Pfsense Https Site Bloklama



  • Benim gibi internet cafe sahiplerinin en büyük sorunu https siteler olmakta. Kullandığımız filtre programları https sitelerini engelleyememekte. Pfsense.Org başta bir kaç sitede bu https siteleri engellemenin yolunu araştırdım. Sonund bir yöntem buldum. Yine burda anlatılanlar gibi. Aliass ve Rules. Aliass oluştururken hep Network(s) yani IP bazlı engelleme anlatılmış. Günümüz cloud host zamanı olunca IP ler engelleme ile bitmiyor. Benim yaptığımda aynı yöntem ancak Aliass da Network(s) yerine Host(s) seçerek domain ismi yazmak oldu. Https kullanan vtunnel in engellenmesi yetti bana

    Pfsense sürümü : 2.0.3 RELEASE
    Kullanılan Paketler : Squid ve SquidGuard

    Yapılacaklar:
    Firewall dan Aliases seçiyoruz.
    Yeni Aliases eklemek için gerekli buona tıklıyoruz.

    Name : httpsblok (siz istediğinizi yazın)
    Description : Https site blok (ister bişeyler yazın iste boş bırakın)
    Type : Host(s)
    Host(s) :
    IP : vtunnel.com
    Description : vtunnel

    Siz engellemek istediğiniz siteleri altlara ekleyebilirsiniz. Sisteleri yazdıktan sonra kayıt edip çıkıyoruz.

    Aliases oluşturduktan sonra Firewall -> Rules -> LAN a tıklıyoruz.
    En üstteki default kuralın altına yeni kural ekliyoruz.

    Action : Block
    İnterface : Lan
    Protocol : TCP/UDP
    Source : Any
    Destination : Single host or network seçiyoruz ve oluşturduğumuz aliasesin adını buraya giriyoruz. Zaten harfleri yazmaya başlayınca kendi gelecektir.
    Destination Port Range : from HTTPS seçiyoruz to da HTTPS olacaktır otomatik olarak.
    Description : yazın kafanıza göre bişeyler.

    Kayıt edip çıkın. Hepsi bu. İnşalah işinize yaramış olur.



  • Kimse birşey yazmamış. Denenmemiş olabilir diye düşünüyorum. Çünkü bu şekilde gayet sağlıklı çalışıyor. twitter ve youtube'yi bu yöntemle engelledim ve girmiyor.
    Aynı şekilde https facebook için yazdığım ip kuralını pasif edip bu şekilde bir aliases oluşturdum ve https facebook'a da girmiyor.

    Mantıken facebook'un ipleri değişse bile kuralın çalışması gerekiyor.



  • drmavi, öncelikle çalışmanız için teşekkürler

    ancak yönteminizde şöyle bir sorun var, çoğu sistem yöneticisi kullanıcı bazlı filtreleme yapmak istiyor, yani (a) kullanıcısı https://….... sitesine girebilirken, (b) kullanıcısı giremesin istiyor.sizin çözümünüzde bu sadece ip bazında mümkünken kullanıcı bazında (captiveportal yada proxy authentication) mümkün değil



  • @Liderweb bilgi için teşekkürler bendede çalıştı vtunnel girmiyor ama facebook için denemedim açıkçası çünkü google aramasında facebook un https li adresi çıkıyor millet o linke tıklarsa açılmaz internet yok der vesaire ama en azından vtunnel girmiyor ama facebook u http olarak nasıl olabilir bilemiyorum @drmavi sizde kafede mi kullanıyorsunuz facebook u nasıl ayarladınız kolay gelsin



  • @mendilli:

    drmavi, öncelikle çalışmanız için teşekkürler

    ancak yönteminizde şöyle bir sorun var, çoğu sistem yöneticisi kullanıcı bazlı filtreleme yapmak istiyor, yani (a) kullanıcısı https://….... sitesine girebilirken, (b) kullanıcısı giremesin istiyor.sizin çözümünüzde bu sadece ip bazında mümkünken kullanıcı bazında (captiveportal yada proxy authentication) mümkün değil

    dhcp server ile ip leri sabitleyip bu ip lere aliases hazırlanarak lan net yerine ayrı ayrı kural oluşturulabilir bence



  • @cenkata:

    @mendilli:

    drmavi, öncelikle çalışmanız için teşekkürler

    ancak yönteminizde şöyle bir sorun var, çoğu sistem yöneticisi kullanıcı bazlı filtreleme yapmak istiyor, yani (a) kullanıcısı https://….... sitesine girebilirken, (b) kullanıcısı giremesin istiyor.sizin çözümünüzde bu sadece ip bazında mümkünken kullanıcı bazında (captiveportal yada proxy authentication) mümkün değil

    dhcp server ile ip leri sabitleyip bu ip lere aliases hazırlanarak lan net yerine ayrı ayrı kural oluşturulabilir bence

    ben ip yada mac adresi bazlı olarak yapılacak filtrelemeden değil kullanıcı bazlı filtrelemeleri kastetmiştim, söylediğiniz sistemle aynı bilgisayar üzerinde bir kullanıcıya bir bağlantıyı yasaklarken başka bir kullanıcıya serbest yapamazsınız



  • @kalender:

    @Liderweb bilgi için teşekkürler bendede çalıştı vtunnel girmiyor ama facebook için denemedim açıkçası çünkü google aramasında facebook un https li adresi çıkıyor millet o linke tıklarsa açılmaz internet yok der vesaire ama en azından vtunnel girmiyor ama facebook u http olarak nasıl olabilir bilemiyorum @drmavi sizde kafede mi kullanıyorsunuz facebook u nasıl ayarladınız kolay gelsin

    Facebook eklerseniz onada girmez. Benim engellemek istediklerim başta vtunnel baştya olmak üzere https kullanan porno sitelerdi. Bu sistem ile bunuda çalıştırmış oldum.

    Kullanıcı bazlı hiç denemedim internet cafede kullandığım için öyle bir ayrıma gerek görmedimde. Ancak DHCP server kısmından makinalara sabit IP atayıp rulesten kural eklenirken client ip ile belki eklenebilir. Denemek lazım. Benim yaptığım web sitelerinin IP adresleri ile uğraşmak yerine tek hamlede kesmekti oda oldu :)



  • @mendilli:

    drmavi, öncelikle çalışmanız için teşekkürler

    ancak yönteminizde şöyle bir sorun var, çoğu sistem yöneticisi kullanıcı bazlı filtreleme yapmak istiyor, yani (a) kullanıcısı https://….... sitesine girebilirken, (b) kullanıcısı giremesin istiyor.sizin çözümünüzde bu sadece ip bazında mümkünken kullanıcı bazında (captiveportal yada proxy authentication) mümkün değil

    Öncellikle çalışmayı yapan Liderweb arkadaşıma teşekkürünüzü iletiyorum. Benim gibi kullanıcı bazlı engelleme veya izin verme seçenekleri kullanmayanlar için çok güzel bir yöntem oldu.

    Şuan için aynı şekilde birçok siteyi engelledim.

    Tabi mendilli'nin dediği gibi kullanıcı bazlı kullanımda sıkıntı olacaktır.

    Ben kurumumuzda kullanıcı bazlı bir sistem kurmadığım için çok işime yarıyor.

    Tekrardan teşekkürler Liderweb



  • Engellediğiniz siteleri buraya yazarsanız belki bizimde işimize yarayabilir.





  • @Liderweb:

    Benim gibi internet cafe sahiplerinin en büyük sorunu https siteler olmakta. Kullandığımız filtre programları https sitelerini engelleyememekte. Pfsense.Org başta bir kaç sitede bu https siteleri engellemenin yolunu araştırdım. Sonund bir yöntem buldum. Yine burda anlatılanlar gibi. Aliass ve Rules. Aliass oluştururken hep Network(s) yani IP bazlı engelleme anlatılmış. Günümüz cloud host zamanı olunca IP ler engelleme ile bitmiyor. Benim yaptığımda aynı yöntem ancak Aliass da Network(s) yerine Host(s) seçerek domain ismi yazmak oldu. Https kullanan vtunnel in engellenmesi yetti bana

    Pfsense sürümü : 2.0.3 RELEASE
    Kullanılan Paketler : Squid ve SquidGuard

    Yapılacaklar:
    Firewall dan Aliases seçiyoruz.
    Yeni Aliases eklemek için gerekli buona tıklıyoruz.

    Name : httpsblok (siz istediğinizi yazın)
    Description : Https site blok (ister bişeyler yazın iste boş bırakın)
    Type : Host(s)
    Host(s) :
    IP : vtunnel.com
    Description : vtunnel

    Siz engellemek istediğiniz siteleri altlara ekleyebilirsiniz. Sisteleri yazdıktan sonra kayıt edip çıkıyoruz.

    Aliases oluşturduktan sonra Firewall -> Rules -> LAN a tıklıyoruz.
    En üstteki default kuralın altına yeni kural ekliyoruz.

    Action : Block
    İnterface : Lan
    Protocol : TCP/UDP
    Source : Any
    Destination : Single host or network seçiyoruz ve oluşturduğumuz aliasesin adını buraya giriyoruz. Zaten harfleri yazmaya başlayınca kendi gelecektir.
    Destination Port Range : from HTTPS seçiyoruz to da HTTPS olacaktır otomatik olarak.
    Description : yazın kafanıza göre bişeyler.

    Kayıt edip çıkın. Hepsi bu. İnşalah işinize yaramış olur.

    Merhabalar yönlendirme için teşekkür ederim ancak tüm denemelerime rağmen halen engellemeyi başaramadım http den girmiyor ok ancak https te yine atlatıyor acaba işlemleri yaptıktan sonra bilgisayarı (sunucuyu) yeniden mi başlatmak gerekiyor.

    Birde rule leri ben en üsttekinin bir altına taşıyamıyorum sorun bu olabilir mi?



  • @ipsec16:

    @Liderweb:

    Benim gibi internet cafe sahiplerinin en büyük sorunu https siteler olmakta. Kullandığımız filtre programları https sitelerini engelleyememekte. Pfsense.Org başta bir kaç sitede bu https siteleri engellemenin yolunu araştırdım. Sonund bir yöntem buldum. Yine burda anlatılanlar gibi. Aliass ve Rules. Aliass oluştururken hep Network(s) yani IP bazlı engelleme anlatılmış. Günümüz cloud host zamanı olunca IP ler engelleme ile bitmiyor. Benim yaptığımda aynı yöntem ancak Aliass da Network(s) yerine Host(s) seçerek domain ismi yazmak oldu. Https kullanan vtunnel in engellenmesi yetti bana

    Pfsense sürümü : 2.0.3 RELEASE
    Kullanılan Paketler : Squid ve SquidGuard

    Yapılacaklar:
    Firewall dan Aliases seçiyoruz.
    Yeni Aliases eklemek için gerekli buona tıklıyoruz.

    Name : httpsblok (siz istediğinizi yazın)
    Description : Https site blok (ister bişeyler yazın iste boş bırakın)
    Type : Host(s)
    Host(s) :
    IP : vtunnel.com
    Description : vtunnel

    Siz engellemek istediğiniz siteleri altlara ekleyebilirsiniz. Sisteleri yazdıktan sonra kayıt edip çıkıyoruz.

    Aliases oluşturduktan sonra Firewall -> Rules -> LAN a tıklıyoruz.
    En üstteki default kuralın altına yeni kural ekliyoruz.

    Action : Block
    İnterface : Lan
    Protocol : TCP/UDP
    Source : Any
    Destination : Single host or network seçiyoruz ve oluşturduğumuz aliasesin adını buraya giriyoruz. Zaten harfleri yazmaya başlayınca kendi gelecektir.
    Destination Port Range : from HTTPS seçiyoruz to da HTTPS olacaktır otomatik olarak.
    Description : yazın kafanıza göre bişeyler.

    Kayıt edip çıkın. Hepsi bu. İnşalah işinize yaramış olur.

    Merhabalar yönlendirme için teşekkür ederim ancak tüm denemelerime rağmen halen engellemeyi başaramadım http den girmiyor ok ancak https te yine atlatıyor acaba işlemleri yaptıktan sonra bilgisayarı (sunucuyu) yeniden mi başlatmak gerekiyor.

    Birde rule leri ben en üsttekinin bir altına taşıyamıyorum sorun bu olabilir mi?

    Üsteki rulenin altındaki + işaretine bastınmı o rulenin altında kural oluşur.

    İlk bunu düzenlerken reset atmadan olmuştu bende. Ancak site sayısını çoğaltığımda server resetlemeden aktif olmadı. Serveri resetlemen yeterli. Sorunsuz çalışmakta bu şekilde.



  • @Liderweb:

    @ipsec16:

    @Liderweb:

    Benim gibi internet cafe sahiplerinin en büyük sorunu https siteler olmakta. Kullandığımız filtre programları https sitelerini engelleyememekte. Pfsense.Org başta bir kaç sitede bu https siteleri engellemenin yolunu araştırdım. Sonund bir yöntem buldum. Yine burda anlatılanlar gibi. Aliass ve Rules. Aliass oluştururken hep Network(s) yani IP bazlı engelleme anlatılmış. Günümüz cloud host zamanı olunca IP ler engelleme ile bitmiyor. Benim yaptığımda aynı yöntem ancak Aliass da Network(s) yerine Host(s) seçerek domain ismi yazmak oldu. Https kullanan vtunnel in engellenmesi yetti bana

    Pfsense sürümü : 2.0.3 RELEASE
    Kullanılan Paketler : Squid ve SquidGuard

    Yapılacaklar:
    Firewall dan Aliases seçiyoruz.
    Yeni Aliases eklemek için gerekli buona tıklıyoruz.

    Name : httpsblok (siz istediğinizi yazın)
    Description : Https site blok (ister bişeyler yazın iste boş bırakın)
    Type : Host(s)
    Host(s) :
    IP : vtunnel.com
    Description : vtunnel

    Siz engellemek istediğiniz siteleri altlara ekleyebilirsiniz. Sisteleri yazdıktan sonra kayıt edip çıkıyoruz.

    Aliases oluşturduktan sonra Firewall -> Rules -> LAN a tıklıyoruz.
    En üstteki default kuralın altına yeni kural ekliyoruz.

    Action : Block
    İnterface : Lan
    Protocol : TCP/UDP
    Source : Any
    Destination : Single host or network seçiyoruz ve oluşturduğumuz aliasesin adını buraya giriyoruz. Zaten harfleri yazmaya başlayınca kendi gelecektir.
    Destination Port Range : from HTTPS seçiyoruz to da HTTPS olacaktır otomatik olarak.
    Description : yazın kafanıza göre bişeyler.

    Kayıt edip çıkın. Hepsi bu. İnşalah işinize yaramış olur.

    Merhabalar yönlendirme için teşekkür ederim ancak tüm denemelerime rağmen halen engellemeyi başaramadım http den girmiyor ok ancak https te yine atlatıyor acaba işlemleri yaptıktan sonra bilgisayarı (sunucuyu) yeniden mi başlatmak gerekiyor.

    Birde rule leri ben en üsttekinin bir altına taşıyamıyorum sorun bu olabilir mi?

    Üsteki rulenin altındaki + işaretine bastınmı o rulenin altında kural oluşur.

    İlk bunu düzenlerken reset atmadan olmuştu bende. Ancak site sayısını çoğaltığımda server resetlemeden aktif olmadı. Serveri resetlemen yeterli. Sorunsuz çalışmakta bu şekilde.

    Merhabalar Liderweb önerin üzerine bunuda denedim yani en üstteki kuralın hemen altına ekledim ancak yine başarılı olamadım acaba sorunun sebebi kullandığım sürüm olabilir mi en son sürümü kullanıyorum. 2,1 relase sürümü bilgi verebilir misiniz



  • @ipsec16:

    Merhabalar Liderweb önerin üzerine bunuda denedim yani en üstteki kuralın hemen altına ekledim ancak yine başarılı olamadım acaba sorunun sebebi kullandığım sürüm olabilir mi en son sürümü kullanıyorum. 2,1 relase sürümü bilgi verebilir misiniz

    Hocam 2.1 de pek çok kişi sorun belirtmiş. Bu sorunlar yüzünden ben 2.1 e geçmedim. Belki 2.1 den ötürü olabilir.



  • Ben bulduğum çözümü sizlerle paylaşayım. Tabiki çözümümü de bu forum ve başka forumlarda okuduğum yazıları harmanlayarak yaptım. Bunu 100'e yakın internet kullanıcımın olduğu çalışmış olduğum şirkette uyguluyorum.

    Transparent modda çalışıyorsak https siteleri engellemek imkansız mantığına aykırı zaten. iki farklı alias oluşturdum. ilk olarak facebook'uğun kullandıı ip bloklarını bir araya getiren bir alias oluşturdum. sonrasında engellemek istediğim client'ın ip adresi/adresleri için de bir alias oluşturdum. rules bölümünde https'i bloklayıcı kuralı oluşturup öne getirdikten sonra o kullanıcılarımın https üzerinden de faceye giremediğini gördüm. Eğer 100'e yakın veya fazla client olan sistemde ya LDAP kullanarak ya da ip bazlı filtre yaparak bu işlemleri yaparız. ancak her iki koşulda da değişen bir şey olmayacak diye düşünüyorum. Ben kullanıcılarıma ip sabitlediğimi için bu işlemi ip üzerinden yaptım. LDAP kullanacağım zamanda deneyeceğim….



  • @Liderweb:

    İlk bunu düzenlerken reset atmadan olmuştu bende. Ancak site sayısını çoğaltığımda server resetlemeden aktif olmadı. Serveri resetlemen yeterli. Sorunsuz çalışmakta bu şekilde.

    Reset states diye bir seçenek var, onu kullanmanız yeterli.
    Pfsense'i reboot etmeniz gerekli değil.



  • emeğinize sağlık arkadaşlar