Pfsense 2.2.6 HTTPS/SSL Interception Site eksik açılması



  • Pfsense 2.2.6 kullanıyorum HTTPS/SSL Interception  kullanıyorum sertifika tabanlı ancak www.sahibinden.com wetransfer.com gibi birkaç sitede sayfa yarım yamalak açıyor
    Squid Proxy üzerinde Bypass Proxy for These Destination IPs kısmına 54.194.151.200;52.16.136.71;85.111.30.111 yazıyorum ancak işe yaramıyor. Bankacılık sitelerinde bi sorun çıkmıyor



  • benimde aynı sorunum var cep telinden bakıyormuş gibi solda yarım text link şeklinde geliyor
    çözüm bulabildiniz mi ?



  • Sistemde "wpad" yapılandırması mevcut mu?



  • benim sistemimde yok



  • wpad bende de yok açıkçası wpad ne işe yarıyor onuda bilmiyorum. :)



  • Note: Transparent mode will filter SSL (port 443) if you enable man-in-the-middle options below.
    In order to proxy both HTTP and HTTPS protocols without intercepting SSL connections, configure WPAD/PAC options on your DNS/DHCP servers.

    Türkçe:
    Eğer aşağıdaki kutucukları aktif edecekseniz transparan modu SSL filtrelemesi (port 443)yapabilmektedir.
    Proxy nin Http ve Https protokolüne hakim olması için SSL bağlantılara müdahele etmeden, WPAD/PAC ayarlarınızı DNS/DHCP sunucunuzdan yapmalısınız.

    NOT: SSL müdahelesi kullanacaksanız WPAD yapınaldırmasını kullanmanızı şiddetle tavsiye ediyorum.

    Wpad bir sorgu yöntemidir diyebiliriz, tarayıcınız sistemde otomatik olarak proxy sunucusu arayacak şekilde yapılandırırlır (firefox hariç) Proxy sunucusunun otomatik olarak kullandığınız pfsense üzerindeki sunucu olmasını istiyorsanız DHCP sunucunuza WPAD/PAC yapılandırmanızı yönlendirmelisiniz.

    Nasıl yapılır ? : https://forum.pfsense.org/index.php?topic=62334.0
    Wpad yapılandırması ve bir çok yararlı bilgi forumumuzda paylaşılmıştır.
    https://forum.pfsense.org/index.php/topic,62017.0.html

    Siz bu yapılandırmayı devreye aldıktan sonra bana dönüş yapın ayrıca HTTP ve HTTPS portlarını default firewall kurallarından blok etmeyi unutmayın.

    Daha sonrasında yapılacak (gelişmiş wpad) dosyası yapılandırması için konu üzerinden devam edelim.



  • Sayın, TechnicaL ,

    ilgi alakanıza teşekkür ederim . Tavsiyenizi öncelikle sanal ortamda test edip takıldığım noktada bu başlık altında devam ederim.



  • Merhabalar,

    Konfigürasyonda Resimdeki kısımda takıldım. Sanal makinada temiz kurulum yaptım




  • @landforces:

    Merhabalar,

    Konfigürasyonda Resimdeki kısımda takıldım. Sanal makinada temiz kurulum yaptım

    Kardeş Reverse squild kısmını dolduruyorsun farkındamısın bilemedim. wpad dosyası reverse proxy için değildir.



  • Merhaba ,

    https://forum.pfsense.org/index.php/topic,62017.0.html

    Hocam sizin yaptığınız makaledeki resimlere göre gidiyorum sizde 4. resimde Reverse squild  alanını editlemişsiniz



  • @landforces:

    Merhaba ,

    https://forum.pfsense.org/index.php/topic,62017.0.html

    Hocam sizin yaptığınız makaledeki resimlere göre gidiyorum sizde 4. resimde Reverse squild  alanını editlemişsiniz

    O Squid3 Sürümü çok eski o sürümde mecburen editliyorduk şu an gerekmiyor ,editlemeden geçiniz çalışması lazım default da.



  • Wpad çalıştı çok teşekkür ederim,

    araştırdığım kadarıylar Wpad'ın DHCP ile yapılanıda varmış sanırım, birde wpad şuanda bütün client cihazlarda sorunsuz çalışabiliyormu ben henüz sanal makinada kurduğum için hepsiyle deneme şansım olmadı. IOS Androind Windows Edge tarayıcı vs. birde bunun artıları malüm eksik yanları varmıdır.
    Mesela; Transparent Modda iken Bazı Public yada private Ip adresleri Bypass edebiliyorduk Şimdi bu işlemi nasıl yaparız.

    teşekkür ederim.



  • WPAD dosyası halen android ve IOS işletim sistemlerinde otomatik olarak algılanmıyor,

    WPAD dosyası ile ilgili gelişmiş bir yapılandırma örneği gönderiyorum.

    Kodda ilk satır iç IP yi proxy den bypass etmek için.
    ikinci satır iç ipdeki ulaşamadığınız web sunucusu için (internal web server)
    üç ve dört bypass edeceğiniz domain için http ve https gereklidir.

    function FindProxyForURL(url,host)
    {
    if (isInNet(myIpAddress(), "192.168.2.2", "255.255.255.255")) return "DIRECT";
    if (shExpMatch(url, "http://192.168.2.1*")) {return "DIRECT";}
    if (shExpMatch(url, "https://192.168.2.1*")) {return "DIRECT";}
    if (shExpMatch(url, "http://www.tcmb.gov.tr*")) {return "DIRECT";}
    if (shExpMatch(url, "https://www.tcmb.gov.tr*")) {return "DIRECT";}
    else
    return "PROXY 192.168.2.1:3128";
    
    

Log in to reply