsun yapamadığım için desteğini esirgemeyendende allah razı olsun. böyle kibirden egodan arınmış bir konuda bilgili insanların o konu ile ilgili diğer insanlara maddi bir kaygı gütmeden yardımda bulunması bilginin zekatıdır diyorum. son olarak hepsine çok teşekkür ediyorum.

    Perfect! : )

    Bende bir kaç müşterimde bahsettiğiniz gibi problemsiz kullanıyorum. Sizin gibi pfSense kullanıcıları olmaya devam ettiği sürece, bizim,sizin veya pfsense topluluğuna katkı yapmaya devam eden birileri her zaman olacaktır. Güzel mesajınız için teşekkür ederiz.  ;)



  • @ondokuz:

    konu ile ilgili değil ama bir düşüncemi sormak isterim.

    ben istedigim web sayfasını engellemek için:

    içeride 2 adet dns sunucusu tutuyorum. pfsense tarafında ip dağıtırken bu dns adreslerini kullanmasını saglıyorum. kuralların en ust kısmında  bu dns adresleri dısında dns istegine kapatıyorum ve benim dns sunucum dısında başka dns e istek gönderttirmiyorum.

    dns sunucusundada yasaklamak istedigim domaini istedigim fake bir adrese gönderebiliyorum :)

    Şahsen ben doğru bir yöntem olarak bulmuyorum ama çözüm odaklı düşünmeniz güzel. Şu konuyuda ayrıca incelemeniz size fikir katabilir.
    https://forum.pfsense.org/index.php?topic=125210.0

    Doğru bulmadığım nokta blacklist kontrolü,gruplandırma,kategorilendirme vs gibi özellikleri DNS üzerinde kullanamazsınız ve byPass orani yüksek bir seçim.



  • Bazı ssl sitelerin acılmama sorunu bende de mevcut  garanti.com.tr açılırken isbank.com.tr açılamıyor veya google.com.tr filtreleme kuralları çalışıyor. ama bazı siteler açılmıyor proxyden  ssl filtreyi kaldırınca sıkıntı yok. sorun neden olabilir.



  • Malesef tam trafiği çözerken dns sorunları yaşayabiliyoruz.
    bazen face bazen twitter bazende diğer sitelerin bazıları sorun çıkartabiliyor.
    En son versiyon squid ile custom options a özel satırları eklemenize gerek yok.
    SSL Man In the Middle Filtering
    bölümünde
    Splice All ı seçmeniz yeterli.
    birde dns elle vermeyin daha fazla dns sorunu yaşatıyor otomatikte kalsın.
    ssl i sadece mobile cihazlar için bıraktım
    wpad pc ler için çok daha hızlı ve stabil.



  • susamlicubuk merhaba loglarda
    TAG_NONE/200 0 CONNECT 216.58.208.110:443 - HIER_NONE/- -
    bu hatayı alıyorum ondan dolayı açmıyor. bunu aşmanın bir yolu varmıdır.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy