[Techinfo] pfsense squid3 squidguard

Fehér Sándor fehersandor at madach-starjan.sulinet.hu
2018. Feb. 28., Sze, 09:28:40 CET


Üdv!

 >A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával 
kapcsolatos macerát.
Elsőre én is így próbálkoztam, saját fordítás lett a vége :)

 >Az első estben kell saját készítésű CA tanusítványt telepíteni a 
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány a 
kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, de 
sajnos nem kaptam választ. ( gondolom nem sokan használják a pfsense-t)

Végül egy linuxakadémiás videót megvásároltam és az alapján + skf 
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a 
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online 
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //




2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
> Sziasztok!
>
> A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával 
> kapcsolatos macerát.
> Ezek mind elérhetők a pfsense package managerben, és viszonylag 
> működik is elsőre.
> (Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV." 
> funkciót, de ez most nem lényeges.)
> Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
> http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
> És nem mellékes, hogy  a freeradius is működik első próbálkozásra WPA 
> Enterprise-hez.
>
> Van amit nem értek:
>
> Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van ilyen 
> beállítás hogy:
>
> "Splice Whitelist, Bump Otherwise"
> vagy
> "Splice All"
>
> Az első estben kell saját készítésű CA tanusítványt telepíteni a 
> kliensekre, hogy megnyissa a https oldalakat,
> a 2. esetben nem.
> Squidguard esetén a 2.-at kell választani a megjelenő help szöveg 
> szerint.
> A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https 
> oldalak megnyitását csak a hibaüzenet máshogy néz ki.
> egyik estben sem normális hibaüzenet, hanem valami névfeloldással vagy 
> SSL problémával kapcsolatos.
>
> De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a 
> "splice all" -t választottam,
> akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
> vagy azt sehogy sem csinálja?
>
>
>
>
> Kösz,
> Péter
>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



További információk a(z) Techinfo levelezőlistáról