Első ránézésre nem rossz a PFSense. Főleg ha nem szeretnék VI editorral
konfig fájlokat matatni,
pl amikor egy wifi usert hozzáadok a radiushoz.
Nyilván én csak a tantermi tanulói gépeket szeretném ezzel proxyzni, és
csak ismerkedek a témával.
A squidguard tartalomszűrés csak ráadás. Csak azért telepítettem mert
szembejött a lehetőség.
A tartalom szűrésre a DNS alapú ingyenes megoldás is elég lenne, mivel
nincs semmi előírva.
A tanulói gépeken tiltva van a windows update, és a vírusirtó frissítés,
mert Radix vagy deepfreeze van a gépeken.
Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán
bejelentkezek a netbankba, miközben "man in the middle" van:)
és közben zölden virít a lakat a firefoxban. Így mi értelme van az egész
SSL dolognak.?
Csak még mindíg azt nem tudom hogy squid3 cacheeli is a https
veblapokat, vagy csak szűrni tudja?
2018.02.28. 9:28 keltezéssel, Fehér Sándor írta:
Üdv!
>A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
kapcsolatos macerát.
Elsőre én is így próbálkoztam, saját fordítás lett a vége :)
>Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány
a kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam,
de sajnos nem kaptam választ. ( gondolom nem sokan használják a
pfsense-t)
Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //
2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
Sziasztok!
A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
kapcsolatos macerát.
Ezek mind elérhetők a pfsense package managerben, és viszonylag
működik is elsőre.
(Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV."
funkciót, de ez most nem lényeges.)
Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
És nem mellékes, hogy a freeradius is működik első próbálkozásra WPA
Enterprise-hez.
Van amit nem értek:
Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van
ilyen beállítás hogy:
"Splice Whitelist, Bump Otherwise"
vagy
"Splice All"
Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
szerint.
A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
oldalak megnyitását csak a hibaüzenet máshogy néz ki.
egyik estben sem normális hibaüzenet, hanem valami névfeloldással
vagy SSL problémával kapcsolatos.
De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
"splice all" -t választottam,
akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
vagy azt sehogy sem csinálja?
Kösz,
Péter
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
