Wpad Firefox Problemi



  • Merhaba Arkadaşlar,

    DHCP den wpad ayarı yaptım. Explorer ve Chrome otomatik proxy ayarlandığında gayet düzgün çalışıyor. Ancak Firefox otomatik proxy yapıldığında çalışmıyor. Bu problemi çözen var mı?



  • Firefox seçeneklerden otomatik proxy sunucusunu tanı işaretli mi ?




  • evet bunu yaptım, ancak yine olmadı.



  • @cenkata:

    evet bunu yaptım, ancak yine olmadı.

    Bende wpad yapılandırması kullanıyorum hiçbir sorunla karşılaşmadım.

    yapılandırmanıza ait ayarların resmini paylaşırsanız belki daha çok yardımcı olabilirm.



  • function FindProxyForURL(url, host)

    {

    // proxy'e yonlendir

    var proxy_yes = "PROXY 10.0.0.2:8080";

    var proxy_no = "DIRECT";

    if (shExpMatch(url, "http://192.168.2.230*")) { return proxy_no; }

    //if (shExpMatch(url, "http://1.1.1.71*")) { return proxy_no; }

    // Proxy if PC is on local LAN

    if (isInNet(myIpAddress(), "10.0.0.0", "255.255.255.0"))

    { return "PROXY 10.0.0.2:8080"; }

    { return "DIRECT"; }

    }

    wpad.dat şeklinde dhcp 252 şeklinde ekledim. dediğim gibi firefox proxy çekemedi.



  • function FindProxyForURL(url, host)
    
    {
    
    if (shExpMatch(url, "http://192.168.2.230*")) {return "DIRECT";}
    if (isInNet(myIpAddress(), "10.0.0.0", "255.255.255.0")) { return "PROXY 10.0.0.2:8080"; }
    else { return "DIRECT"; }
    
    }
    

    bide bu şekilde deneyiniz.



  • Öncelikle ilgilendiğin için teşekkürler.

    Vermiş olduğunuz scripti wpad.dat yaptım usr/local/www klasörüne attım. LAN Dhcp den 252 - text - http://10.0.0.2/wpad.dat şeklinde ekledim. Ancak yine firefox' da çalışmıyor. Benim bilgisayarın firefoxundamı dedim sorun farklı makinada denedim yine yok. uzamtıyı .da .pac olarak da ekledim yine yok. Wpad' imi okuyamıyor dedim. firefox un proxy ayarlarından otomatik vekil sunucu ayarlama URL si kısmına http://10.0.0.2/wpad.dat yazdım çalıştı. Ancak bu ağın vekil sunucusunu kendiliğinden tanı kısmını işaretleyince çalışmıyor. Başka ne yapabilirim? :-\

    Bu arada http://support.mozilla.org/tr/questions/928305 burada soru cevap yapmışlar fakat çözülememiş. ie kullanmıyorum, kullandırmıyorum. :)



  • yanlış bilmiyorsam firefox wpad için dhcp değil dns forwarder kullanıyor, su linki inceleyin

    https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid



  • Technical arkadaşımız hali hazırda kullandığını yazmış. Bende olayın farkındayım mozilla' nın kendi forumunda tartışılmış sonuç alınamamış. Pfsense proxy üzerinden filtreleme yaptığı için bu sorunu çözmek şart gibi duruyor. Opera' ya bakacak olursak wpad desteklemiyor. Safari ve Chrome, İe den proxy çekiyor sorun yok. Bunun çözümü yoksa hotspot için blacklist kullanımı sıkıntıya giriyor. Bu sorun çözülmeden kimse pfsense tam 5651 uyumludur demesin bence. http://www.tib.gov.tr/tr/tr-menu-32-icerik_filtreleme.html



  • Wpad ile 5651 tam uyumu bana açıklayabilir misiniz?
    Tüm yasa metninde herhagi bir yerde proxy yada proxy ile alakalı bir metin yada bu anlamları içeren cümle yok ki?



  • içerik filtrelemek için proxy kullanıyorsun, dolayısı ile hotspot kullanıcılara proxyi elle giremeyeceğine göre wpad ile otomatik dağıtman gerekiyor. 80 portunu çözersin bir şekilde ama 443 sıkıntıya girer. Tam uyumlu derken ip ve mac çözülmüştü zaten sağolsun arkadaşlar emek verip derlemişler.



  • 5651, sizden sadece ip numarası talep etmiyor mu ?
    web logu istiyorlar mı ki ?



  • @tuzsuzdeli:

    5651, sizden sadece ip numarası talep etmiyor mu ?
    web logu istiyorlar mı ki ?

    Sadece şahşi düşüncesi galiba? Yoksa dhcp den başka birşey istemiyor 5651…



  • arkadaşlar öncelikle iş yoğunluğundan geç cevap verdiğim için özür diliyorum.

    web log' u istemiyorlar. Blacklist kullanın diyorlar.

    Göndermiş olduğum link' de http://www.tib.gov.tr/tr/tr-menu-32-icerik_filtreleme.html içerik filtreleme diyor.

    04/05/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun 7 inci maddesinin 2 inci fıkrası, “Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.”,

    İçerik filtreleme browser' a proxy girmeden yapılabiliyor mu? Ben mi yanlış biliyorum.



  • İçerik filtrelemeyi zaten, servis sağlayıcınız yapıyor. O noktada yükümlülük onlarda.
    Eğer siz de içeride bir içerik filtreleme yapacaksanız ki bu aynı zamanda log'da tutmaya başlamanız anlamına geliyor,
    herşeyin hukuki ve etik olması için, mutlaka çalışanlarınıza, internet trafiklerinin kayıt altına alındığını yazılı olarak bildirmek zorundasınız.
    Ayrıca logları inceleme hakkınız da yoktur. Siz kayıt altına alırsınız. Gerekli görüldüğü takdirde, ilgili hukuki makam inceleme yapar.



  • Yükümlülük onlarda ise; Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür. Bu 2 nci fıkra, temel ile dursunun fıkrası değil her halde  :)

    filtreleme yapmak log tutacağımız anlamına gelmiyor. lightsquid ayrı paket sonuçta. Ben içerik log' u tutulması gerektiğini söylemedim. Kanunda blacklist kullanımından bahsetmiş. Aynı zamanda ben çalışanları değil hostspot kullanıcılardan bahsediyorum. Çalışanlar bir şekilde halledilebilir.

    Telekom' un içerik filtrelemesi dns ile aşıldığı için zannediyorum kurumlarında filtreleme yapılmasını istemişler. Sorumluluğu da kuruma atmışlar. Saçmaklık ötesi olduğunun farkındayım. Lakin böyle bir kanun hükmü varsa ve açık açık bunu söylüyorsa, iş o raddeye geldiğinde devleti bilirsiniz 10 liralık borcunuz varsa onu sizden almak için gerekirse 10000 lira öder. Yine sizden onu alır.

    Konuya dönecek olursak hotspot için 5651 sayılı kanunun 7 nci maddesinin 2 inci fıkrasına göre wpad browser sorununun çözülmesi gerekmektedir. Gayrı hüküm yüce pfsense derleyicilerinindir.  ;D  :P



  • Öncelikle kusura bakmayın.
    Ben içerik sağlayıcılar ile kullanım sağlayıcıları birbirine karıştırmışım.

    Söylediğiniz üzere bizim iki tane yükümlülüğümüz var. Birisi DHCP loglarını imzalı bir şekilde kaydetmek.
    Diğeri ise zaralı içeriği engellemek.
    Ancak bu zararlı içerik konusunun ucu çok acık.

    Buradan sonrası kendi yorumumdur,
    Yönetmelikte

    İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 3 üncü maddesinin (d) bendi, “Filtreleme yazılımı: İnternet ortamında web adresi, alan adı, IP adresi, kelime ve benzeri kriterlere göre erişimi engelleyen yazılımları ifade eder.”,

    4 üncü maddesinin birinci fıkrasının (a) bendi, “İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır: a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak”,

    5 inci maddesinin b bendinde “Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.” © bendinde “Başkanlık tarafından onaylanan içerik filtreleme yazılımını kullanmak”,

    9 uncu maddesinin (g) bendi, “İşyerlerindeki bilgisayarlarda uyuşturucu veya uyarıcı madde alışkanlığı, intihara yönlendirme, cinsel istismar, müstehcenlik, fuhuş, şiddet, kumar ve benzeri kötü alışkanlıkları teşvik eden ve 18 yaşından küçüklerin psikolojik ve fizyolojik gelişimine olumsuz etkisi olabilecek oyunlar oynatılamaz”,

    gibi hükümler içeriyor.

    Yine ek olarak
    Bu itibarla, Ticari amaçlı İnternet Toplu Kullanım Sağlayıcılar Telekomünikasyon İletişim Başkanlığınca onaylanan filtre programlarını kullanmaları gerekmektedir.

    Yani ben yoruma açık olarak diyorum ki (şirket kullanıcılarıma interneti paylaştıran biri olarak) :

    Zaten ticari amaçlı bir internet sağlayıcısından (örn:Ttnet) hizmet alıyorum. Ve zaten bu sağlayıcı, başbakanlığın onayladığı vesaire bir filtreleme yazılımı kullanıyor.

    1- Bundan aldığım filtrelemenin üzerine ben neden filtreleme yapayım ? Zaten trafik, filtrelenmiş.
    2- İçerideki bir kullanıcının mevcut ttnet filtresini aşması benim sorumluluğumda neden olsun ? Bir kullanıcı DNS değiştirip yasak bir siteye girdiğinde, ben sorumlu tutulabilir miyim ? Ya da şu anda DNS değiştirip ya da başka yollarla yasak sitelere giren her bir kullanıcısı için ttnet sorumlu mu tutulmakta ?

    Yani biz ticari bir servis sağlayıcı kullanmakla zaten, başbakanlık tarafından onaylı bir filtreleme yazılımı şemsiyesi altında olduğumuzdan, bu gerekliliği sağlamış olmuyor muyuz ?



  • function FindProxyForURL(url, host)

    {
    return "PROXY 10.0.0.2:8080";
    }

    bence yukarıdaki gibi basit bir script ile başlayın,

    squid non-transparent olsun

    dhcp server ve dns forwarder ayarlarından https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid linkinde belirtilen hususları harfiyen uygulayın

    ben firewall da proxy ip'sine gelen ve giden trafiğe izin veren yeni bir kural ekledikten sonra firewall lan rules kısmında en altta bulunan ve tüm trafiğe izin veren kuralı block yapacak şekilde değiştirdim.böylece proxy'den geçmeyen hiç bir bağlantı çalışmaz hale geldi

    firefox da proxy ayarlarında üstten ikinci sıradaki seçeneği işeretledim bu seçenek proxy'i otomatik olarak tespit edip kullanıyor
    3. sıradaki seçenek proxy'i tespit etmediği için direk bağlantı kurmaya çalışsa da firewall da yukarıda açıkladığım engellemeye takılıyor

    en güzeli ise proxy non transparent olduğu için domain düzeyinde https (SSL) bağlantılarını da filtreleme imkanı oluyor



  • tuzsuzdeli, öncelikle merhaba

    ana internet sağlayıcıları da nasıl olsa bizimle(sistem yöneticileri) aynı sorumluluğa sahip, onlar yaptığına göre benim yapmama gerek yok, sorumluluk bana ait değil demek bana çok mantıklı gelmedi doğrusu, sonuçta bu bir kanun ve herhangi bir şekilde internet dağıtan herkesi ilgilendiriyor ve sorumluluk yüklüyor.

    yasal bir takibatta ana servis sağlayıcı bu yükümlülüğü yerine getirmediği için cezayla karşılaşacak aynı şekilde sizde cezai sorumluluk altına gireceksiniz, çünkü yasa nezdinde en az onun kadar sorumlusunuz.

    Ki bu bence çok doğru bir yaklaşım, sonuçta yasa koyucunun tek derdi internet sağlayıcılara ceza yazmak değil, yasal takibatta ihtiyaç duyduğu bilgilere ulaşımı garanti altına almak, internet servis sağlayıcısı yapmıyorsa sistem yöneticisi yapsın ve ihtiyac duyulan bilgiye ulaşılabilsin istiyor



  • @mendilli:

    function FindProxyForURL(url, host)

    {
    return "PROXY 10.0.0.2:8080";
    }

    bence yukarıdaki gibi basit bir script ile başlayın,

    squid non-transparent olsun

    dhcp server ve dns forwarder ayarlarından https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid linkinde belirtilen hususları harfiyen uygulayın

    ben firewall da proxy ip'sine gelen ve giden trafiğe izin veren yeni bir kural ekledikten sonra firewall lan rules kısmında en altta bulunan ve tüm trafiğe izin veren kuralı block yapacak şekilde değiştirdim.böylece proxy'den geçmeyen hiç bir bağlantı çalışmaz hale geldi

    firefox da proxy ayarlarında üstten ikinci sıradaki seçeneği işeretledim bu seçenek proxy'i otomatik olarak tespit edip kullanıyor
    3. sıradaki seçenek proxy'i tespit etmediği için direk bağlantı kurmaya çalışsa da firewall da yukarıda açıkladığım engellemeye takılıyor

    en güzeli ise proxy non transparent olduğu için domain düzeyinde https (SSL) bağlantılarını da filtreleme imkanı oluyor

    Söyledikleriniz çok mantıklı bunu deneyeceğim, yalnız şu dhcp server ve dns forwerder kısmını anlamadım bi örnek varsa gönderebilir misin?

    Ben de squidguard kullanmadan bir yol düşündüm ama saçma gelebilir. Daha denemedim ama deneyeceğim.

    Blacklist' i indirdim extrack ettim. Mesela chat yazan domain dosyasını editledim. Alt alta domainler dizildi. Chat dosyasında sadece 15000 domain var :)

    Sonra aliases kısmından ip den host oluşturdum. Oluşturduğum host' a domainler girdim. Ardından backup dan sadece aliases' ın backup ını aldım. conf dosyasını editledim aşağıdaki çıktı.

    Sub lime text ile alt alta dizili domainleri yan yana aşağıdaki gibi oluşturup, aşağıdaki listeye ekleyip. restore edeceğim. Tüm kategoriler için aliases oluşturup, restore edilirse

    Lan dan destination ekleyip 443 ve 80 portlarına block konularak, en tepede iki rule ile bu işi bitirebiliriz. olurluluğu var mıdır sizce? ::)

    <aliases><alias><name>chat</name>

    <address>www.facebook.com facebook.com twitter.com 031903.com</address>

    <descr><type>host</type>
    <detail></detail></descr></alias></aliases>



  • benim önerdiğim sistemle squidguardı hem http hem de https için rahatlıkla kullanabilirsiniz, bu kadar zahmete girmenize gerek kalmaz

    dhcp server ve dns forwarder menüsünün host overries kısmına resimlerdeki gibi kendi ip lerinize göre ayarları girin,






  • @tuzsuzdeli:

    Öncelikle kusura bakmayın.
    Ben içerik sağlayıcılar ile kullanım sağlayıcıları birbirine karıştırmışım.

    Söylediğiniz üzere bizim iki tane yükümlülüğümüz var. Birisi DHCP loglarını imzalı bir şekilde kaydetmek.
    Diğeri ise zaralı içeriği engellemek.
    Ancak bu zararlı içerik konusunun ucu çok acık.

    Buradan sonrası kendi yorumumdur,
    Yönetmelikte

    İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 3 üncü maddesinin (d) bendi, “Filtreleme yazılımı: İnternet ortamında web adresi, alan adı, IP adresi, kelime ve benzeri kriterlere göre erişimi engelleyen yazılımları ifade eder.”,

    4 üncü maddesinin birinci fıkrasının (a) bendi, “İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır: a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak”,

    5 inci maddesinin b bendinde “Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.” © bendinde “Başkanlık tarafından onaylanan içerik filtreleme yazılımını kullanmak”,

    9 uncu maddesinin (g) bendi, “İşyerlerindeki bilgisayarlarda uyuşturucu veya uyarıcı madde alışkanlığı, intihara yönlendirme, cinsel istismar, müstehcenlik, fuhuş, şiddet, kumar ve benzeri kötü alışkanlıkları teşvik eden ve 18 yaşından küçüklerin psikolojik ve fizyolojik gelişimine olumsuz etkisi olabilecek oyunlar oynatılamaz”,

    gibi hükümler içeriyor.

    Yine ek olarak
    Bu itibarla, Ticari amaçlı İnternet Toplu Kullanım Sağlayıcılar Telekomünikasyon İletişim Başkanlığınca onaylanan filtre programlarını kullanmaları gerekmektedir.

    Yani ben yoruma açık olarak diyorum ki (şirket kullanıcılarıma interneti paylaştıran biri olarak) :

    Zaten ticari amaçlı bir internet sağlayıcısından (örn:Ttnet) hizmet alıyorum. Ve zaten bu sağlayıcı, başbakanlığın onayladığı vesaire bir filtreleme yazılımı kullanıyor.

    1- Bundan aldığım filtrelemenin üzerine ben neden filtreleme yapayım ? Zaten trafik, filtrelenmiş.
    2- İçerideki bir kullanıcının mevcut ttnet filtresini aşması benim sorumluluğumda neden olsun ? Bir kullanıcı DNS değiştirip yasak bir siteye girdiğinde, ben sorumlu tutulabilir miyim ? Ya da şu anda DNS değiştirip ya da başka yollarla yasak sitelere giren her bir kullanıcısı için ttnet sorumlu mu tutulmakta ?

    Yani biz ticari bir servis sağlayıcı kullanmakla zaten, başbakanlık tarafından onaylı bir filtreleme yazılımı şemsiyesi altında olduğumuzdan, bu gerekliliği sağlamış olmuyor muyuz ?

    Yanlış anlaşılmalar olur kardeşim, yaklaşımın yeter. Ucu açık demekte haklısın, aslında bende tam o konuya değinecektim. Tib, imzalama programının download' unu vermiş kendi sitesinde ne güzel. Yaaa kardeşim blacklistide oraya koysana indirelim. şimdi gidip pfsense yabancı blacklisti koyacağız. Sonra blacklist varmı? var, yani kuru sıkı misali. Şimdi ankarayı arayıp kardeşim blacklisti verin desem ne diyecekler acaba. Kendileri biliyor mu acaba, herkez kendi kendine blacklist hazırlayıp güncelleme bedelleri alıyor bence yok yere, bunun bir standardı olması gerekiyor.



  • @mendilli:

    benim önerdiğim sistemle squidguardı hem http hem de https için rahatlıkla kullanabilirsiniz, bu kadar zahmete girmenize gerek kalmaz

    dhcp server ve dns forwarder menüsünün host overries kısmına resimlerdeki gibi kendi ip lerinize göre ayarları girin,

    teşekkürler mendilli, ancak firefox' da çalışmıyor malesef, bir yerde ben hata yapıyorum ama bilemedim.










  • bunlarda diğer ayarlar








  • sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,

    1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
    2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
    3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
    4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
    5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirin



  • @mendilli:

    sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,

    1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
    2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
    3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
    4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
    5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirin

    dediklerinin hepsini yaptım ve çalıştı. mendilli ilgin için çok teşekkürler. çok zahmet oldu sana.

    saygılar.



  • @cenkata:

    @mendilli:

    sorun firewall kurallarınızın yanlış olmasından kaynaklanıyor gibi,proxy port olarak 8080 seçmiş olduğunuzu varsayarak, öncelikle deneme amacıyla squid için default portu yani 3128'i seçin,

    1- sistem-general bölümünde seçtiğiniz domain name ile dns forwarder host overrides kısmında oluşturduğunuz kuralın domain name'i aynı mı (pfsensewpad.com)
    2-firewall rules kısmında floating için oluşturduğunuz kuralları silin
    3- firewall-lan sekmesinindeki 53 ve 8080 nolu portlar için oluşturduğunuz kuralları silin,
    4- lannet'ten wan'a 53,80 ve 443 portları ıçin block kuralları oluşturun,
    5- en altta olacak şekildede kurulum aşamasında default olarak oluşturulmuş olması gerken ve disabled olarak görünen default allow lan to any kuralını aktifleştirin

    dediklerinin hepsini yaptım ve çalıştı. mendilli ilgin için çok teşekkürler. çok zahmet oldu sana.

    saygılar.

    estagfurullah yardımım dokunduysa ne mutlu, güle güle kullanın