Netgate SG-1000 microFirewall

Author Topic: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak  (Read 8069 times)

0 Members and 1 Guest are viewing this topic.

Offline mynameisozz

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #30 on: February 10, 2017, 12:25:04 am »
Merhabalar ;

bütün işlemleri tekrar tekrar gözden geçrimeme rağmen squid üzerinde https aktif ettiğimde  https sitelerin hepsine giriyorum facebook twitter giremiyorum. squidguard pasif durumda herhangi bir kısıtlama yok. sorun neden olabilir acaba

aynı problemi ben de yaşıyorum. https sitelerin bir çoğu uygulamadan sonra açılmıyor. misal yapı kredinin sitesi ve facebook açılıyorken, twitter, google play vs açılmıyor. örnek olarak twitter a girmek istediğimde access.log da hiç bir hareket olmuyor. uzunca bir süre bekledikten sonra sitenin yarısı zar zor yükleniyor, görseller gelmiyor. google play de 10-15 denemeden sonra açılsa da görseller yüklenmiyor. bu esnada access.log da aşağıdakine benzer kayıtlar oluşuyor.

TAG_NONE/200 0 CONNECT 31.13.84.4:443 - HIER_NONE/- -

squidguard ı kapattım. tüm firewall kurallarını kapatıp herşeye izin veren tek kural ekledim ve cihazı yeniden başlattım. sonuç değişmedi. versiyon 2.3.2-RELEASE-p1 (amd64)

edit: squid config ekran görüntüsü eklendi.

« Last Edit: February 10, 2017, 12:42:46 am by mynameisozz »

Offline muhammet

  • Jr. Member
  • **
  • Posts: 56
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #31 on: February 12, 2017, 10:41:11 am »
Samet bey, çalışmalarınız ve paylaşımlarınız için çok teşekkürler.

2.3.2-RELEASE-p1 (amd64) üzerinde test ettim, problemsiz çalışıyor. Windows 7 / 8 / 10 client'lar da bypass görülmedi.
« Last Edit: February 12, 2017, 10:48:05 am by muhammet »

Offline abg

  • Newbie
  • *
  • Posts: 16
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #32 on: February 13, 2017, 10:18:05 am »
Samet bey paylaşımlarınız için teşekkürler emeğinize sağlık

Offline ondokuz

  • Full Member
  • ***
  • Posts: 170
  • Karma: +3/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #33 on: February 14, 2017, 12:51:06 am »
konu ile ilgili değil ama bir düşüncemi sormak isterim.

ben istedigim web sayfasını engellemek için:

içeride 2 adet dns sunucusu tutuyorum. pfsense tarafında ip dağıtırken bu dns adreslerini kullanmasını saglıyorum. kuralların en ust kısmında  bu dns adresleri dısında dns istegine kapatıyorum ve benim dns sunucum dısında başka dns e istek gönderttirmiyorum.

dns sunucusundada yasaklamak istedigim domaini istedigim fake bir adrese gönderebiliyorum :)


Offline ashil

  • Jr. Member
  • **
  • Posts: 31
  • Karma: +1/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #34 on: February 14, 2017, 02:27:36 am »
yaklaşık iki aydır sistemi kullanıyorum. ilk kurulumda hatalarım vardı susamlıçubuk arkadaşımız sağolsun sisteme bağlanıp düzenlemeler yaptı. sistemi halen daha aktif olarak kullanmaktayım. 2 gb ram benim makine için yetersiz geliyor bu sebeple ram kullanımım %90 lara ulaşıyordu. o sorunu ram artırmadan nasıl çözerim diye uğraştım aslında ram eklemek basit ama dedim ya uğraşmak mesele :) crontaba her 3 saatte bir squidi restart yapacak bir komut ekledim ram kullanımını bu şekilde stabil hale aldım. halen daha eksiklerim yokmu. elbette var internet sayfalarının açılma hızlarında bir düşüş yaşıyorum ara ara açılamamalar sayfayı yenileyince açılmalar falan ama hiçbir ayar değişmediğim halde günden güne azalıyor bu sorunlar. pfsense sürümüm 2.3.3.r.20170211.1424 hemen hergün bir güncelleme alıyorum yüksek ihtimalle sorunlarımın çözümüde kaynağıda aldığım güncellemelerdir. en nihayet kullanıyorum kullanmaya devam edeceğim işimi çok kolaylaştırdı. yapanın ellerine sağlık allah ondan razı olsun yapamadığım için desteğini esirgemeyendende allah razı olsun. böyle kibirden egodan arınmış bir konuda bilgili insanların o konu ile ilgili diğer insanlara maddi bir kaygı gütmeden yardımda bulunması bilginin zekatıdır diyorum. son olarak hepsine çok teşekkür ediyorum.

Offline Jig Saw

  • Moderator
  • Sr. Member
  • *****
  • Posts: 334
  • Karma: +40/-0
    • View Profile
    • Blog
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #35 on: February 14, 2017, 04:24:39 am »
yaklaşık iki aydır sistemi kullanıyorum. ilk kurulumda hatalarım vardı susamlıçubuk arkadaşımız sağolsun sisteme bağlanıp düzenlemeler yaptı. sistemi halen daha aktif olarak kullanmaktayım. 2 gb ram benim makine için yetersiz geliyor bu sebeple ram kullanımım %90 lara ulaşıyordu. o sorunu ram artırmadan nasıl çözerim diye uğraştım aslında ram eklemek basit ama dedim ya uğraşmak mesele :) crontaba her 3 saatte bir squidi restart yapacak bir komut ekledim ram kullanımını bu şekilde stabil hale aldım. halen daha eksiklerim yokmu. elbette var internet sayfalarının açılma hızlarında bir düşüş yaşıyorum ara ara açılamamalar sayfayı yenileyince açılmalar falan ama hiçbir ayar değişmediğim halde günden güne azalıyor bu sorunlar. pfsense sürümüm 2.3.3.r.20170211.1424 hemen hergün bir güncelleme alıyorum yüksek ihtimalle sorunlarımın çözümüde kaynağıda aldığım güncellemelerdir. en nihayet kullanıyorum kullanmaya devam edeceğim işimi çok kolaylaştırdı. yapanın ellerine sağlık allah ondan razı olsun yapamadığım için desteğini esirgemeyendende allah razı olsun. böyle kibirden egodan arınmış bir konuda bilgili insanların o konu ile ilgili diğer insanlara maddi bir kaygı gütmeden yardımda bulunması bilginin zekatıdır diyorum. son olarak hepsine çok teşekkür ediyorum.

Perfect! : )

Bende bir kaç müşterimde bahsettiğiniz gibi problemsiz kullanıyorum. Sizin gibi pfSense kullanıcıları olmaya devam ettiği sürece, bizim,sizin veya pfsense topluluğuna katkı yapmaya devam eden birileri her zaman olacaktır. Güzel mesajınız için teşekkür ederiz.  ;)

Samet YILMAZ
Blog : http://www.sametyilmaz.com.tr
Facebook Grup : https://www.facebook.com/groups/pfsenseturkey
E-Posta : sametyilmaz[at]yandex[dot]com

Offline Jig Saw

  • Moderator
  • Sr. Member
  • *****
  • Posts: 334
  • Karma: +40/-0
    • View Profile
    • Blog
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #36 on: February 14, 2017, 04:27:36 am »
konu ile ilgili değil ama bir düşüncemi sormak isterim.

ben istedigim web sayfasını engellemek için:

içeride 2 adet dns sunucusu tutuyorum. pfsense tarafında ip dağıtırken bu dns adreslerini kullanmasını saglıyorum. kuralların en ust kısmında  bu dns adresleri dısında dns istegine kapatıyorum ve benim dns sunucum dısında başka dns e istek gönderttirmiyorum.

dns sunucusundada yasaklamak istedigim domaini istedigim fake bir adrese gönderebiliyorum :)

Şahsen ben doğru bir yöntem olarak bulmuyorum ama çözüm odaklı düşünmeniz güzel. Şu konuyuda ayrıca incelemeniz size fikir katabilir.
https://forum.pfsense.org/index.php?topic=125210.0

Doğru bulmadığım nokta blacklist kontrolü,gruplandırma,kategorilendirme vs gibi özellikleri DNS üzerinde kullanamazsınız ve byPass orani yüksek bir seçim.
Samet YILMAZ
Blog : http://www.sametyilmaz.com.tr
Facebook Grup : https://www.facebook.com/groups/pfsenseturkey
E-Posta : sametyilmaz[at]yandex[dot]com

Offline vgumus

  • Full Member
  • ***
  • Posts: 146
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #37 on: February 14, 2017, 10:45:01 am »
Bazı ssl sitelerin acılmama sorunu bende de mevcut  garanti.com.tr açılırken isbank.com.tr açılamıyor veya google.com.tr filtreleme kuralları çalışıyor. ama bazı siteler açılmıyor proxyden  ssl filtreyi kaldırınca sıkıntı yok. sorun neden olabilir.

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 172
  • Karma: +15/-1
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #38 on: February 14, 2017, 11:13:52 am »
Malesef tam trafiği çözerken dns sorunları yaşayabiliyoruz.
bazen face bazen twitter bazende diğer sitelerin bazıları sorun çıkartabiliyor.
En son versiyon squid ile custom options a özel satırları eklemenize gerek yok.
SSL Man In the Middle Filtering
bölümünde
Splice All ı seçmeniz yeterli.
birde dns elle vermeyin daha fazla dns sorunu yaşatıyor otomatikte kalsın.
ssl i sadece mobile cihazlar için bıraktım
wpad pc ler için çok daha hızlı ve stabil.




Offline vgumus

  • Full Member
  • ***
  • Posts: 146
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #39 on: February 14, 2017, 11:58:22 am »
susamlicubuk merhaba loglarda
 TAG_NONE/200 0 CONNECT 216.58.208.110:443 - HIER_NONE/- -
bu hatayı alıyorum ondan dolayı açmıyor. bunu aşmanın bir yolu varmıdır.

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 172
  • Karma: +15/-1
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #40 on: February 14, 2017, 01:29:40 pm »
Malesef o hatanın şuan çözümü yok.  Splice All  Squid 3.5 kullanan diğer dağıtımlarda da aynı hatalara sebep oluyor.
doktornotor ilede tartıştım bu konuyu sorun yok gibi şeyler söyledi ama bariz sorun var.


Offline mynameisozz

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #41 on: February 15, 2017, 11:54:26 am »
Malesef tam trafiği çözerken dns sorunları yaşayabiliyoruz.
bazen face bazen twitter bazende diğer sitelerin bazıları sorun çıkartabiliyor.
En son versiyon squid ile custom options a özel satırları eklemenize gerek yok.
SSL Man In the Middle Filtering
bölümünde
Splice All ı seçmeniz yeterli.
birde dns elle vermeyin daha fazla dns sorunu yaşatıyor otomatikte kalsın.
ssl i sadece mobile cihazlar için bıraktım
wpad pc ler için çok daha hızlı ve stabil.

Bazı sitelerin açılmaması ile ilgili testler yapıyorum. Advanced options kısmına hiçbirşey yazmadım ve dediğiniz gibi splice all seçtim. Wpad yapılandırması yapmadığım için test cihazlarımdan birine elle proxy girdim. Sonuç mükemmel.

Sanıyorum ki mobil cihazlar bir süre daha canımızı sıkacak.

Offline muhammet

  • Jr. Member
  • **
  • Posts: 56
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #42 on: February 19, 2017, 10:54:52 am »
Merhaba,

Test ortamında farkettim ki (7 client) 1 client'ta sorunsuz çalışırken diğerlerinde https protokolüyle bağlantı kurmaya çalıştığında uzun süre bekletip siteyi görüntüleyemiyor.

Chrome'da ERR_TIMED_OUT

last pid: 51223;  load averages:  0.02,  0.04,  0.01    up 0+16:30:32  19:24:53
55 processes:  1 running, 54 sleeping
CPU:  0.0% user,  0.0% nice,  0.1% system,  0.1% interrupt, 99.8% idle
Mem: 105M Active, 121M Inact, 285M Wired, 361M Buf, 3382M Free
Swap: 8192M Total, 8192M Free

tail -f access.log

247 192.168.1.2 TCP_MISS/200 2059 POST http://clients2.google.com/service/update2? - ORIGINAL_DST/216.58.212.14 text/xml
322 192.168.1.2 TCP_MISS/200 3439 GET http://www.gstatic.com/chrome/crlset/3562/crl-set-delta-3556-8914797386783430665.crx.data - ORIGINAL_DST/216.58.209.163 text/html
247 192.168.1.2 TCP_MISS/200 2059 POST http://clients2.google.com/service/update2? - ORIGINAL_DST/216.58.212.14 text/xml
1487522247.847    322 192.168.1.2 TCP_MISS/200 3439 GET http://www.gstatic.com/chrome/crlset/3562/crl-set-delta-3556-8914797386783430665.crx.data - ORIGINAL_DST/216.58.209.163 text/html
1487522247.937   


HTTPS/SSL Interception disable yaptığımda problemsiz olarak erişilebiliyor.

Gerçek ortam'da test ettim, görüntüleme problemi olmadı ama ssl ile bağlandığımız sitelerin yavaş açıldığı görüldü.

Offline kardanadam

  • Jr. Member
  • **
  • Posts: 32
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #43 on: February 21, 2017, 07:17:07 am »
Bazı sitelere girememe ile ilgili sorun çözüldümü? aşağıdaki hatayı veriyor...



Güvenli bağlantı girişimi başarısız

www.facebook.com bağlantısı sırasında bir hata oluştu. SSL izin verilen uzunluğu aşan bir kayıt aldı. Hata kodu: SSL_ERROR_RX_RECORD_TOO_LONG

Offline muhammet

  • Jr. Member
  • **
  • Posts: 56
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #44 on: February 21, 2017, 09:31:54 am »
Tekrar merhaba,

Şu şekilde bir çözüm buldum, problem yaşayan arkadaşlar test edip geri dönüş yaparlarsa faydalı olabilir.

Squid proxy server içerisinde, DHParams Key Size parametresini 1024 (not recommended) yaptım, local cache bölümünde Cache Dynamic Content enable, Memory Cache Size'ı artırarak test ettiğimde erişim problemi çözüldü.