PfSense squidguard filtreleme sıkıntısı



  • Herkese merhabalar, ilk kurduğumda pfSense 2.2.6 üzerinde squid ve squidguard eklentilerini sorunsuz yapılandırmıştım. İçerik filtrelemesi kullanıcı grupları için sorunsuz çalışıyordu.

    Birkaç gün önce pfSense i yeniden yükledim ve yedeğim olmadığı için sıfırdan yapılandırdım. Fakat bir türlü filtreleme çalışmadı. Son çare olarak buraya yazıyorum, internette araştırmama rağmen sorunu bulamadım.

    Kısaca bahsetmek gerekirse, dhcp server pfSense olarak çalışıyor, 192.168.100.10-192.168.100.200 arasını dağıtıyor. Dolayısıyla standart kurallarda da sürekli olarak 192.168.100.10-192.168.100.200 arası standart kullanıcılar, dışarda kalanlar yöneticiler sunucular vs.

    proxy server genel ayar ekranı: http://i.imgur.com/tOkipf8.png

    squidguard sayfaları;

    1- http://prntscr.com/a8igou (aşağıda blacklist işaretli ve link yazılı)

    2- http://prntscr.com/a8iguc  (common acl de yapılmış hiç bir kısıtlama yok herşey açık çünkü grup bazlı kısıtlama yapmam gerekiyor)

    3- http://prntscr.com/a8ih4v (iki adet grubum var, izinlilerin alt tarafta olması gerekiyor sanırım, ilk alttaki kurallar geçerli oluyormuş)

    4- http://prntscr.com/a8ihea (standart - yani kısıtlanmış grubun ayarları, burada ki kelime filtreyi target categories ten ben ekledim fakat ne o ne blacklistten gelen ve deny olarak seçtiklerim asla çalışmadı)

    5- http://prntscr.com/a8ihr7 (izinliler grubu, herhangi bir kısıtlama yok. 192.168.100.1den 100.10a kadar ve 100.200den 100.255e kadar olan aralıklar ) (resimde 1.255 olarak bitiyor fakat düzelttim.)

    6- http://prntscr.com/a8ii3a (target categories kısmı, burada eklediğim kelime_filtrelemeyi standart grup için deny olarak seçmeme rağmen bunlarda hiç bir zaman filtrelenmedi.)

    7- http://prntscr.com/a8iibf (kelime_filtre kısmının içi)

    8- times ve rewrites kısımlarına hiç dokunmadım zaman aralıklı bir kural veya yeniden yazma kuralı istemiyorum.

    9- http://prntscr.com/a8iigm blacklist sayfası

    10 - http://prntscr.com/a8iivf buda son ekran.

    Desteğiniz için çok teşekkürler. Fikirlerinizi bekliyorum.



  • Bu arada, izinliler grubu aralığında yanlışlık yapmışım fakat düzeltmek sorunu çözmedi, bir alakası olduğunu sanmıyorum ama, pfsense i ilk kurduğumda wan bacağı modemin dhcp sinden ip alıp farklı bir subnet ten dağıtıyordu, şimdi ise modemi bridge moda çekip kurdum. tek fark bu. Gözümden kaçan kısmı merak ediyorum. tekrar teşekkürler.



  • Sorun güncel..



  • yapılandırma ayarlarınızda problem var
    1-öncelikle common acl de tüm kategorileri yasaklayın
    2-grup tanımlarınızda 192.168.100.1-192.168.100.10 aralığını 192.168.100.2-192.168.100.10 olarak değiştirin kalan kısımlarda genel olarak hata yoktu bu şekilde ayarlarınızı güncelleyip tekrar test edin.

    kolay gelsin



  • @TahaIrak:

    Kısaca bahsetmek gerekirse, dhcp server pfSense olarak çalışıyor, 192.168.1.10-192.168.1.200 arasını dağıtıyor. Dolayısıyla standart kurallarda da sürekli olarak 192.168.1.10-192.168.1.200 arası standart kullanıcılar, dışarda kalanlar yöneticiler sunucular vs.

    Selam,

    Burada bir tutarsızlık var. Yukarıdaki ip blogu ile SquidGuard içinde belirttiğiniz aralık aynı aralık değil. Olmaması çok doğal. Bir yerde bazı bilgileri atlıyor ya da karıştırıyor olabilirsiniz.

    İçtenliklerimle,
    SGTR



  • @SGTR:

    @TahaIrak:

    Kısaca bahsetmek gerekirse, dhcp server pfSense olarak çalışıyor, 192.168.1.10-192.168.1.200 arasını dağıtıyor. Dolayısıyla standart kurallarda da sürekli olarak 192.168.1.10-192.168.1.200 arası standart kullanıcılar, dışarda kalanlar yöneticiler sunucular vs.

    Selam,

    Burada bir tutarsızlık var. Yukarıdaki ip blogu ile SquidGuard içinde belirttiğiniz aralık aynı aralık değil. Olmaması çok doğal. Bir yerde bazı bilgileri atlıyor ya da karıştırıyor olabilirsiniz.

    İçtenliklerimle,
    SGTR

    Merhaba, yalnızca 100 grubunu 1 grubu olarak yazmışım konuyu yazarken, aslında herşey 100 grubuna göre, o yönde bir yanlış yok. Hala trafik etkilenmiyor hiç bir şeyden. kelime filtreleri dahil tüm url lere standart gruptan rahatlıkla girilebiliyor.



  • @apricot:

    yapılandırma ayarlarınızda problem var
    1-öncelikle common acl de tüm kategorileri yasaklayın
    2-grup tanımlarınızda 192.168.100.1-192.168.100.10 aralığını 192.168.100.2-192.168.100.10 olarak değiştirin kalan kısımlarda genel olarak hata yoktu bu şekilde ayarlarınızı güncelleyip tekrar test edin.

    kolay gelsin

    Merhabalar, dedğiniz gibi 100.1 adresini 100.2 olarak değiştirdim. ve http://prntscr.com/aa58y2 common acl de herşeyi deny olarak işaretledim. Fakat trafik hiç bir şekilde etkilenmedi. Kısıtlı olması gereken grup kelime filtreleri dahil hiç bir filtreye tabi olmadan internete çıkıyor.



  • merhaba,
    yapılandırmayı tamamlayınca, general setup, apply butonuna basıyorsunuz diye düşünüyorum.
    save ve devamında apply basarak denerseniz, kurallarınızın uygulanması gerekir.
    ek olarak squidguard servisi çalışıyor mu ?



  • Merhaba, elbette save ve apply butonlarına basıyorum.

    Squidguard kullanmadan, firewall/rules/lan kısmından grup bazlı yaptığım kısıtlamalar çalışıyor,

    Alias:  http://prntscr.com/aa5a4e

    Lan Rules: http://prntscr.com/aa5agl

    Bu tarz siteleri squidguard la engelleyemiyoruz diye bu yöntemi kullanmıştım ve grup bazlı istediğim filtrelemeyi yapabiliyorum.

    Fakat squidguard olmadan o kadar kelime ve url ye kural yazmak imkansız.

    Squid ve squidguard servisleri aktif çalışıyor şuan, fakat Squidguard daki hiç bir filtreleme çalışmıyor.



  • squidguard loglarına düşen nedir ?



  • @tcjackal:

    merhaba,
    yapılandırmayı tamamlayınca, general setup, apply butonuna basıyorsunuz diye düşünüyorum.
    save ve devamında apply basarak denerseniz, kurallarınızın uygulanması gerekir.
    ek olarak squidguard servisi çalışıyor mu ?

    Service Watchdog isimli bir paket kullanıyorum, servisler hiç başlamamazlık etmiyor. Firewall ı yeniden başlatınca kuralların kaydedildiğinide görebiliyorum. squid ve squidguard ı kaldırıp tekrar yükledim. aynı yapılandırmayı sıfırdanda yaptım. Fakat gözden kaçan bişey var.



  • @tcjackal:

    squidguard loglarına düşen nedir ?

    http://prntscr.com/aa5dhg

    26şubat ta bi yarım saatliğine çalışmış görünüyor.



  • tüm yapılandırmanızı devre dışı bırakıp, tek bir host ve birkaç domain ekleyerek tekrar deneyin.
    domainleri blacklist üzerinden değil, elle girin. https servisi olmayan siteler.



  • @tcjackal:

    tüm yapılandırmanızı devre dışı bırakıp, tek bir host ve birkaç domain ekleyerek tekrar deneyin.
    domainleri blacklist üzerinden değil, elle girin. https servisi olmayan siteler.

    http://prnt.sc/aa5fwn

    Bu şekilde tek istemciden oluşan bir grup oluşturdum.

    192.168.100.25 şuanda kendi bilgisayarımda kullandığım statik ip adresi.

    Standart ve izinli olan diğer iki grubu disabled durumuna getirdim.

    192.168.100.25 adresi için yalnızca kelime_filtre isimli target categories düzeneğini seçtim.

    ve içerisine https olmayan, arama motorunda son sıralardan topladığım 4 tane kıytırık adult sitenin linkini yazdım.

    Başka hiç bir şey yok.

    applly butonuna bastım.

    Hiç bir filtreleme çalışmıyor.

    Bir cahce problemi olabilir diye engellenecek sayfaları daha önce test etmek için ziyaret etmediklerimden ekledim. yine olmadı.



  • Pfsense 2.2.6ya squidguard ı  ilk kurduğumda grup bazlı yasaklamaları aynı bu şeklde yapılandırmıştım,  sorunsuz çalışıyordu.

    Ama hiç bir kısıtlaması olmayan grup bile isimtescil.net adresini ziyaret ettiğinde squidguard sayfayı açmıyordu. Yasaklandı da demiyordu ama açmıyordu. https üzerinden girebiliniyordu. Şuanda o sorunda ortada yok. Bir sorunu arayacağım hiç aklıma gelmezdi.



  • :) squidguard'ı yeniden kurup test ettiniz mi ?



  • Denedim üstad, grupların hepsini disabled yaptım. Common acl de herşeyi engelle dedim. yine çalışmıyor. Acaba eklenti paketini çektiği kaynakta geçici bir sıkıntı fln mı var.



  • 226 kullanmıyorum.
    hızlıca kurduğumda, herhangi bir sorun ile karşılaşmadım.
    sadece blacklisti aktif etmedim.
    kullandığım paket versiyonları ek'teki gibi.
    sizdeki paket versiyonları nedir ?




  • http://prntscr.com/aa5un0 aynı sürümler, bu şıkkı elemiş olduk. Forumdan bir arkadaş bağlanıp inceleyeğini söyledi, eğer yine düzelmezse pfsense i tamamen sıfırdan yukleyeceğim.



  • Buraya yazmayı unutmuşum fakat aynı sıkıntıyı yaşayacak arkadaşlar için eklemiş olayım.

    Bu problemi yaşadığımda forumdan "apricot" nickli bir arkadaş sağolsun bağlanıp incelemişti, squid i kaldırıp squid 3  yüklediğinde sorunum düzelmişti, daha sonra 2.2.6 üzerinde çalıştırdığım diğer cihazlardada bazı benzer sorunlar yaşadıdm(squidguard hiç bir şekilde başlamıyor, start olmuyor, veya ikide bir duruyor elle başlatmak gerekiyordu vs.), ve 2.2.6 + sürümler için squid3 yükleyerek tüm bu sorunlardan kurtuldum.



  • Bende de aynı sorun oldu ama chapcha sürümü ile düzelmişti