Pfsense 2.3 üzerinde https'li sitelere erişimin engellenmesi



  • Merhabalar,

    hem bu forumda hemde başka sitelerde yaptığım araştırmalara rağmen pfsense 2.3 üzerinde https'li siteleri engelleyemiyorum. önceki versiyonlar için belirtilen tüm ayarlamaları yaptım. lokal bir sertifika oluşturdum. kullanıcımın bilgisayarına yükledim. ama https li bir sayfaya girmek istediğim sertifika uyarısı alıyorum ve sayfa izinli olması rağmen erişim sağlayamıyorum. chrome dışında ki diğer browserlarda sertifikaya ayrıcalık tanımıdığımda ise

    The following error was encountered while trying to retrieve the URL: https://http/*

    Unable to determine IP address from host name "http"

    The DNS server returned:

    Name Error: The domain name does not exist.

    şeklinde uyarı alıyorum. https'li sayfaları bu versiyonda nasıl kısıtlayabiliriz?

    Teşekkürler.



  • merhaba,
    pf 2.3 tarafında şahsi tecrübem olmamakla birlikte, kurumlar ciddi sorunlar yaşadıklarını iletiyorlar.
    test ortamı haricinde, prod. ortamda kullanmanızı tavsiye etmem.



  • Merhaba,

    Temel olarak versiyon sorunsuz çalışıyor. IPsec VPN, squid, sguidguard, lightsquid paketleri stabil bir şekilde çalışıyor. Fakat https noktasında tıkandım. tarif edilen ayarlamaları yapıyorum ama belirttiğim gibi hatalar alıyorum.



  • aliases bunları ekle ondan ronra rule olustur engeller.

    http://hizliresim.com/ljo34X



  • Merhaba.

    Firewall kuralı ile engel koymak yapılabilir olmasına rağmen sağlıklı bir çözüm olmayacak. https ile çalışan o kadar çok site var ki engellenmesi gerekecek bunu firewall kuralı ile çözmek pek sağlıklı olmayacaktır.



  • Merhabalar.
    2.3 üzerinde squid ve squidguard kullanarak https bloklama yapdım ve sorunsuzca çalışır durumda.
    Sizin sorun squidguardın doğru yapılandırılmadığından ola bilir.



  • Merhabalar.

    Yapılandırmanızı nasıl yaptınız? Sıra ile aktarabilirseniz çok makbule geçer.



  • Tekrar Merhaba.
    Sanırım Siz tüm yapılandırmayı yapmışsınız. Ama ben kendi yapımı kasaca söyleyeyim.
    squid, squidguard kurulu
    local sertifika oluşturuldu ve kullanıcılara yüklendi.
    squid transparent olaraq yapılandırıldı. (Https interception seçili)
    squidguard üzerinde Common ACl bölümü default kaldı (yani tüm trafik bloklu), Group ACL tabında yaratmış olduğum kuralda en altdakı Default access [all] allow yapdım, Diğer gereksiz kateqorileri blokladım.

    Eğer squidguard-da kural oluşturduğunuz zaman default access [all] bölümünü deny yaparsanız https-li sitelerde sertifika hatası ile karşılaşırsınız.



  • Merhaba,

    SSL Man In the Middle Filtering ile PFsense üzerinde oluşturduğum lokal sertifika ile problemsiz bir şekilde filtreleme yapabiliyorum. Group policy ile de makinelere bu sertifikayı import ettim.

    Şöyle ki; mobil cihazlarda ve workgroup'da olan makineleri ne yapacağız ?  :D

    Cep telefonlarında muhtemelen ssl gerektiren uygulamalar / web siteleri çalışmayacak.

    Önerileriniz nelerdir ? Teşekkürler.



  • Merhaba.
    Workgroup'da olan cihazlara sertifikayı elle kurarsanız hiç bi sıkıntı olmaz.
    Diğer tarafdan da wifi  için başka network kullanarak mobil cihazların squid kullanmadan internet erişimini yapa bilirsiniz.



  • Merhabalar,

    2 ay önce kurduğum Pfsense 2.3  üzerşnde SSL inspection düzgün çalışıyor Paket versiyonları şöyle Squid:0.4.16_2  SquidGuard :1.14_2    yeni kurduğum Pfsense 2.3.1 Upd.5de ise  HTTPS bloklama yapıyor ancak izinli olan HTTPS sitelerinde bende aynı hatayı alıyorum bundaki paket versiyonları şöyle Squid :0.4.18 Squidguard:  1.14_3 muhtemelen

    acaba düzgün çalışan paketleri yükletmenin bir yolu varmı en azından sorunlu paketler düzeltine kadar.



  • Arkadaşlar merhaba.

    Squid Proxy tarafında Common ACL ve Group ACL kısımları belirttiğiniz yaptım fakat yine sertifika uyarı alıyorum.  SSL Man In The Middle Filterin tarafında ki ayarlamaları ve oluşturulan sertifikaların bilgisayara yüklenme adımlarını da paylaşabilir misiniz? Sertifikayı install dedikten sonra local machine seçip, başka bir değişiklik yapmadan yüklüyorum. farklı bir certificate store mu seçiyorsunuz?

    Aldığım hata yine aşağıda ki gibi.  Hata aldığım ekranda sertifikayı kontrol ettiğimde Issued to alanı http (gitmek istediğim adres olması gerekirken) olarak geliyor.  Issued by alanı ise oluşturduğum internal sertifikam (olması gerektiği gibi) geliyor. Bu sorunu nasıl çözebilirim?

    The following error was encountered while trying to retrieve the URL: https://http/*

    Unable to determine IP address from host name "http"

    The DNS server returned:

    Name Error: The domain name does not exist.


Log in to reply