PFSENSE: Squid + ADGroups + HTTPS



  • @flamel
    Ссылка на видео по httpS?



  • @modice
    За Вас нашел материал - потрудитесь хотя бы сделать пошагово. Не выйдет - отпишитесь.



  • @werter не надо) сам думаю загуглю, точнее просто посмотрю по какому порту видео передается) я просто всегда думал что по 80



  • @flamel

    Откройте ютуб и гляньте в любом браузере в Инструментах разработчика.
    youtube.png



  • @werter с вашего позволения завтра отредактирую статью и добавлю ваши выжимки из комментариев, включая фильтрацию видео, может кому будет полезно)
    Потом наверное буду переводить дружбу моего прокси с одного домен-контроллера на другой, или вообще перемещу на более производительную железку, а то уже на примерно 75 онлайн пользователях нагрузки высокие, процессора не хватает. Кстати clamav и icap-c тоже работают, но дают такую нагрузку, что 25 пользователей предел для железки) думаю потом может поработаю над вопросом прикрутки Касперского, если железка позволит.
    В общем как буду переносить дополню статью очевидными или неочевидными шагами, а то смотрю много вопросов и кто то даже не верит что оно работает.



  • @flamel
    Всегда пожалуйста )
    Особенно интересно про блокировку по mime type. Удобнее, чем 100500 расширений прописывать в regexp.
    Было бы супер, если еще и с картинками )

    Кстати clamav и icap-c тоже работают

    Сразу нет. Clam - точно нет. Толку от него - мизер.



  • @werter если дадут железку по лучше и время - будут скрины)



  • @flamel я буду очень рад, если у вас получится. не забудьте добавить что прописывая прокси через политики, проксю надо указывать по имени, иначе при открытии браузера будет выскакивать запрос логина пароля. хотя для вас это может и не новость.



  • Кстати, попадалась рекомендация пользовать сквид ТОЛЬКО как фильтр выставив размер cache в 0 (нуль). Можно и так попробовать для чистоты экперимента.



  • @flamel
    В ЛС\чат кинул конфиг сквида от конкурента. Может, что интересного найдете.



  • @werter можно, думаю, но в моем случае удобен именно кеширующий прокси, потому что пользователи по утрам любят примерно на одни и те же сайты заходить



  • @werter кстати столкнулся с проблемой, что некоторые программы ломятся в интернет не под доменным пользователем, у нас Касперский этим грешит, пока политиками не заставишь его смотреть на наш сервер Касперского он бесконечно ломится в сеть, а ПФ его не пускает(что естественно), не попадали подобные проблемы?
    Хотя мне кажется тут скорее проблемы софта, а не пф



  • @flamel вот да, хотел спросить каким образом вы заворачиваете трафик на прокси. с доменными пользователями понятно, а как на счет локальных или устройств которые вообще не в домене?



  • @modice не стоит такой задачи, для всего остального есть выход без прокси. Но ничего не мешает добавить basic аутентификацию для таких случаев или использовать доменные учётки.
    Прокси прописывается политиками



  • @modice в моем случае ПФ не на границе, он больше нужен чтобы пользователей ограничивать от соцсетей и тд на работе. Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидит



  • Добрый
    @modice

    @flamel вот да, хотел спросить каким образом вы заворачиваете трафик на прокси. с доменными пользователями понятно, а как на счет локальных или устройств которые вообще не в домене

    Есть же возможность добавить адреса в настройках сквида для исключения?



  • @flamel
    Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидит

    А на LAN (+ loopback) перевесить не получается?



  • @werter адреса динамические, ладно это не суть. подскажите как убрать ругательства о не безопасном соединении браузера когда заходишь на веб морду pfsense. или когда пользователь пытается зайти на сайт куда ему нельзя: вначале он видит предупреждение о безопасности, жмет кнопку "все равно перейти" и только после этого видит int error page. @flamel и через регулярки понятно куда вставлять, а вот это куда ?
    acl youtube rep_mime_type -i ^audio/mp4$
    acl youtube rep_mime_type -i ^video/mp4$



  • @modice said in PFSENSE: Squid + ADGroups + HTTPS:

    о не безопасном соединении браузера когда заходишь на веб морду pfsense

    Странный вопрос для итишника (
    Решить можно заменив самоподписанный сертификат на реальный. Если это возможно, конечно, в ваших реалиях.

    или когда пользователь пытается зайти на сайт куда ему нельзя

    Уже отвечал как это сделать БЕЗ подсовывания "левого" сертификата.



  • @werter это первый форум, где я который день не могу понять как по человечески цитировать... ладно.
    касательно странного вопроса, посоветуйте литературу без "воды", буду признателен, а пока ощущение что в какой форум не зайди, все всё знают..
    я может не так объяснил, допустим пользователю закрыт доступ к vk.com, при попытке зайти на него у него вначале браузер ругается что соединение не безопасно, после жмет кнопку все равно продолжить и только после этого он видит int error page. причем тут подсовывание сертификата? сайт заблокирован по домену в squidguard. на хосты никаких сертификатов не установлено.



  • @modice

    @werter это первый форум, где я который день не могу понять как по человечески цитировать... ладн

    Поставить перед цитируемым знак ">"

    я может не так объяснил, допустим пользователю закрыт доступ к vk.com, при попытке зайти на него

    Сейчас подавляющее большинство сайтов работает по httpS. Видимо, что-то не то с настройками и браузеру это не нравится (
    Вы CA для сквида сгенерили? Скрин(ы) настроек сквида покажите.


Log in to reply