Proxy Filter Sorunu



  • Merhaba arkadaşlar; yeni kurulumunu yaptığım pfsense min tüm ayarlamalarını http://forum.pfsense.org/index.php/topic,31483.0.html 'den edindiğim dökümana göre yaptım. kısaca yapım hakkında bilgi vereyim.

    pfsense üzerindeki wan bacağı 188.x.x.157, lan bacağı 10.198.x.x şeklinde. pfsense internete çıkıyor. yüklediğim paketler squid ve squid guard.
    client b.sayarımda ise ip yapılandırılması gate way pf sense'nin lan bacağı olarak belirledim. black list http://www.shallalist.de/Downloads/shallalist.tar.gz adresinden çektim. proxy filter enable modda ve common acl de target rules de sosyal ağlar ve birkaç site erişimini yasakladım.

    soruna gelince, target rules'e göre tanımladığım kurallar hiç bir şekilde işe yaramıyor. düz ayak internete çıkabiliyorum. Default access [all] bile Deny.
    arkadaşlarım squid ve squid guard ın sorun çıkarabileceğinin hatta pf sense i baştan bile kurman gerekebileceğini söyledi. kurulumu da tekrarladım.

    altladığım bir yermi var acaba yardımcı olurmusunuz.



  • Her target rule tanımından sonra Apply tuşuna basmanız gerekmekte. Apply tuşuna basarak squidguard servisini resetlemiş ve yeni filtreleri devreye almış olursunuz. default olarak deny verin Apply tuşuna basın çalıştıgını görmeniz gerekir

    Saygılar



  • save ve apply adımlarını atladığım bişey olabilir diye 2-3 kere yapıyorum kontrol ede ede. sonuç yine aynı



  • target rules'e göre tanımladığım kuralları eğer  Groups Access Control List (ACL) ayarlamışsan birde Common Access Control List (ACL) ayarlayıp General settings bölümünde geçip :) ilk önce save sonra apply butonlarına basıp sonra makineni restart edip denermisin



  • @TACIM:

    target rules'e göre tanımladığım kuralları eğer   Groups Access Control List (ACL) ayarlamışsan birde Common Access Control List (ACL) ayarlayıp General settings bölümünde geçip :) ilk önce save sonra apply butonlarına basıp sonra makineni restart edip denermisin

    Restarta neden gerek oluyor ?



  • kardeş maşallah hemen cevap verdin :)) yazdığım kurallar bazen hemen aktif olmadığını ama cihazı restart ettiğimde kuralların aktif olduğunu gördüğüm.



  • Bence orda başka bir sıkıntı var. Normal şartlarda pfsense'i (windows işletim sistemlerinden gelen bir alışkanlıkla ) restart etmeyi gerektirecek bir şey pek olmamalı.
    Benim sistem şu an 56 gündür açık, ki forumdaki aktifliğimden tahmin edeceğiniz üzere, her gün bi yerleri kurcalanıyor :)

    Sistemleri boşu boşuna kapatıp kullanıcılarınızı zor durumda bırakmayın diye birkaç tavsiyem olacak.

    • Floating rules ile yazdığınız kuralların, hemen uygulanması için " Apply the action immediately on match." seçeneği işaretlenmeli

    • Squid'de yapılan değişklikler save'a basar basmaz aktif olur, sadece alete biraz zaman verin (Özellikle Level 1 directories değeriniz yüksek ise)

    • Squid'de cache ile ilgili bir sorun var ise, tüm cache'i temizleyip yeniden rebuild etmek için "squid -z" komutunu kullanın.

    • Squidguard için değişklik yaptıktan sonra "apply"a basmak yeterlidir. Değişkliği kaydetmek için "save"

    • Squidguard'da blacklist güncelleyince restarta gerek olmaz

    • Firewall rule yazdığınızda, apply changes'a basınca aktif olur, ancak rule'u yazmadan önce açılmış bir client-server bağlantısı, kapanana kadar bu yeni rule'dan etkilenmez. Yani bir kullanıcı webden radyo dinlerken, siz onun web erişimini blocklarsanız, yeni bir radyo dinleyemez ama bloklamadan önceki açmış olduğu radyoyu dinlemeye devam eder. Bu durumda iki seçeneğiniz var :

    1 -State table'dan ilgili bağlantıyı bulup kapatmak. Ordaki görüntü şu şekildedir "10.10.1.42:443 <- 192.168.4.2:443 <- 85.107.58.81:38193". Yani client ip ve kullandığı port, kullanılan Wan gateway ip ve karşı taraf ip. Ok işareti ise bağlantının yönünü gösterir.
    Yukarıdaki örnekte, 85.107.58.81 dışarıdaki mobil cihazı 192.198.4.2 Wan bağlantısı üzerinden 10.10.1.42 numaralı mail server'a ulaşıyor.
    State table ekranında filter kutucuğuna ip ya da port numarası yazarsanız ilgili bağlantıyı daha kolay bulursunuz.

    2 -State table'ı komple resetlemek. Bu durumda açık olan tüm bağlantılar kapatılır. Ancak iç-dış trafik hemen tekrar kurulmaya başlanır. Makineyi kapatıp açmaktan daha kısa süreli (1-2 saniye) bir duruş yaşanır.

    Bunlar her ne kadar fazla detay gibi görünse de, sürekliliğin önemli olduğu kurumlarda faydalı olacaktır.

    Makinelerimizi reboot etmeyelim, ettirmeyelim :)


Log in to reply