PFSENSE: Squid + ADGroups + HTTPS

werter

@andrey1039 said in PFSENSE: Squid + ADGroups + HTTPS:

Если в поле Regular Expression ставлю точку(т.е. подразумевается, что это будет любой сайт)

Сквид пользуют перловский (?) синтаксис регулярок. Тогда все сайты будет .* (точка + звездочка). А просто тчк - это любой ОДИН символ. Можете проверить?

Маски:
.   - одиночный символ
*  - неограниченное повторение последнего символа 
.* - соотв любая последовательность
\. - точка
\\ - один слеш
^ - от начала строки
$ - конец строки
() - скобки ограничивают токен
[] - скобки допустимые символы
|  - знак или

http:\\\\\.*\.mail\.ru.* - соответствует http:\\*.mail.ru*

andrey1039

В общем, вылезла еще одна проблема. Некоторые сайты не хотят открываться при таких настройках, потому что в этом случае трафик сначала расшифровывается, а потом шифруется сертификатом сквида. В итоге получается такая вот ошибка(см ниже):
Что бы такое дописать, чтобы эти сайты просто пропускались- без шифрования/расшифрования?

При получении URL https://frprf.ru/* произошла следующая ошибка.

Не удалось установить безопасное соединение с 31.41.246.25

The system returned:

(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)

SSL Certficate error: certificate issuer (CA) not known: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018

Для выполнения Вашего запроса этот кэш и удаленный узел не смогли согласовать взаимоприемлемые параметры безопасности. Возможно, удаленный узел не поддерживает безопасные соединения или кэш не удовлетворён удостоверением безопасности узла.

werter

@andrey1039
Добавьте в исключения. В чем проблема?

andrey1039

@werter вы имеете в виду- в исключения в браузере? Это очень неудобно- надо каждый сайт прописывать в политиках, потом ждать, пока применятся, плюс на роутере делать прямой доступ к этому сайту. Вот если бы в самом сквиде где-то можно было прописывать..

werter

@andrey1039

Вот если бы в самом сквиде где-то можно было прописывать..

Я про сквид, ес-но. В гугле это - squid + exceptions + pfsense

https://docs.netgate.com/pfsense/en/latest/recipes/http-client-proxy.html#squid-caching-web-proxy

Bypass Proxy for these Destination IPs
If certain remote servers need to bypass the proxy, put them in this box. Multiple addresses, networks, or alias names may be entered separated by a semicolon.

andrey1039

@werter а разве эти настройки не исключительно для прозрачного режима? Это поле становится активным, если включить прозрачный режим, а мне он не нужен.

werter

@andrey1039

Гляньте https://youtu.be/ZqZm-BgWcNc?t=50 - Whitelist

Пардон, это не про то, что вам надо.

Можно попробовать создать файл с перечнем доменов, к-ые нужно пускать напрямую минуя сквид и в Advanced сквида добавить строку acl со ссылкой на этой файл.
Примеры есть тут https://habr.com/ru/post/347212/
Пример regexp https://itslashfix.wordpress.com/2015/07/14/allowing-cific-services-from-google-through-a-proxy-in-blanket-block-mode/

Возможно, в fw на ЛАН надо будет добавить правило для доступа к этим сайтам (эти сайты мы посещаем минуя сквид), создав для удобства сперва алиас из них.

andrey1039

@werter почитал, исключения у меня так и настроены, правда там написаны "целые" домены, а у меня через рег. выражения- "куски".
Но, похоже, я неправильно понял проблему.
SSL Certficate error: certificate issuer (CA) not known: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018 - означает, что сквиду не нравится сертификат сайта(или, скорее всего, сертификат СА).
Добавил после строки "auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /etc/squid.keytab -t none"
строку "sslproxy_cert_error allow all" и на всякий случай еще "tls_outgoing_options flags=DONT_VERIFY_PEER"- проблема ушла.
Конечно, правильно было бы скормить сертификаты сквиду, но: 1. не знаю, как это сделать 2. не вижу смысла этого делать

andrey1039

Хочу, чтобы лайтсквид писал в статистике не IP-адреса компов, а их имена. Выбираю в поле "IP Resolve Method" SMB- все-равно пишет IP. ДНС-ов у меня 2 штуки- один- мой, второй- яндекса. Выбираю DNS- вместо имен компов пишется что-то типа DOSA-HTH-FRNT.HEALTH.CMU.EDU - т.е. для резолва он использует не мой днс, а яндекса, при том, что в настройках мой IP стоит первым. Что можно сделать, чтобы он нормально резолвил?

werter

@andrey1039
В General галка касаемо DNS на Allow override DNS by ... стоит?

andrey1039

@werter галку поставил - ничего не изменилось. Там ниже еще есть поле "DNS Resolution Behavior", у меня там стоит "Use local DNS, fall back to remote DNS..."

werter

@andrey1039
Не надо ее ставить. Снимите. Под ней комментарий написан, переведите его для себя.

andrey1039

Была проблема, что некоторые сайты не отображаются, выдается ошибка, что не может определить адрес сайта. Методом тыка было определено, что виноват в этом Proxy filter SquidGuard - как я понял, эти сайты не умеют работать через прокси с авторизацией.
В общем: идем в нем в Target Categories, там уже у нас должна быть хотя бы одна строчка, идем в ее редактирование. Дальше- варианты.

1. В поле Domain List пишем домены целиком через пробел, например- government.ru gosuslugi.ru
2. Можно что-то написать в поле URL List, но я этот вариант не пробовал
3. В поле Regular Expression пишем через палку куски названий сайтов, например: gosuslugi|sbis.ru
   После этого Proxy filter SquidGuard пропускает нормально на эти сайты.