Netgate Store

Author Topic: E2guardian5 kurulumu,squid entegrasyonu,SSL Man in the middle filtering ayarları  (Read 314 times)

0 Members and 1 Guest are viewing this topic.

Offline tuzsuzdeli

  • Moderator
  • Hero Member
  • *****
  • Posts: 1821
  • Karma: +30/-0
    • View Profile
Ben E2guardian’ı squid ile beraber kullanıyorum.

Kullandığım sürümler :

pfsense 2.4.3-RELEASE (amd64)
E2guardian5 0.5.0.3_1
Squid 0.4.43_1

Benim mevcut sistemimde squid ve squidguard kuruluydu. Çoğunuzda da durum büyük ihtimalle böyle.

Öncelikle squidguardı devreden çıkarın. Sizde squidguard yok ise bu adımı atlayabilirsiniz.

Squid kurulu değilse, paket yöneticisinden kurun.
(Squid kurmadan da sistemin çalışması mümkün. Squid kullanmak istemeyen arkadaşlar ilgili adımları atlayabilirler, ayrıca 7. Maddeye dikkat etsinler)


1- E2guardian5 Paketini yüklemek için konsoldan şu komutu verin

pfsense 2.4 ise :
Code: [Select]
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf
pfsense 2.3 i386 ise :
Code: [Select]
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficiali386.conf
pfsense 2.3 amd64 ise :
Code: [Select]
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf


2- Bir sertifika oluşturun.
System – Cert Manager- CA’s menüsünden yeni bir sertifika oluşturun. Method olarak Create an internal Certificate Authority seçin. Benim sertifikamın adı “internal-ca”. Bunu Squid’de kullanacağız.



3- Squid için ayarların ekran görüntüleri ekte. Püf noktaları şunlar.
-   interface seçerken Lan ile beraber loopback’i seçmeyi unutmayın. 
-   SSL Man in the Middle Filtering ekranına CA kısmında oluşturduğunuz sertifikayı seçin. Diğer ayarlar ekran görüntülerinde olduğu gibi.
-   Advanced features kısmında Custom Options (Before Auth) ‘a aşağıdaki kodu yapıştırın (Alternatif olarak bu işlemi squid remote cache ekranından da ayarlayabilirsiniz)

Code: [Select]
cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow all



4- Squid Local Cache ekranında External Cache Managers’da 127.0.0.1 yazılı olsun.



Gelelim E2guardian ayarlarına.


5- Burada da ekran görüntülerinde olduğu gibi “loopback” interfacei seçmeyi atlamayın.

6- CA kısmında sertifikamızı seçiyoruz.

7- Advanced Features kısmında, Squid ile beraber kullanacağımız için “Use automatic embeded parent config” seçili olmalı. Eğer sistemi hiç squid olmadan kullanmak istiyorsanız, burada “Direct connect” seçmelisiniz.

8- General ekranı görüntüleri aşağıda.
Burada en önemli konu, kullanıcılarınızı ne ile tanımlayıp ayıracağınız. Ben IP’lerine göre gruplara ayırıp filtrelemeye tabi tutacağım için Auth Plugins kısmında Ip Address seçtim.

9- Blacklist ayarlarını yapın. Blacklist listesindeki başlıkları hem bloklama hem de izin verme amaçlı kullanacağım için, Banned and Exception seçtim. Sadece bloklama yapacaksanız “Banned only” seçebilirsiniz.
Blacklist adresi olarak şunu kullanabilirsiniz.
Code: [Select]
http://www.shallalist.de/Downloads/shallalist.tar.gzDownload düğmesine basıp 5-10 saniye bekleyin. Sonra Reapply düğmesine basıp 10-15 saniye bekleyin.

Sistemin çalışması için tüm ayarlar bunlar.
Ekran görüntülerindeki bazı değerleri kendi yapınıza göre değiştirebilirsiniz.

Bu noktadan sonra
ACLs den Sitelist ekleyin. (Ben defaulta hiç dokunmadım)
Groups’dan Grup ekleyin. (Ben defaulta hiç dokunmadım)
IPs kısmından da grupların ip numaralarını girin.

Filtreleme seçeneklerindeki kombinasyonlar ve seçenekler squidguarddan çok daha detaylı ve karışık. Ama bir o kadar da güçlü ve esnek.

Bana sorarsanız E2guardian, Türkiye’deki kullanıcılar arasında bir devri kapatıp yeni bir devri açacak kadar güzel bir paket. Dostumuz marcelloc’a teşekkür etmek ve destek olmak gerekir.
Paketteki bugları mutlaka kendisine iletin.
Lütfen özel mesajla bir şey sormayın, bu başlık altından devam edelim.
Bir ara bu konfigürasyonun videosunu da çekip ekleyeceğim.

Eğer eksik veya hatalı bir şey varsa lütfen bildirin.

Benden bu kadar, hepinize kolay gelsin.

Çözümün bir parçası değilsen, sorunun bir parçasısındır.

Offline Mehmet Ali Gökbaş

  • Jr. Member
  • **
  • Posts: 40
  • Karma: +7/-0
  • IT Manager
    • View Profile
Hocam teşekkürler, elinize sağlık. siz captive portal kullanıyor musunuz? e2guardian loglarında 127.0.0.1 olarak mı geliyor loglarınız?

Offline tuzsuzdeli

  • Moderator
  • Hero Member
  • *****
  • Posts: 1821
  • Karma: +30/-0
    • View Profile
Hocam teşekkürler, elinize sağlık. siz captive portal kullanıyor musunuz? e2guardian loglarında 127.0.0.1 olarak mı geliyor loglarınız?

CP Kullanmıyorum.
Çözümün bir parçası değilsen, sorunun bir parçasısındır.

Offline tuzsuzdeli

  • Moderator
  • Hero Member
  • *****
  • Posts: 1821
  • Karma: +30/-0
    • View Profile
Squid olmadan yapılandırıp, lightsquid ile rapor alacaksanız aşağıdaki patch'i uygulamanız gerekiyor

Code: [Select]
fetch -o /usr/local/pkg/lightsquid.inc http://e-sac.siteseguro.ws/lightsquid/inc.txt
Çözümün bir parçası değilsen, sorunun bir parçasısındır.

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 212
  • Karma: +17/-1
    • View Profile
squid ve e2guardian da transparenti 2 taraftada seçmeye gerek yok
trafiği gereksiz karıştırıyor ve cache stabil çalışmıyor
+ squidde transparent ssl proxy yi seçmeye yine gerek yok.

Offline ucribrahim

  • Jr. Member
  • **
  • Posts: 50
  • Karma: +6/-0
    • View Profile
Susamlicubuk arkadaşımın dediğine katılıyorum, Squid üzerinde Transparent + SSL filtering özelliklerini açmanıza hiç gerek yok. Bu ayarları zaten E2guardian üzerinde yapıyorsunuz. Eğer ikisindede transparent + ssl ayarları yaparsanız stabil çalışmıyor, ben tecrübe ettim.)

Squid üzerinde sadece squid servisini aktif edin " LAN ve Loopback" arabirimlerini seçin daha sonra ise aşağıdaki parametreleri Advanced altında Before Auth bölümüne ekleyin. Peki bunu neden ekliyorsunuz onuda söyliyeyim size, aşağıdaki parametreleri akıllı bir eleman elle proxy yazıp e2guardian servisini atlatmasın diye yapıyoruz. Yoksa direkt squid üzerinden internete çıkar ve filtrelemeye takılmaz.

Parametreler:

cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow all

Daha sonra ise zaten E2guardian servisini arkadaşımızın anlattığı gibi ayarlarsanız güzel bir şekilde çalışıyor.
” Online pfSense Firewall & Router Eğitimi | www.udemy.com/pfsense-training “

Offline ersan

  • Jr. Member
  • **
  • Posts: 31
  • Karma: +0/-0
    • View Profile
E2guardian'ı tek başına kurdum ve test ediyorum. Her şey güzel çalışıyor. Gruplar oluşturup her bir gruba farklı siteleri yasaklayabildim.

Fakat "ACLs > Extension List" alanını kullanarak bir dosya indirmeyi yasaklamayı yapmıyor. Örneğin ".exe" dosyaları vb.

Acaba bu sorunla karşılaşıp çözebilen oldu mu?

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 212
  • Karma: +17/-1
    • View Profile
Eski versiyonlarda uzantı engelleme çalışıyordu fakat yeni versiyonda malesef çalışmıyor
Marcello nun bilgisi var müdahale edilmesini bekleyeceğiz.

Offline ersan

  • Jr. Member
  • **
  • Posts: 31
  • Karma: +0/-0
    • View Profile
Teşekkürler

Bekleyeceğiz artık

Offline susamlicubuk

  • Full Member
  • ***
  • Posts: 212
  • Karma: +17/-1
    • View Profile
marcellonun güncellemesinden sonra uzantı engelleme şuan çalışıyor

Offline ersan

  • Jr. Member
  • **
  • Posts: 31
  • Karma: +0/-0
    • View Profile
Malesef ben bir türlü beceremedim.
Yasaklanan dosya uzantıları yinede indiriliyor.

Acaba özel bir ayar mı var?