PFSENSE: Squid + ADGroups + HTTPS
-
@JKQ если ты все правильно настроил то увидишь в логах либо посещение пользователей, либо попытки подключения и запросы логина\пароля.
На данный момент у меня все это работает с одновременным заходом 50+ пользователей, в том числе фильтрация по группам AD, завтра могу заскринить логи и конфиги того как это выглядит на работающей системе -
This post is deleted! -
This post is deleted! -
Удалил спорные моменты.
-
@flamel Если я верно понял. Доменный пользователь вводит пароль только один раз при входе в систему. Далее ему есть либо нет доступа к определенным сайтам. Так же собирается статистика по доменным пользователям, кто куда как часто ходил и тд. И плюс ко всему есть возможность блокировать видео и аудио поток. Все верно?
-
@modice все верно, единственное что с видео и аудио потоком не заморачивался, просто определенным группам заблокировал видеохостинги, включая Ютуб, на данный момент 100 пользователей успешно работают
-
@flamel В какую сторону копать чтоб не блокировать целиком сайт, а только видео и ауди поток с https?
-
@modice в сторону MIME, https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html
-
@modice
Что-то типа:# Blocked mime types
acl mmedia_block rep_mime_type -i ^.video.
acl mmedia_block rep_mime_type -i ^.audio.
acl mmedia_block rep_mime_type -i ^.flash.
acl mmedia_block rep_mime_type -i ^.application.Squid пользует PCRE-синтаксис.
RexExp-ы:Маски:
. - одиночный символ
* - неограниченное повторение последнего символа
.* - соотв любая последовательность
. - точка
\\ - один слеш
^ - от начала строки
$ - конец строки
() - скобки ограничивают токен
[] - скобки допустимые символы
| - знак или
[0-9]* - любая строка из цифр
[a-zA-Z0-9] - любая цифро-буквенная строка с латиницеhttp:\\\\\.*\.mail\.ru\\.* - соответствует http:\\*.mail.ru\* .*\.mail\.ru.*\.(exe|zip)$ - соответствует *.mail.ru*.exe или *.mail.ru*.zip
Еще так можно:
pcre srvheader allow "Content-type: application/(.*java.*|pdf|.*excel.*|.*word.*|rtf|.*powerpoint.*|.*access.*|.*mswrite.*|.*cert.*)|text/(cmd|css|csv|html|.*java.*|vcard|xml)|image/" * 192.168.0.0/24 * pcre srvheader allow "Content-type: message|x-world" * 192.168.1.0/24 * pcre srvheader deny "Content-type: application|video|audio|text/" * 192.168.2.0/24 *
-
-
@modice
При "непрозрачном" точно сработает. Проверьте. -
@werter может глупый вопрос, но как? да, прокси не прозрачный, но трафик ведь шифрованный.
-
И даже в "прозрачном" работает )
https://wiki.squid-cache.org/Features/SslPeekAndSplice
https://habr.com/ru/post/267851/
nagibat0r
6 октября 2015 в 20:17
мало того, что в прозрачном режиме! используется новая технология peek-and-splice, которая позволяет бампить ssl без подмены сертификатов, т.е. без MITM атакиhttps://www.linux.org.ru/forum/admin/13207928
-
-
@modice
Да в чем угодно. Смотрите логи. И на Вин-сервере тоже. -
@werter не пойму, с чего вы решили что mime будет работать? может мы недопоняли друг друга. понятно просто заблокировать сайт. но, если сайт не заблокирован, а будем пытаться заблокировать видео на нем, соединение уже установлено, с чего вдруг будет блокироваться аудио или видео?
@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html , где в комментариях аккурат и говорят о том что это не прокатит с https -
This post is deleted! -
@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.
-
@flamel а вы, сбросили эту ссылку. https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html
Вы на дату статьи смотрели? Идея о том,что с тех пор могло многое измениться приходила?
Ссылка https://wiki.squid-cache.org/Features/SslPeekAndSplice была уже выше. Ключевой абзац там :
Peek and Splice gives admin a way to make bumping decisions later in the TLS handshake process, when client SNI and the server certificate are available. Or when it becomes clear that we are not dealing with a TLS connection at all!
Peek и Splice дают администратору возможность принимать решения по изменению параметров позднее в процессе TLS рукопожатия, когда доступны клиентские SNI и серверные сертификаты. Или когда станет ясно, что мы вообще не имеем дело с TLS соединением!
-
Создать для сквида только CA - сертификаты создавать не надо https://www.oodlestechnologies.com/blogs/File-extension-type-blocking-on-pfsense/
-
С форума конкурента:
That is the only reason why I stay with pfSense.. All I have to do in pfSense to get this working is to select Splice All in SSL/MITM Mode in squid configuration. With that option, filtering of ssl site will not require to install a cert on all clients on network..
- https://community.spiceworks.com/topic/2209470-blocking-video-and-audio-streaming-using-squid-proxy-package
there are many ways to block video streaming in pfsense. you can either block the entire streaming websites in squid and/or pfblocker. Or you can use the follwoing code as a guideline to disable mime-types for streaming:
acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 allhttp_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all -
-
@modice said in PFSENSE: Squid + ADGroups + HTTPS:
@werter в том и дело что я не понимаю сути советов в которых информация не актуальна. все свелось к тому что без подмены сертификата все телодвижения бесполезны. отсюда снова вопрос, зачем вы мне так усердно советовали попробовать то, что уже НЕ работает.
Может я слабо понимаю, но разве видео передается по хттпс?
Я не задавался целью блокировать у пользователей видео, мне достаточно того что у нужных групп я заблокировал видеохостинги, но можем мне кто нибудь объяснить при чем тут потоковое видео и хттпс?