PFSENSE: Squid + ADGroups + HTTPS

modice

@flamel вот да, хотел спросить каким образом вы заворачиваете трафик на прокси. с доменными пользователями понятно, а как на счет локальных или устройств которые вообще не в домене?

flamel

@modice не стоит такой задачи, для всего остального есть выход без прокси. Но ничего не мешает добавить basic аутентификацию для таких случаев или использовать доменные учётки.
Прокси прописывается политиками

flamel

@modice в моем случае ПФ не на границе, он больше нужен чтобы пользователей ограничивать от соцсетей и тд на работе. Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидит

werter

Добрый
@modice

@flamel вот да, хотел спросить каким образом вы заворачиваете трафик на прокси. с доменными пользователями понятно, а как на счет локальных или устройств которые вообще не в домене

Есть же возможность добавить адреса в настройках сквида для исключения?

werter

@flamel
Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидит

А на LAN (+ loopback) перевесить не получается?

modice

@werter адреса динамические, ладно это не суть. подскажите как убрать ругательства о не безопасном соединении браузера когда заходишь на веб морду pfsense. или когда пользователь пытается зайти на сайт куда ему нельзя: вначале он видит предупреждение о безопасности, жмет кнопку "все равно перейти" и только после этого видит int error page. @flamel и через регулярки понятно куда вставлять, а вот это куда ?
acl youtube rep_mime_type -i ^audio/mp4$
acl youtube rep_mime_type -i ^video/mp4$

werter

@modice said in PFSENSE: Squid + ADGroups + HTTPS:

о не безопасном соединении браузера когда заходишь на веб морду pfsense

Странный вопрос для итишника (
Решить можно заменив самоподписанный сертификат на реальный. Если это возможно, конечно, в ваших реалиях.

или когда пользователь пытается зайти на сайт куда ему нельзя

Уже отвечал как это сделать БЕЗ подсовывания "левого" сертификата.

modice

@werter это первый форум, где я который день не могу понять как по человечески цитировать... ладно.
касательно странного вопроса, посоветуйте литературу без "воды", буду признателен, а пока ощущение что в какой форум не зайди, все всё знают..
я может не так объяснил, допустим пользователю закрыт доступ к vk.com, при попытке зайти на него у него вначале браузер ругается что соединение не безопасно, после жмет кнопку все равно продолжить и только после этого он видит int error page. причем тут подсовывание сертификата? сайт заблокирован по домену в squidguard. на хосты никаких сертификатов не установлено.

werter

@modice

@werter это первый форум, где я который день не могу понять как по человечески цитировать... ладн

Поставить перед цитируемым знак ">"

я может не так объяснил, допустим пользователю закрыт доступ к vk.com, при попытке зайти на него

Сейчас подавляющее большинство сайтов работает по httpS. Видимо, что-то не то с настройками и браузеру это не нравится (
Вы CA для сквида сгенерили? Скрин(ы) настроек сквида покажите.

modice

@werter

werter

@modice
У вас сквид непрозрачный?
Попробуйте как тут (прозрачный) https://www.oodlestechnologies.com/blogs/File-extension-type-blocking-on-pfsense/

Зы. И ротацию логов вкл. Иначе сквид место вам забьет.

flamel

@werter Приветствую, не было опыта с настройкой доступа к W\A, telegram? Я так понял что надо или завернуть трафик мимо прокси или воспользоваться этим https://wiki.squid-cache.org/ConfigExamples/Chat/Whatsapp, но я пока совершенно не понял как адаптировать, с учетом того что у меня вообще не стоит галочка Enable SSL filtering.
Был такой опыт? Может я не в том направлении мыслю вообще

werter

Добрый.
@flamel
Может просто в Dst в исключениях сквида добавить?

flamel

@werter
Ошибка имеет такой вид при попытке работы некоторых программ, они ломятся под учетками локальными то компов, то своими собственными и вот результат.
С учетом того что у меня прописана керберос авторизация попытка включить прозрачный вариант и в нем bypass поставить не увенчалась успехом.
Добавил в whitelist самого сквида - тоже ноль, есть здесь строка
Я так понял что те кто здесь - не фильтруются вообще, whatsapp скрыл свои CIDR после того как фейсбук крепко им занялся, а у NormaCS запросил. Попробую что будет. = Ничего, попробовал, бездарно вышло)
Или вы имели ввиду создавать acl перед авторизацией в поле custom options?

werter

@flamel

Ошибка имеет такой вид при попытке работы некоторых программ, они ломятся под учетками локальными то компов, то своими собственными

Если все остальное работает хорошо, то получается, что нек-ый софт у Вас кривой?
Попробуйте откл кеш на сквиде вообще - поставьте 0 (нуль) в размере кеша. После очистить кеш браузера на клиенте и проверить.

Или вы имели ввиду создавать acl перед авторизацией в поле custom options?

Стоит попробовать.

viktor_g

есть feature request на это дело: https://redmine.pfsense.org/issues/5646

надо бы запилить реализацию

werter

@viktor_g
Не оно?
https://habr.com/ru/post/492684/

viktor_g

@werter надо бы запилить чтоб из WebGUI всё конфигурилось, без ручной правки /etc/krb5.conf и Custom Options

p.s. спасибо за ссылку

werter

@viktor_g
Это @flamel спасибо за его пост на хабре )

andrey1039

@flamel said in PFSENSE: Squid + ADGroups + HTTPS:

Далее переходим в раздел Groups ACL и в поле Client (source) формируем лдап запрос по которому будет производится поиск принадлежности пользователя к группе, как пример

• как я понимаю, поиск идет по полю CN учетки пользователя, а это не Имя входа пользователя, а Отображаемое имя. Т.е. есть юзер с логином ivanov, а Отображаемое имя у него- Иванов Иван Иванович, поэтому хелпер никогда не найдет его ни в какой группе.