Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
-
Peki bütün bu ayarlarla beraber multiwan çalışabilen var mı? Ben yaklaşık 1 aydır beceremedim. :) 2.1.5'teki ayarları deniyorum ama olmuyor, çalışmadı bir türlü. 4 wan var, ancak gruplandırmaya bakmaksızın "default" hangisiyse onunla çıkıyor bütün makinalar. 2.1.5'te squid ile multiwan'ı çözüldü diye sevinmiştik, şimdi ssl'i çözüldü ama bu sefer de multiwan gitti. :)
-
Selamlar arkadaşlar
yaptığım araştırmada aşağıdaki linkteki konu sahibi arkadaşın
anlatımında belittiği işlemi yapınca çok şükür https filtreleme çalışmaya başladı
https://forum.pfsense.org/index.php?topic=112335.0
konuda belittiği küçük ayrıntı yani daha önce yapmadığım fakat sonra uygulayınca
filtrelemenin çalışmaya başladığı ayar budur (daha önce HTTPS seçiliydi)"set pfsense Protocol to http (This is a MUST, it will not work if you do not do this)
System: Advanced: Admin Access Protocol http"Türkçesi pfsense te System>Advanced yoluna gittiğimizde HTTP SEÇİLİ OLMALI DİYOR
aşağıya resimde ekliyorum
ayrıca şunuda belirteyim kullandığım sürümüde bu işlemi yapmadan önce
2.3.4-RELEASE-p1 (amd64)
built on Fri Jul 14 14:52:43 CDT 2017
FreeBSD 10.3-RELEASE-p19sürümüne yani 2.3.4 patch1 sürümüne güncelledim
ve rem kullanımı yaklaşık %20 ler civarında geziyor
artı eksi %5 artıp düşebiliyor ama bende dhcp kapalı ve wpad gibi bir
sertifika dağıtan bir uygulama yoksquid tranparent modda çalışıyor clientlara herhangi bir sertifika yüklememe de gerek kalmadı
ama internet options ta 2. resimde görülen ayarları otomatik algıla seçeneğinin işaretli olması gerekiyorumarım sorunla karşılaşan arkadaşlara yardımcı olabilmişimdir hepinize hayırlı çalışmalar
web gui portu http seçili olmasınının https proxy ile bir alakası yok wpad kullanacaksanız http şart veya nginx ile yönlendirme şart.
squidguard ayarlarında ip adresi ile erişimi yasakla aktif iken tag/none hataları yüzünden bazı sitelerde hata alabilirsiniz.
konuyla çok alakalı değil ama loadbalance kullanıyor musunuz? veya multiwan da fail over yapısınıda ekleyince down olan hattan sonra squid sorunsuz 2. hatta yükü devrediyor mu? -
web gui portu http seçili olmasınının https proxy ile bir alakası yok wpad kullanacaksanız http şart veya nginx ile yönlendirme şart.
squidguard ayarlarında ip adresi ile erişimi yasakla aktif iken tag/none hataları yüzünden bazı sitelerde hata alabilirsiniz.
konuyla çok alakalı değil ama loadbalance kullanıyor musunuz? veya multiwan da fail over yapısınıda ekleyince down olan hattan sonra squid sorunsuz 2. hatta yükü devrediyor mu?failover yapısında eğer ayarlarda "default gateway switching" seçili ise problemsiz çalışıyor.
ancak:
sondan bir önceki versiyonda, squid, birinci hat gidip, ikinci hat üzerinden çalışırken, birinci hat tekrar online olduğunda yine de ikinci hat üzerinden çalışmaya devam ediyordu.
son versiyonda durum nedir bilmiyorum. -
Son versiyonda failover çalışmıyor. Daha doğrusu tutarsız. Bir aydır kullanıyor ve kurcalıyorum. Geçen haftaya kadar failover hiç çalışmadı. Dahası; rules ile 4 wan'a ayırdığım ağdaki makinalar da rules kurallarına uymak yerine, hep defaulttan çıkış yaptı. Geçen hafta proxyden vazgeçip failover için 2.1.5'e dönüşe karar verdim ve "ne kadar daha bozabilirim ki" düşüncesiyle başka bir konudaki üyenin yazdığı loadbalancing ayarlarını denemeye karar verdim. O ayarlar neti kökten kesti, ben de ayarları geri sildim ve makinayı tekrar başlattım, bir anda rules komutları ve failover çalışmaya başladı. Multiwan çalışmadı ama failover düzgün şekilde çalışıyordu. Ama bu sefer de lightsquid ve squidguard ayarları iptal oldu. Ne yapıp ettiysem çalışmadı, çalışıyor görünüyor ama proxyden veri çekmiyordu. Sürümün herbirşeyi düzgün çalışana kadar, 2.3.4 makinayı sistemden çekmeye karar verdim ben de, proxy olmadan 2.1.5 versiyona devam.
-
Son versiyonda failover çalışmıyor. Daha doğrusu tutarsız. Bir aydır kullanıyor ve kurcalıyorum. Geçen haftaya kadar failover hiç çalışmadı. Dahası; rules ile 4 wan'a ayırdığım ağdaki makinalar da rules kurallarına uymak yerine, hep defaulttan çıkış yaptı. Geçen hafta proxyden vazgeçip failover için 2.1.5'e dönüşe karar verdim ve "ne kadar daha bozabilirim ki" düşüncesiyle başka bir konudaki üyenin yazdığı loadbalancing ayarlarını denemeye karar verdim. O ayarlar neti kökten kesti, ben de ayarları geri sildim ve makinayı tekrar başlattım, bir anda rules komutları ve failover çalışmaya başladı. Multiwan çalışmadı ama failover düzgün şekilde çalışıyordu. Ama bu sefer de lightsquid ve squidguard ayarları iptal oldu. Ne yapıp ettiysem çalışmadı, çalışıyor görünüyor ama proxyden veri çekmiyordu. Sürümün herbirşeyi düzgün çalışana kadar, 2.3.4 makinayı sistemden çekmeye karar verdim ben de, proxy olmadan 2.1.5 versiyona devam.
squid olmadan yeni versiyonda failover da çalışıyor loadbalance ta
sorun yaşamanız garipmiş. -
Squid olmadan çalışıyor herşey, evet. Ama bu sefer de versiyonun bir anlamı kalmıyor lokasyonumuzda. Pf makinayı iki sebeple kullanıyorum. Failover ve Loadbalance. Yeni versiyonda ssl sıkıntısı çözülünce, kullanıcı bazlı kapasite raporu da almak için geçiş yapmıştım. Ama failoversız bir kullanımda, atıl kalan 100MBitlik sınırsız 3 fiber hattın varlığına ancak 1 ay sabredebildim. :) 2.1.5 hafif ve hızlı bir sürüm olduğundan squidsiz 2.3.4 ile devam etmedim.
-
aynı durumdayım,
mecburen araya bir pfsense daha koydum
çok konforlu değil ama
WAN tarafına bakanda failover-loadbalance yapıp, LAN tarafında squid ile webfilter yapıyorum. -
Merhaba,
SSL filter problemsiz çalışıyor ancak mobil cihazlar whatsapp'a bağlanmıyor. Herhangi bir filtre'ye takılmıyor ancak böyle bir problem var. Araştırdım ama bu sorunla alakalı bir çözüm bulamadım.
Sizin önerileriniz nelerdir ?
-
Merhaba,
SSL filter problemsiz çalışıyor ancak mobil cihazlar whatsapp'a bağlanmıyor. Herhangi bir filtre'ye takılmıyor ancak böyle bir problem var. Araştırdım ama bu sorunla alakalı bir çözüm bulamadım.
Sizin önerileriniz nelerdir ?
Merhaba,
Uygulamaya ilk başladığımda aynı sorun benim de başıma gelmişti. 5223, 5228, 4244, 5242 ve 5222 numaralı portlara izin vererek sorunu aştım. İlgili portlar whatsapp ın kullandığı portlar.
Kolay gelsin
-
Merhaba,
SSL filter problemsiz çalışıyor ancak mobil cihazlar whatsapp'a bağlanmıyor. Herhangi bir filtre'ye takılmıyor ancak böyle bir problem var. Araştırdım ama bu sorunla alakalı bir çözüm bulamadım.
Sizin önerileriniz nelerdir ?
Merhaba,
Uygulamaya ilk başladığımda aynı sorun benim de başıma gelmişti. 5223, 5228, 4244, 5242 ve 5222 numaralı portlara izin vererek sorunu aştım. İlgili portlar whatsapp ın kullandığı portlar.
Kolay gelsin
Teşekkürler, TCP 5222 izin verince problem çözüldü. Şimdi de team viewer bağlanmıyor ? :)
Düzeltme: TCP 5938 izin verince bağlandı.
-
Merhaba,
SSL filter problemsiz çalışıyor ancak mobil cihazlar whatsapp'a bağlanmıyor. Herhangi bir filtre'ye takılmıyor ancak böyle bir problem var. Araştırdım ama bu sorunla alakalı bir çözüm bulamadım.
Sizin önerileriniz nelerdir ?
Merhaba,
Uygulamaya ilk başladığımda aynı sorun benim de başıma gelmişti. 5223, 5228, 4244, 5242 ve 5222 numaralı portlara izin vererek sorunu aştım. İlgili portlar whatsapp ın kullandığı portlar.
Kolay gelsin
Teşekkürler, TCP 5222 izin verince problem çözüldü. Şimdi de team viewer bağlanmıyor ? :)
Rica ederim :)
Teamviewer problemi için aşağıdaki makaleyi incelemeniz faydalı olacaktır. Programın hangi platformda, hangi koşullarda, hangi portları kullandığını açıklamışlar.
https://community.teamviewer.com/t5/Knowledge-Base/Which-ports-are-used-by-TeamViewer/ta-p/4139
Kolay gelsin
-
Merhabalar burada herkes https adreslerini engellemek konusuyla ilglii soru sormuş ancak ben şunu farkettim, 2.3.5 kurulu sistemimde sadece izleme yapmak istiyoruz, kim nereye girmiş ne kadar trafik harcamış, http sitelere girdiğinde proxy report ta görünüyor ancak https sitelere girildiğinde bu adresler ne squid logs access.log da nede :7445 web rapor sayfasında görüntülenemiyor, acaba https: sitelere girişini göstermesi için squid yada squid guard da hangi ayarın yapılması gerekmekte
İnternette biraz araştırma yapınca şu bilgiye ulaştım
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
burada https i izleyebilmemiz için önce sertifika oluşturup bunu izlenecek bilgisayarlara kurmamız gerektiğini anlatıyor sanırım ancak hem telefon hem de bilgisayarların hepsine tek tek bu sertifikayı kurmak gerçekten çok zor bunun başka bir yolu var mı https siteleri de squid proxy report sayfasında görmenin daha basit bir yolu var mı?https trafiğinini dinlenemediğini öğrendim, peki benim gün içinde gerçek oranda (çünkü squid report ta sadece http trafiğinin kullanım yükünü gösteriyor) hangi ip ne kadar trafik tüketmiş bu konuda hangi aracı kullanmalıyım ntop diye bir aracı kurdum ancak anlık veri gösteriyor ve bazen dış ip bazen iç ip tüketimini gösteriyor. Sizlerin kullandığı araçlar nelerdir bu değerleri nasıl ölçüyorsunuz
-
aşağıdaki paketler işinizi görebilir :
bandwidthd
darkstat -
Merhaba pfsense sürümüm 2.4.2, squid versiyonum 3.5.27
herhangi bir siteyi yasaklamadan https site açıyım dedim youtube bazen açıldı bazen açılmadı, hata verdi
metin içerikli https web sitesi açmaya kalktığımda ise açıldı. bu sorunu nasıl çözebilirim? -
Squid ayarlarınızı yollayın, ordan bakalım
Squid'in "General" ekranı yeterli olacaktır. -
https sitelere erişim sağlayabiliyorum. ekşi, dünya halleri, pfsense forum örnek gösterebilirim ama google servislerinde sıkıntım var. youtube.com'a da erişmiyor, google.com'a da. ekran görüntülerini aşağıya ekliyorum şimdiden teşekkür ederim
bu karşılaştığım hata: https://hizliresim.com/m2JQbPservices>squid>
http://hizliresim.com/XPEa8D
http://hizliresim.com/YgOY8E
http://hizliresim.com/rOJAXP
https://hizliresim.com/9mDnzrsystem>cert. manager 1
http://hizliresim.com/bBLnvmsystem>cert.manager 2
http://hizliresim.com/rOJANadns olarak yandex dns kullanıyorum. tt dnsleri twitterdaki görselleri yüklemiyordu. bu dnslerle sertifika oluşturmadan önce her yere girebiliyordum.
77.88.8.7
77.88.8.3not: 8.8.8.8 8.8.4.4 denedim onda da hata alıyorum
-
Sizin mevcut konfigürasyon oldukça farklı.
- Resolve DNS IPv4 First, seçili olsun
- SSL/MITM mode'u Splice all yapın (her cihaz için sertifika oluşturmanıza gerek kalmaz)
- Remote Cert Checks 'de Accept remote server certifiacet with errors' seçili olsun
- Certificate Adapt kısmında "Not Before" seçin
bu şekilde olması lazım.
-
teşekkür ederim ilginiz için
-
Ellerinize emeğinize sağlık herkesin ancak ;
Bütün SSL Sertifikalı sitelerini engellemesine rağmen bir türlü https://play.google.com/store adresini engellemiyor buda android telefonların uygulama indirmesini sağlıyor ?
Bu adresi domain liste de girdim ancak erişimi bir türlü engelleyemiyorum ?
Yardımınız için teşekkür ederim.
-
https://play.google.com/store ip adreslerini çözerek, firewall loglardan takip etmeyi dener misiniz?
belki 443 te araya giremiyor yada başka port ile bağlantı sağlanıyor olabilir mi? -
ben bu işlemleri yaptığımda gün içinde makinanın ram kullanımı tavan yapıyor ve clear disk cache NOW tılayınca normale dönüyor cache ayarlarını bir çok değişik yöntemi denedim ancak hiç bir çözüm olmadı konu hakkında yardımcı olabilirmisiniz
-
Makinanızdaki ram miktarınız, gün içerisindeki aktif kullanıcı sayınız ve proxy olarak ayırdığınız disk-ram boyutunuz nedir?
-
Makinam 10 GB Ram
gün içinde aktif 150 User
Proxy için ayırdığım disk 20000 Hdd 4096 ram -
formu baştan sona tekrar okuduğumda RAM sorunu ile ilgili olarak anladığım kadarı ile bir çok arkadaş sorun yaşıyor.
açıkçası belirli aralıklarla squid'i restart etmek bana doğru bir çözüm gibi gelmedi.bu konuda problemi kalıcı çözen arkadaşımız varmı acaba
-
Proxy disk boyutunu 10Gb, ram miktarını da 8Gb olarak ayarlarsanız kullanım yüzdeniz yarı yarıya düşecektir. Tabi burada squidguard kullanıyorsanız, etkin filtreleriniz de önem arzediyor. Ne kadar çok filtreleme yapıyorsanız, o kadar çok trafik yoğunluğuna sebep olacağınızı unutmayın. Ayrıca proxy'nin barındıracağı nesne boyutlarını da limitleyebilsiniz. (Max.-Min. Object Size) Çünkü standartta 0-4Mb arasıdır. Bu da 20Gb'lık bir disk boyutunca yüzbinlerce nesne yığılmasına, dolayısıyla da ram yoğunluğuna sebep olur. Hızlı bir internet altyapısında küçük nesnelerin depolanmasına çok da ihtiyaç yoktur mesela, zaten çok hızlı bir şekilde netten tekrar tekrar çekilebilirler.
Sonuç olarak; Disk boyutu-Ram-Nesne Boyutu üçgeninde testlerle en stabil dengeyi bulabilirsiniz. Raminizin yoğun trafik saatlerinde %80-90 bandında kullanılması, boş vakitlerde ise %10-30 bandına dönmesi gerekir.
Ayrıca versiyon değişim testleri de yapmanızı tavsiye ederim. Pfsense, makinaya-donanıma göre versiyon seçiyor desem yalan olmaz. Bir makinamda 2.3.5 ile en stabil dengeyi yakalarken, bir başka makinamda 2.4.3 ile yakalayabiliyorum mesela. :)
-
yorumunuz ve desteğiniz için teşekkür ederim
biraz daha denemeler yapacağım ram disk boyutlarında
bu esnada bir cron yazdım internetten örnekler bularak RAM %90 bandına gelince squid otomatik reboot ediyor.% kısmını belirleyebiliyoruz cron 5 dk bir RAM durumunu kontrol ediyor belirlenen seviyenin üstüne çıktığında squid reboot ediyor.
-
Bu doğru bir çözüm değil ama. O zaman proxy kullanmanızın bir anlamı yok ki... Aracınızın motoru ısındığında stop ederek soğumasını bekledikten sonra tekrar "ısınasıya dek" yola koyulmaktan farkı yok. Vakitten bir kazancınız olmadığı gibi aracı yıprattığınız da yanınıza kâr kalıyor. Proxy kullanamadığınız gibi, diskinizi sil-yazlarla yıpratıyorsunuz yani.
Mesele güçlü bir proxy değilse, sadece filtreleme benzeri işlemlerse squid yerine sadece e2guardian kurun ve bakın keyfinize bence. Çünkü e2guardian filtreleme görevini fazlasıyla yerine getirebilecek kabiliyette ve özellikle ssl tabanlı adreslerde squid+squidguard çözümünden çok daha stabil.
-
samet hocanın dediklerini aynen uyguladım sorun yok filtreleme şıkır şıkır çalışıyor fakat şöyle bir sorunum var. 3 tane wan portum var ve içeride ki ip leri rule oluşturup ilk 50 ip şu netten çıksın sonra kiler bundan çıksın gibi kural yazmıştım bu filtreleme işlemini çalıştırınca tüm kullanacılar aynı ip üzerinden nete çıkıyor
-
Squid tek kanal üzerinde çalışıyor. Default gateway hangisiyse, herşey oradan akıyor. Tek pfsense ile bu konuda yapabileceğiniz birşey yok maalesef.
Failover çalışır ama. O da iyi bir wan altyapısında çok işe yaramaz. Mesela bir lokasyonda 3 wan çalıştırıyorum failover olarak. 10 günde default wan 640GB iken, 2. wan 9GB, 3. wan ise neredeyse hiç çalışmamış.
-
Selamlar ,
2 tane pfsense çalıştırın 1. pfsense de filtrelemeyi yapın onun gw i 2. pfsense lan ip adresi olsun 2. pfsense üzerinde de wan load balance yapın
-
@cumhuraltan said in Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak:
Selamlar ,
2 tane pfsense çalıştırın 1. pfsense de filtrelemeyi yapın onun gw i 2. pfsense lan ip adresi olsun 2. pfsense üzerinde de wan load balance yapın
peki böyle bir yapıda, NAT'lar için pratik bir yol var mıdır ?
yoksa her NAT kuralını birinci olarak load balance yapan makineye ikinci olarak da proxy makineye tek tek yazmak mı gerekir ?transparan bir köprü olarak yapılandırsak diye düşünüyorum ama nasıl olacak ?
proxy makineyi bu şekilde yapılandırsak e2guardian çalışır mı ?
load balance yapan makineyi çalıştırsak orada 3 tane wan'ı bir tane lan interface ile bridge yapmak mümkün olmaz sanırım ?Transparan bridge ile ilgili şöyle bir link var :
https://community.adamnet.works/hc/en-us/articles/115002725594-Running-on-a-Transparent-pfSense-Bridge -
Selamlar @tuzsuzdeli ,
Internete bakan pfsense'in bütün portları squid çalışan pfsense'e yönlendirilebilir veya her seferinde 2 defa port açmak gerekir.
İnternete bakan pfsense üzerinde load balance hedef ip adresine göre yapabilirse tüm gelen sourcelar aynı olsa da ( squid çalışan pfsense ip adresi ) 2 hattı da kullanabilir.
Transparan ı yıllar önce bir müşterimde bazı sunucuların ethernetlerınde public ip adresi kullanmak istediği için kurmuştum bu konuyla ilgili bir kullanım aklıma gelmiyor.- Son olarak böyle bir senaryo ben de uygulamadım arkadaşın sorusunu görünce aklıma böyle bir yöntem geldiği için yazdım sadece boş bir zamanımda demo yapmaya çalışırım. Pfsense'i web filtrleme için kullanmıyorum Vpn sonlandırma ihtiyacım olursa yükleyip openvpn yapılandırıyorum piyasadaki ücretli cihazların hepsinden daha stabil çalışıyor hatta en son bir müşterimde 2FA uyguladım kullanıcıadını yazıyor şifre kısmına o kullanıcıya verdiğimiz 4 haneli pini ve Google Authenticator uygulamasındaki 6 haneli kodu yazdıktan sonra bağlanıyor ve ücretsiz.
-
@cumhuraltan
Hali hazırda zaten dediğiniz gibi bir yapı var.
iç tarafta üzerinde proxy çalışan bir pfsense, dış tarafta da 3 hattı load balance yapan başka bir pfsense.
Hiç bir problemimiz yok aslında, sadece NAT yaparken 2 makineye de kural yazmak uğraştırıyor. -
@mynameisozz said in Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak:
5223, 5228, 4244, 5242 ve 5222
Merhaba bu sorunu bende yaşıyorum. Nereden izin vermem gerekiyor. Kural olarak mı squid üzerinden mi?