[Techinfo] pfsense squid3 squidguard
Horváth Péter
justicefriend at freemail.hu
2018. Feb. 28., Sze, 11:26:26 CET
Első ránézésre nem rossz a PFSense. Főleg ha nem szeretnék VI editorral
konfig fájlokat matatni,
pl amikor egy wifi usert hozzáadok a radiushoz.
Nyilván én csak a tantermi tanulói gépeket szeretném ezzel proxyzni, és
csak ismerkedek a témával.
A squidguard tartalomszűrés csak ráadás. Csak azért telepítettem mert
szembejött a lehetőség.
A tartalom szűrésre a DNS alapú ingyenes megoldás is elég lenne, mivel
nincs semmi előírva.
A tanulói gépeken tiltva van a windows update, és a vírusirtó frissítés,
mert Radix vagy deepfreeze van a gépeken.
Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán
bejelentkezek a netbankba, miközben "man in the middle" van:)
és közben zölden virít a lakat a firefoxban. Így mi értelme van az egész
SSL dolognak.?
Csak még mindíg azt nem tudom hogy squid3 cacheeli is a https
veblapokat, vagy csak szűrni tudja?
2018.02.28. 9:28 keltezéssel, Fehér Sándor írta:
> Üdv!
>
> >A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
> kapcsolatos macerát.
> Elsőre én is így próbálkoztam, saját fordítás lett a vége :)
>
> >Az első estben kell saját készítésű CA tanusítványt telepíteni a
> kliensekre, hogy megnyissa a https oldalakat,
> a 2. esetben nem.
> Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány
> a kliens gépekre.
> Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam,
> de sajnos nem kaptam választ. ( gondolom nem sokan használják a
> pfsense-t)
>
> Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
> összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a
> 16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
> Mai napig szüperül működik, javaslom neked is ezt a módszert.
> //Az ssl filterezésnél a windows update-el és víruskeresők online
> frissítésével lehet gondod, de elviekben van ezekre is megoldás. //
>
>
>
>
> 2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
>> Sziasztok!
>>
>> A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
>> kapcsolatos macerát.
>> Ezek mind elérhetők a pfsense package managerben, és viszonylag
>> működik is elsőre.
>> (Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV."
>> funkciót, de ez most nem lényeges.)
>> Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
>> http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
>> És nem mellékes, hogy a freeradius is működik első próbálkozásra WPA
>> Enterprise-hez.
>>
>> Van amit nem értek:
>>
>> Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van
>> ilyen beállítás hogy:
>>
>> "Splice Whitelist, Bump Otherwise"
>> vagy
>> "Splice All"
>>
>> Az első estben kell saját készítésű CA tanusítványt telepíteni a
>> kliensekre, hogy megnyissa a https oldalakat,
>> a 2. esetben nem.
>> Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
>> szerint.
>> A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
>> oldalak megnyitását csak a hibaüzenet máshogy néz ki.
>> egyik estben sem normális hibaüzenet, hanem valami névfeloldással
>> vagy SSL problémával kapcsolatos.
>>
>> De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
>> "splice all" -t választottam,
>> akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
>> vagy azt sehogy sem csinálja?
>>
>>
>>
>>
>> Kösz,
>> Péter
>>
>>
>>
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
További információk a(z) Techinfo levelezőlistáról