Netgate SG-1000 microFirewall

Author Topic: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak  (Read 8125 times)

0 Members and 1 Guest are viewing this topic.

Offline ashil

  • Jr. Member
  • **
  • Posts: 31
  • Karma: +1/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #60 on: March 19, 2017, 04:19:48 am »
merhaba arkadaşlar https aktif ettiğimde aşırı rem kullanıyor %90 buluyor buna bi çözüm bulan var mı yoksa o kadar yükselmesi normal 1.5 gb rem  var cihazda :o :o

aynı sorun bende de vardı 2 gb ram var

cron a " 0   */3   *   *   *   root   /usr/local/etc/rc.d/squid.sh stop " şöyle bir komut uygulayarak her 3 saatte bir squid i durduruyorum. (restart komutunu bilmediğim için durduruyorum)

Service Watchdog kurup oradan da squid durursa yeniden başlat diyorum. otomatikman squid başlamış oluyor ram kullanımı tavan yapmadan makine kasmadan kullanıyorum.

"/usr/local/etc/rc.d/squid.sh restart" ile doğrudan restart edebilirsiniz squid servislerini.

hemen komutu değişip direk restart olarak ayarlıyorum çok teşekkür ederim

Offline mynameisozz

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #61 on: March 20, 2017, 05:22:04 am »
Herkese merhaba,

General setup kısmında elle verdiğim dns leri kaldırdım. Dns forwarder açıktı onu da kapattım. Dns Resolver ı aktif hale getirip ayarlarını yaptım. Tüm istemciler dns olarak pfsense i görüyor. Tüm hafta sonu test ettim, herhangi bir sorun gözlemlemedim. Şu an son derece stabil çalışıyor. Hiçbir erişim problemi yaşamıyorum, bilginize arkadaşlar. Emeği geçenlere çok teşekkür ederim.

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 172
  • Karma: +15/-1
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #62 on: March 20, 2017, 08:13:32 am »
tüm yaptığın ayarların ekran görüntüsünü paylaşır mısın?
birde bazı cep telefonu uygulamalarında zaman zaman bağlanılamadı gibi hata alıyormusun?


Offline mynameisozz

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #63 on: March 21, 2017, 01:41:32 am »
tüm yaptığın ayarların ekran görüntüsünü paylaşır mısın?
birde bazı cep telefonu uygulamalarında zaman zaman bağlanılamadı gibi hata alıyormusun?
Elbette paylaşırım. Forumun yapısını bozmamak için link olarak ekliyorum.

General Setup: Burada daha önce elle verdiğim DNS ler vardı, tamamını kaldırdım.
http://i.hizliresim.com/nREQPB.png

Dns Resolver: Daha önce Dns forwarder aktif haldeydi, devre dışı bıraktım. Custom options kısmında PfBlocker eklentisinin yazdığı bir satır var.  Onun dışında henüz bir ayar değişikliği gerçekleştirmedim.
http://i.hizliresim.com/ZZYX2o.png

Squid: Squid ayarları ise bu şekilde.
http://i.hizliresim.com/GB3m1N.png

Ayrıca;
- Yapıda wpad yok (Tembellikten bir türlü yapamadım)

- İstemcilere dağıtılmış bir sertifika yok

- Yapıda bir Win 2012 R2 bulunuyor. DHCP görevini bu makine üstleniyor. Aynı zamanda DC olarak görev yapıyor. Dns ayarını dhcp üzerinden gönderiyorum.

- Rules kısmında elle dns ayarı yapanlara kısıtlama getiren bir kural bulunuyor. Gerçi dns in ne olduğunu bilen kimse olmadığı için bugüne kadar ihtiyaç olmadı. Neyse konuyu dağıtmayayım.

- DC nin kendisine elle dns vermek zorunda olduğum için https sitelerin açılma problemi bu cihaz üzerinde mevcut. Bu cihazın internete (windows update dışında) erişmesine ihtiyacım olmadığı için problem teşkil etmiyor.

Şu ana kadar 1 ipad, 2 android telefon, 1 iphone, ayrıca 1 windows 7 kurulu laptop ile 1 windows 10 kurulu laptop kullanarak test ettim. Gün içinde sürekli kullanıcıları gezip geri bildirim alıyorum. Kullanıcıların hiçbiri olumsuz birşey söylemedi. Ancak benim gözlemlediğim bir husus var.

Trafiğin yoğun olduğu saatlerde whatsapp mesajlarının karşıya iletilmesi biraz uzun sürüyor (Bazen 1 dakika kadar). Instagram mobil uygulaması ilk açılışta yeni postları otomatik güncelleyemiyor, manuel refresh yapınca kafayı toparlıyor, sitesi üzerinden giriş yapınca herşey normal. Bunlar iş süreçlerimize engel teşkil etmediği için bir problem olarak görmüyorum.

Ortalama her kullanıcının telefonunda/tabletinde olan uygulamaların tümünü kurup kullandım diyebilirim. Gözlemlediklerim sadece yukarıdakiler oldu. Denememi istediğiniz bir uygulama olursa memnuniyetle sonucu bildiririm.

Offline muhammet

  • Jr. Member
  • **
  • Posts: 56
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #64 on: April 02, 2017, 09:48:46 am »
Tutarsız bir durum var, 15 kullanıcılı bir yapı'da problemsiz filtreleme yapılırken farklı bir ortamda özellikle google servislerine ssl ile erişilirken problem yaşıyoruz.

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 172
  • Karma: +15/-1
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #65 on: April 03, 2017, 05:20:51 am »
kullanıcı pc lerine elle dns girilmediğine emin olun.
bahsettiğiniz problem pc lerle mi alakalı yoksa mobil cihazlarla mı?

Offline muhammet

  • Jr. Member
  • **
  • Posts: 56
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #66 on: April 03, 2017, 05:27:12 am »
kullanıcı pc lerine elle dns girilmediğine emin olun.
bahsettiğiniz problem pc lerle mi alakalı yoksa mobil cihazlarla mı?

Dns'ler otomatik olarak dhcp tarafindan dc'ye set edilmis durumda.

Dns olarak pfsense kullanmiyoruz, problem pc'lerde. Mobil cihazlarda test etme sansim olmadi henuz.

Pfsense uzerindeki dns resolver'i aktif ederek bir pc'ye elle pfsense dns'i verdim sonuc degismedi.

Ornek olarak chrome'da https://mail.google.com yazdigimda sol alt tarafta "guvenli baglanti olusturuluyor" kisminda bekletiyor sayfa goruntulenmiyor.
« Last Edit: April 03, 2017, 05:31:40 am by muhammet »

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 172
  • Karma: +15/-1
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #67 on: April 03, 2017, 07:53:46 am »
https ssl proxy nin zaten dns sıkıntıları var.
dns resolverdaki dns forwarderi açıp deneyin.
veya dns i otomatikte bırakıp clientlara dhcpden dc dns i basmasanız dns resolver daki host yada domain dns girdileri oluşturup deneseniz daha stabil olacaktır.
açıkçası hala wpad daha stabil ve daha hızlı.
wpadi pc ler için kullanıp https proxy yide mobile cihazlar için kullanmak daha sağlıklı çözüm.

Offline tuzsuzdeli

  • Moderator
  • Hero Member
  • *****
  • Posts: 1775
  • Karma: +25/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #68 on: April 03, 2017, 09:05:06 am »
wpad'li yapı yerine clientlara elle proxy yazmak aynı sonucu verir mi ?
yani prensipte aynı işlem mi bu ?
Çözümün bir parçası değilsen, sorunun bir parçasısındır.

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 172
  • Karma: +15/-1
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #69 on: April 03, 2017, 11:43:49 am »
Verirde bazı siteler için bypas gerekebilir

Offline mynameisozz

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #70 on: April 04, 2017, 03:12:39 pm »
kullanıcı pc lerine elle dns girilmediğine emin olun.
bahsettiğiniz problem pc lerle mi alakalı yoksa mobil cihazlarla mı?

Dns'ler otomatik olarak dhcp tarafindan dc'ye set edilmis durumda.

Dns olarak pfsense kullanmiyoruz, problem pc'lerde. Mobil cihazlarda test etme sansim olmadi henuz.

Pfsense uzerindeki dns resolver'i aktif ederek bir pc'ye elle pfsense dns'i verdim sonuc degismedi.

Ornek olarak chrome'da https://mail.google.com yazdigimda sol alt tarafta "guvenli baglanti olusturuluyor" kisminda bekletiyor sayfa goruntulenmiyor.

merhaba,

dns i pfsense tarafına yönlendirip, dns resolver ile dc yi tanımlama şeklinde deneme yapmanız mümkün mü. bir süredir bu şekilde kullanıyorum ve oldukça memnunum.

Offline muhammet

  • Jr. Member
  • **
  • Posts: 56
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #71 on: April 05, 2017, 06:22:16 pm »
https ssl proxy nin zaten dns sıkıntıları var.
dns resolverdaki dns forwarderi açıp deneyin.
veya dns i otomatikte bırakıp clientlara dhcpden dc dns i basmasanız dns resolver daki host yada domain dns girdileri oluşturup deneseniz daha stabil olacaktır.
açıkçası hala wpad daha stabil ve daha hızlı.
wpadi pc ler için kullanıp https proxy yide mobile cihazlar için kullanmak daha sağlıklı çözüm.

Dns resolver'ı aktif edip, problem çıkaran bir pc'ye el ile pfsense'i dns server olarak atadım ancak sonuç değişmedi, yine aynı şekilde özellikle google servislerini çözümleyemiyor.

İşin ilginç tarafıysa it danışmanlığını yaptığımız farklı bir müşteride yaklaşık 1 aydır problemsiz olarak ssl filtreleme aktif durumda.

kullanıcı pc lerine elle dns girilmediğine emin olun.
bahsettiğiniz problem pc lerle mi alakalı yoksa mobil cihazlarla mı?

Dns'ler otomatik olarak dhcp tarafindan dc'ye set edilmis durumda.

Dns olarak pfsense kullanmiyoruz, problem pc'lerde. Mobil cihazlarda test etme sansim olmadi henuz.

Pfsense uzerindeki dns resolver'i aktif ederek bir pc'ye elle pfsense dns'i verdim sonuc degismedi.

Ornek olarak chrome'da https://mail.google.com yazdigimda sol alt tarafta "guvenli baglanti olusturuluyor" kisminda bekletiyor sayfa goruntulenmiyor.

merhaba,

dns i pfsense tarafına yönlendirip, dns resolver ile dc yi tanımlama şeklinde deneme yapmanız mümkün mü. bir süredir bu şekilde kullanıyorum ve oldukça memnunum.

Merhaba,

Bence sorun dns çözümleme tarafında değil, lokal dns sunucusu başarılı bir şekilde çözümlemeleri yapıyor. Google'ın kullandığı ssl'leri çözemiyor gibi sanki. Google dışında facebook, twitter, youtube, banka siteleri hiç birinde problem yok.
« Last Edit: April 05, 2017, 06:33:47 pm by muhammet »

Offline vitamin122

  • Newbie
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #72 on: April 27, 2017, 03:07:47 pm »
çok teşekkür ederim öncelikle sorunsuz çalıştı. sadece chrome da youtube açıyor bu neden olabilir acaba

Offline aslanakyol

  • Jr. Member
  • **
  • Posts: 53
  • Karma: +1/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #73 on: May 11, 2017, 04:55:20 am »
Herkese merhaba,

General setup kısmında elle verdiğim dns leri kaldırdım. Dns forwarder açıktı onu da kapattım. Dns Resolver ı aktif hale getirip ayarlarını yaptım. Tüm istemciler dns olarak pfsense i görüyor. Tüm hafta sonu test ettim, herhangi bir sorun gözlemlemedim. Şu an son derece stabil çalışıyor. Hiçbir erişim problemi yaşamıyorum, bilginize arkadaşlar. Emeği geçenlere çok teşekkür ederim.

Bide pfblockerng yüklü olması mı lazım?
Bunun ayarları hakkındada bilgi verebilir misiniz?
« Last Edit: May 11, 2017, 05:11:24 am by aslanakyol »

Offline mynameisozz

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Squid 3.5 ile HTTPS siteleri domain adiyla yasaklamak
« Reply #74 on: May 11, 2017, 05:34:39 am »
Herkese merhaba,

General setup kısmında elle verdiğim dns leri kaldırdım. Dns forwarder açıktı onu da kapattım. Dns Resolver ı aktif hale getirip ayarlarını yaptım. Tüm istemciler dns olarak pfsense i görüyor. Tüm hafta sonu test ettim, herhangi bir sorun gözlemlemedim. Şu an son derece stabil çalışıyor. Hiçbir erişim problemi yaşamıyorum, bilginize arkadaşlar. Emeği geçenlere çok teşekkür ederim.

Bide pfblockerng yüklü olması mı lazım?
Bunun ayarları hakkındada bilgi verebilir misiniz?

merhaba,

https filtreleme için pfblocker a ihtiyacınız yok.