Configure pfSense as HTTPS\SSL Proxy filter using Squid and SquidGuard



  • This is a short write-up of how I got pfSense 2.3 and 2.4-Beta to act as an Proxy filter for ssl and https traffic without the needs of installing or configuring any client side settings or certificates, all configurations are done on the pfSense Firewall itself.
    http://forum.it-monkey.net/index.php?topic=23.0
    Ругать\хвалить мануал не стану, т.к сам подобное  не использую.



  • Неожиданно, но наконец теперь Squid в pfSense научился делать Slice. Теперь отпадают дурные вопросы о том как заблокировать https трафик.



  • Вот еще бы он описал Skype у него заработал?
    Подскажите как установить 3Proxy и его в web морду добавить.
    Чтобы Skype пропускать и кстати часть клиент банков тоже отказываются работать.



  • а ты клиент банки мимо сквида пусти сбербанк для примера строка:
    Bypass Proxy for These Destination IPs  sbrf.ru;sberbank.ru
    это раньше у меня этот костыль был, сейчас и без него работает.
    А скайпу то что не работать? странно.



  • @pigbrother:

    This is a short write-up of how I got pfSense 2.3 and 2.4-Beta to act as an Proxy filter for ssl and https traffic without the needs of installing or configuring any client side settings or certificates, all configurations are done on the pfSense Firewall itself.
    http://forum.it-monkey.net/index.php?topic=23.0

    Мануал подробнейший



  • Тут на форуме.
    Guide to filtering web content (http and https) with pfsense 2.3

    @PbIXTOP:

    Неожиданно, но наконец теперь Squid в pfSense научился делать Slice. Теперь отпадают дурные вопросы о том как заблокировать https трафик.

    Вот не понял, в этом режиме squid может отличить поддомены?
    amigo.mail.ru отличит от r.mail.ru ?  SNI отдает поддомены?
    SNI отдает путь до первого слеша или все, что запросил браузер?

    При включенной SNI-фильтрации сервер не будет пропускать по HTTPS-порту не HTTPS-трафик. Таким образом могут возникнуть проблемы с программами, пытающимися это сделать. Для их работы необходимо разрешить обход прокси-сервера к нужным им ресурсам.

    mail.ru - вот прям это про них. HTTP гнать через 443 порт.

    Splice - больше вопросов, чем ответов. Кто нибудь использует?
    Или в корпоративной среде все MITM-ят и не парятся?



  • @NegoroX:

    а ты клиент банки мимо сквида пусти сбербанк для примера строка:
    Bypass Proxy for These Destination IPs  sbrf.ru;sberbank.ru
    это раньше у меня этот костыль был, сейчас и без него работает.
    А скайпу то что не работать? странно.

    Я через подмену сертов все делал + открывал необходимые порты для приложений.



  • Доброе.
    Спасибо за ссылку. Добавил в закладки.

    P.s. Коллеги, а ведь там еще много "вкусного" http://forum.it-monkey.net/index.php?board=11.0

    P.p.s. Для сохранения таких подробн. руководств пользую вот это (не реклама) - https://www.printfriendly.com/extensions/other  Довольно корректно сохраняет в pdf. Есть расширения для браузеров.