PFSENSE: Squid + ADGroups + HTTPS
-
@modice
Что-то типа:# Blocked mime types
acl mmedia_block rep_mime_type -i ^.video.
acl mmedia_block rep_mime_type -i ^.audio.
acl mmedia_block rep_mime_type -i ^.flash.
acl mmedia_block rep_mime_type -i ^.application.Squid пользует PCRE-синтаксис.
RexExp-ы:Маски:
. - одиночный символ
* - неограниченное повторение последнего символа
.* - соотв любая последовательность
. - точка
\\ - один слеш
^ - от начала строки
$ - конец строки
() - скобки ограничивают токен
[] - скобки допустимые символы
| - знак или
[0-9]* - любая строка из цифр
[a-zA-Z0-9] - любая цифро-буквенная строка с латиницеhttp:\\\\\.*\.mail\.ru\\.* - соответствует http:\\*.mail.ru\* .*\.mail\.ru.*\.(exe|zip)$ - соответствует *.mail.ru*.exe или *.mail.ru*.zipЕще так можно:
pcre srvheader allow "Content-type: application/(.*java.*|pdf|.*excel.*|.*word.*|rtf|.*powerpoint.*|.*access.*|.*mswrite.*|.*cert.*)|text/(cmd|css|csv|html|.*java.*|vcard|xml)|image/" * 192.168.0.0/24 * pcre srvheader allow "Content-type: message|x-world" * 192.168.1.0/24 * pcre srvheader deny "Content-type: application|video|audio|text/" * 192.168.2.0/24 * -
-
@modice
При "непрозрачном" точно сработает. Проверьте. -
@werter может глупый вопрос, но как? да, прокси не прозрачный, но трафик ведь шифрованный.
-
И даже в "прозрачном" работает )
https://wiki.squid-cache.org/Features/SslPeekAndSplice
https://habr.com/ru/post/267851/
nagibat0r
6 октября 2015 в 20:17
мало того, что в прозрачном режиме! используется новая технология peek-and-splice, которая позволяет бампить ssl без подмены сертификатов, т.е. без MITM атакиhttps://www.linux.org.ru/forum/admin/13207928
-
-
@modice
Да в чем угодно. Смотрите логи. И на Вин-сервере тоже. -
@werter не пойму, с чего вы решили что mime будет работать? может мы недопоняли друг друга. понятно просто заблокировать сайт. но, если сайт не заблокирован, а будем пытаться заблокировать видео на нем, соединение уже установлено, с чего вдруг будет блокироваться аудио или видео?
@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html , где в комментариях аккурат и говорят о том что это не прокатит с https -
This post is deleted! -
@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.
-
@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html
Вы на дату статьи смотрели? Идея о том,что с тех пор могло многое измениться приходила?
Ссылка https://wiki.squid-cache.org/Features/SslPeekAndSplice была уже выше. Ключевой абзац там :
Peek and Splice gives admin a way to make bumping decisions later in the TLS handshake process, when client SNI and the server certificate are available. Or when it becomes clear that we are not dealing with a TLS connection at all!
Peek и Splice дают администратору возможность принимать решения по изменению параметров позднее в процессе TLS рукопожатия, когда доступны клиентские SNI и серверные сертификаты. Или когда станет ясно, что мы вообще не имеем дело с TLS соединением!
-
Создать для сквида только CA - сертификаты создавать не надо https://www.oodlestechnologies.com/blogs/File-extension-type-blocking-on-pfsense/
-
С форума конкурента:
That is the only reason why I stay with pfSense.. All I have to do in pfSense to get this working is to select Splice All in SSL/MITM Mode in squid configuration. With that option, filtering of ssl site will not require to install a cert on all clients on network..
- https://community.spiceworks.com/topic/2209470-blocking-video-and-audio-streaming-using-squid-proxy-package
there are many ways to block video streaming in pfsense. you can either block the entire streaming websites in squid and/or pfblocker. Or you can use the follwoing code as a guideline to disable mime-types for streaming:
acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 allhttp_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all -
-
@modice said in PFSENSE: Squid + ADGroups + HTTPS:
@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.
Может я слабо понимаю, но разве видео передается по хттпс?
Я не задавался целью блокировать у пользователей видео, мне достаточно того что у нужных групп я заблокировал видеохостинги, но можем мне кто нибудь объяснить при чем тут потоковое видео и хттпс? -
@flamel
Ссылка на видео по httpS? -
@modice
За Вас нашел материал - потрудитесь хотя бы сделать пошагово. Не выйдет - отпишитесь. -
@werter не надо) сам думаю загуглю, точнее просто посмотрю по какому порту видео передается) я просто всегда думал что по 80
-
Откройте ютуб и гляньте в любом браузере в Инструментах разработчика.
-
@werter с вашего позволения завтра отредактирую статью и добавлю ваши выжимки из комментариев, включая фильтрацию видео, может кому будет полезно)
Потом наверное буду переводить дружбу моего прокси с одного домен-контроллера на другой, или вообще перемещу на более производительную железку, а то уже на примерно 75 онлайн пользователях нагрузки высокие, процессора не хватает. Кстати clamav и icap-c тоже работают, но дают такую нагрузку, что 25 пользователей предел для железки) думаю потом может поработаю над вопросом прикрутки Касперского, если железка позволит.
В общем как буду переносить дополню статью очевидными или неочевидными шагами, а то смотрю много вопросов и кто то даже не верит что оно работает. -
@flamel
Всегда пожалуйста )
Особенно интересно про блокировку по mime type. Удобнее, чем 100500 расширений прописывать в regexp.
Было бы супер, если еще и с картинками )Кстати clamav и icap-c тоже работают
Сразу нет. Clam - точно нет. Толку от него - мизер.
-
@werter если дадут железку по лучше и время - будут скрины)
-
@flamel я буду очень рад, если у вас получится. не забудьте добавить что прописывая прокси через политики, проксю надо указывать по имени, иначе при открытии браузера будет выскакивать запрос логина пароля. хотя для вас это может и не новость.
