HTTPS



  • И еще 1 вопрос:
    как заблокировать в пфсенсе хттпс определенные сайты?
    если по айпи- например вк получается, а фэйсбук нет ( да и то ответ, что недоступно сразу не приходит - идет процесс загрузки и потом, через пару мин ток отваливается ).
    Попробовал в фаерволле прописать правило ( например facebook.com www.facebook.com на порт 443 или любой - блокировать  ( видео на ютюбе было ) - не помогает тоже). WCAD видел..пока не пробовал и там еще много чего курить) мб есть проще? Прокся прозрачная.



  • Включай https прокси, ставь сертификаты на машины клиентов, вводи в доверенные корневые, и затем реж сайты сквидгуардом.
    Только вот со скайпом будет трабла….



  • @flagman:

    Включай https прокси, ставь сертификаты на машины клиентов, вводи в доверенные корневые, и затем реж сайты сквидгуардом.
    Только вот со скайпом будет трабла….

    Можно ссыль на какой-нить гайд, если есть под рукой?



  • Начни здесь:
    https://forum.pfsense.org/index.php?topic=72528.0
    Разберись с сертификацией





  • @flagman:

    Начни здесь:
    https://forum.pfsense.org/index.php?topic=72528.0
    Разберись с сертификацией

    Нус, поехали вопросы, прошу прощения, если порой будут оч нубские) После нижеописанных действий не заходит вообще на хттпс сайты.
    Основу брал с вашей ссылки и выполнил след. действия:

    1. Follow the guide's instructions for creating  and installing an internal certificate authority
    2. Goto 'Services ->Proxy Server' and Check 'HTTPS/SSL interception'
    3. Set 'SSL Intercept interface(s):' to 'loopback'  &  'SSL Proxy port:' to '3129'. Then Select the CA you created (For most it should already be selected).
    4.  (squid-dev 3.3.10 pkg 2.2.2 specific) Scroll to 'Custom Settings/Custom ACLS (Before_Auth)' section and Add 'always_direct allow all; ssl_bump server-first all' or your preferred ssl_bump setting there. (This was added automatically in previous packages. It's removal is likely a bug)(This is needed for manually proxied connections as well)
    5. Goto 'Firewall -> NAT'  and Under 'Port Forward' Click the Plus Button to add a new entry.
    6. Set
    Interface: LAN  |  Protocol: TCP
    Source:  any any (you may wish to set this to a specific ip or alias. At least until you confirm it's working properly)
    Destination: NOT (Check this)
        Choose 'LAN address' OR 'Single Host/alias' and add pfsense's lan ip (Else squid will lock you out of pfsense because it doesn't like pfsense's self signed certificate, you may also wish to add pfsense's ip in to squid's bypass list)
    Destination Port: from HTTPS to HTTPS
    Redirect target IP: 127.0.0.1  |  Redirect target port: (other)  3129

    Скрины прикладываю. В прокси сервере внизу прописал в Custom ACLS (Before_Auth) always_direct allow all; ssl_bump server-first all.  Сертификат созданный добавил на компьютер, с которого пробовал зайти на хттпс сайты в доверенные центры сертификации.
    и нубский вопрос..а апач я должен был ставить? о0








  • 2 Veon
    Могу ошибаться ,  но инструкция для связки Diladele + pfsense ?
    У Вас squid - непрозрачный ?



  • @werter:

    2 Veon
    Могу ошибаться ,  но инструкция для связки Diladele + pfsense ?
    У Вас squid - непрозрачный ?

    нет, внизу специально человек пишет инструкцию для прозрачного прокси и говорит ( см. на 1 странице самый нижний пост от firefish5000), что диладеле он сюда не привинчивал и не дает гарантий, что оно будет работать, но скорее всего должно. Меня и интересует не фильтрация контента, а фильтрация доменов хттпс)



  • https://forum.pfsense.org/index.php?topic=90365.msg499790#msg499790
    Скрин посмотрите.

    нет, внизу специально человек пишет инструкцию для прозрачного прокси и говорит ( см. на 1 странице самый нижний пост от firefish5000), что диладеле он сюда не привинчивал и не дает гарантий, что оно будет работать, но скорее всего должно. Меня и интересует не фильтрация контента, а фильтрация доменов хттпс)

    Дело в том, что когда Вы в настройках сквида ставите галку , вкл. фильтрацию HTTPS, то он автоматом начинает заворачивать на прокси всё что идет на 443\TCP во вне. По этому , создавать еще и правило в NAT для заворачивания трафика на прокси не надо. Это как минимум. Ну или я чего-то не понимаю  :'(



  • Слетел заодно ClamAV, так что не позволял никуда заходить) пока решил отключением. Потом смотреть буду.
    В общем спасибо, помогло. Правда в настройках пришлось выставить в таблице все 2 пункта, во 2 таблице - только верхний.



  • @Veon:

    Слетел заодно ClamAV, так что не позволял никуда заходить) пока решил отключением. Потом смотреть буду.
    В общем спасибо, помогло. Правда в настройках пришлось выставить в таблице все 2 пункта, во 2 таблице - только верхний.

    ClamAM - зло в данном случае. Не стоит его использовать.



  • @werter:

    ClamAM - зло в данном случае. Не стоит его использовать.

    Спасибо) то я уже начал читать что за ошибки возникают и как их править. Ибо кламав мне тупо блокирует почти весь доступ к сайтам ( и возможно что то еще ) - думал это штатные ситуации