SquidGard http/https Sorunu

beyazsapka

Merhaba Arkadaşlar,
Pfsense ile yeni tanıştım ve tek kelime ile iyi konfigure edilirse mükemmel bir firewall.
Benim sorunum şu,

Squidgard blackurl listelerini http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist adresten çektim ve sisteme yükledim. genel olarak sosyal paylaşım sitelerini kapatayım istedim fakat kural deny olduğu halde siteye gene giriyor. kendim target category den bir kural oluşturdum ve oraya site isimlerini yazdım(facebook,twitter vs.) ve o kuralı aktif ettim o zaman engelledi. indirdiğim Blacklist mi çalışmıyor yoksa bir yerde yanlış mı yapıyorum anlamadım. keni eklediğim kuralda da facebook.com olarak eklemiştim ama ağdaki pcler giriyorlar onu değiştirip www.facebook.com facebook.com gibi eklediğimde engelledi bazen de https olarak girenleri gene engellemiyor. Blacklist içindeki domainlere baktım hepsinin başında www veya http yok sadece domain ismi yani blabla.com gibi..

önerisi olan var mı?

sistem pfsense 2.0.2-RELEASE (i386)
squidguard 1.4_4 pkg v.1.9.2
squid 2.7.9 pkg v.4.3.2

OGUZ

https isteklerini engellemeniz için aliases ten ilk önce ilgili sitelerin dnslerini bulup eklemeniz gerekmektedir. daha sonra ise bu aliasesin üzerine firewall dan lan kuralı oluşturmanız durumunda gerekli https leri engellemiş olursunuz. Forumda bu konular daha önce işlendi arama yapın Lütfen

beyazsapka

Oğuz bey,
bu topiği açmadan önce arama yaptım ama bulamadığımdan dolayı yazdım. https isteği engelleme vs. gibi arattım ama yok :)

OGUZ

Ekteki resimleri kontrol edin ve aynılarını uygulayn. takıldığınız bir yer olursa yardımcı olabilirim.

OGUZ

Gerekli işlemleri yaptığınızda sadece facebook https engellemiş olacaksınız. eğer başka bir sitenin httpslerini engellemek isterseniz. onlarında dnslerini girip kural oluşturabilirsiniz. Ayrıca unutmayın proxy serveriniz transparent modda olsun.

beyazsapka

Oğuz bey,
dediğiniz gibi yaptım ve engellledi fakat şöyle bir durum var. ben bazı kullanıcı iplerini facebook açmalarına izin vermek istediğimde kural tüm ağı kapsadığı için onlarda çıkamıyor. bunu nasıl çözebilirim. çünkü üst düzey yöneticilerin ipleri serbest olması lazım.

OGUZ

ilk önce pass geçmek istediğin ip blokları için bir aliases oluştur. daha sonra Lan kısmındaki kuralın üstünde olması kaidesi ile yeni bir kural oluştur ve PASS seç. pass geçilmesini istediğin iplerin aliases ismini ilgili bölüme gir.

beyazsapka

Malesef olmadı..
şimdi https den facebook a da çıkan clientler var..

ben pfsense 2.0.2 release kullaniyorum bu kararlı bir sürüm değil midir?

OGUZ

kural sıralaması çok önemli yukarıdan aşağı şekild eolacak kurallarınızın ve açıklamalarının görüntülerini paylaşırsanız daha iyi olur hatanızı görürüz

beyazsapka

Merhaba Oğuz bey,
şimdi sitede bulduğum tüm facebook iplerini ekledim eklediğim ipler şöyle

209.126.190.70/24  69.41.185.229/24  203.36.226.2/24  69.171.242.11/24  66.220.149.11/24  69.171.224.11/24  69.63.189.74/24 69.171.224.0/24  74.119.76.0/24  204.15.20.0/24  66.220.144.0/24  69.63.176.0/24  173.252.64.0/24  31.13.24.0/24  31.13.64.0/24 31.13.69.0/24  31.13.70.0/24  31.13.71.0/24  31.13.72.0/24  31.13.73.0/24  31.13.74.0/24  31.13.75.0/24  31.13.76.0/24  31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 66.220.144.0/24 66.220.149.11/24 66.220.152.0/24 66.220.152.0/24 66.220.158.11/24 66.220.159.0/24 69.63.176.0/24 69.63.176.0/24 69.63.184.0/24 69.171.224.0/24 69.171.224.0/24 69.171.224.37/24 69.171.229.11/24 69.171.239.0/24 69.171.240.0/24 69.171.242.11/24 69.171.255.0/24  74.119.76.0/24 173.252.70.0/24 173.252.96.0/24 204.15.20.0/24 92.123.205.177/32 2.20.226.110/32 88.221.38.110/32 50.17.235.0/32 69.171.247.55/32 69.171.247.0/32 92.123.205.0/32 2.20.226.0/32 23.45.205.0/32 69.171.247.0/32 50.17.235.0/32 2.20.237.177/32 173.252.101.16/32 80.239.148.161/32 173.194.39.158/32 50.22.197.221/32

OGUZ

engelleme yaptığınız kural doğru. engellenmemesini istediğiniz kişiler için oluşturduğunuz kuralın fotosu yok ?

beyazsapka

Oğuz bey,
o kuralı sildim şu anlık. bu kural aktif ve en üste olduğu halde facebooku hala engellemiyor. şimdi lan sekmesinde 3 kural var. biri default olarak pfsense in 80 portu için 2.sırada facebook kuralı 3.sırada ise tüm lana verilen engellemesiz kural. ama facebook kuralına takılmıyor.

technical

beyazsapka arkadaş
1-öncelikle yetkili olan grup a ip aralığı belirtiyorsun bunun için aliases kullanmalısın
2- gruba firewall rule ekliceksin (resim1)
3- Proxy filter den target category yapacaksın ona engellemek istemediğin siteleri gireceksin bunları yetkililer için ayarda gerek bakınız (resim2)
4- Proxy filter den group acl ile yetkililere ip aralığına göre fitre izini vereceksin çözümün bu kadar (resim3)

Kolay gelsin


beyazsapka

technical kardeş,
config.xml deki facebook a ait adresleri text olarak paylaşabilir misin? ya hadi bu facebook için bir sürü soyal paylaşım sistesi var :) hepsinin bu şekilde iplerini bulmak zor iş. farklı bir yöntemi olmalı bunun. bu kadar zor olmamalı diye tahmin ediyorum.

technical

@beyazsapka:

technical kardeş,
config.xml deki facebook a ait adresleri text olarak paylaşabilir misin? ya hadi bu facebook için bir sürü soyal paylaşım sistesi var :) hepsinin bu şekilde iplerini bulmak zor iş. farklı bir yöntemi olmalı bunun. bu kadar zor olmamalı diye tahmin ediyorum.

tabiki bir site yardımı ile ayrıntılı whois almıştım baya önce ama siteyi hatırlamıyorum şu an.

buyur config dosyasından aliases e ait olan bölüm

		 <alias><name>facebook_network</name>

<address>69.171.224.0/19 74.119.76.0/22 204.15.20.0/22 66.220.144.0/20 69.63.176.0/20 173.252.64.0/18 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 66.220.144.0/20 66.220.144.0/21 66.220.149.11/16 66.220.152.0/21 66.220.158.11/16 66.220.158.11/24 69.63.176.0/21 69.63.176.0/24 69.63.184.0/21 69.171.224.0/20 69.171.224.37/16 69.171.229.11/16 69.171.239.0/24 69.171.240.0/20 69.171.242.11/16 69.171.255.0/24 173.252.64.0/19 173.252.70.0/24 173.252.96.0/19 204.15.20.0/22</address>

			<type>network</type>
			<detail></detail></alias> 

beyazsapka

Teşekkür ederim.
Evet bu ipler işe yaradı. şimdi twitter , goole+, freehandfeed vs.. :) bunlarıda engellemek lazım.

OGUZ

pfsense ping host bölümünden yada kendi pcnizden nslookup komutu ile ilgili sitelerin dnslerini sorgulayabilirsiniz.

Örnek windows ortamı : başlat+çalıştır+cmd+enter

nslookup yaz enter bas

www.twitter.com yada twitter.com yani sorgulamak istediğin sitenin adı

dns çözümlemesi yaptıktan sonra çıkan dns bilgileri ile aliases oluştur ve aynı diğer işlemler gibi yasakla

beyazsapka

oğuz bey,
ping ile normal 80 den giden ipleri getiriyor. bize lazım olan twitter ın htts ipleri. nslookup ile çıkan 3-4 ip var ve onları ekledim fakat http ye zaten takılıyor, ama https e takılmıyor. :)

OGUZ

http://centralops.net/co/ adresine gir

Domain Dossier bölümüne ilgili sitenin adresini yaz. Tüm ip bloklarını listeler ayrıca, çıkan açıklmanın en alt kısmında

Network Whois record bölümü var tüm detaylarına bakabilirsin

tuzsuzdeli

@OGUZ:

ilk önce pass geçmek istediğin ip blokları için bir aliases oluştur. daha sonra Lan kısmındaki kuralın üstünde olması kaidesi ile yeni bir kural oluştur ve PASS seç. pass geçilmesini istediğin iplerin aliases ismini ilgili bölüme gir.

Bu tip yapılandırmaları (yani belli makineler dışında tüm networke birşeyi yasaklama) iki kural ile yapmanızı tavsiye etmem. Böyle 1-2 tane kural çifti oluşturunca ortalık kalabalıklaşıyor ve karışıyor bence.

Tek satırda şöyle çözebilirsiniz.
Yasaksız makineler için Oğuz Bey'in dediği gibi bir Alias oluşturup, Block kuralı yazarken, source address kısmına aliasını ekleyip, source kısmındaki NOT kutucuğunu işaretleyin.

Böylece tek block kuralı ile işi bitirmiş olursunuz.

Ekte örnek görüntü var. Exchange sunucusu dışında dışarıya SMTP portu kapalı.