Transparan proxy kullanmak her zaman daha iyi bir çözümdür. Kullanıcı tarafında manual olarak ya da dhcp yoluyla proxy dağıtmak bence ek bir yük. Zaten tüm trafiğin yönetimi transparan proxy kullandığınız için sizde bulunuyor. Yapmanız gereken squid + ssl bump ikilisini kullanarak ssl trafiğini yönetmek. Aksi halde siz kullanıcıların browser'larına proxy girseniz bile https trafiğini squid anlamlandıramayacağı için herhangi bir filitreye takılmayacaktır. Zaten squid'in işi https değildir pfsense'in hiç değildir. Squid bir http proxy serverdır. ssl bump veya ssl strip gibi uygulamaların yardımıyla squid ile ssl trafiğini yönetebilirsiniz. squid 3 ile ssl desteği geldi .Dikkat etmeniz gereken ikinci nokta openssl ile oluturulan sertifikayı kullanıcı tarafında trusted root ca authorities olarak eklemek aksi halde https ile facebook'a girerken browser'lar uyarı vermeye başlar. Çünkü ssl trafiğini yönetebilmek için bir nevi MITM ( Man-in-the-middle ) methodu kullanıyorsuz. Eğer pfsense'i xyz yerleri bloke etmek,vpn yapmak amacıyla kullanıyorsanız sizin için verimli olmayacaktır. Pfsense yerine herhangi bir gnu/linux dağıtımı + iptables daha verimli ve esnek olacaktır. Örneğin facebook ip aralığını bloke etmek istiyorsunuz. Bunun için facebook'un as number'ını elde etmeniz yeterlidir. Ekstra facebook x ip adresini bile eklese sizin bunu takip etmeniz gerekmez. whois tool'u ile şöyle bir arama yapıp ;
whosi 173.252.110.27 | grep OriginAs whois -h whois.radb.net -- ' -i origin AS32934' | grep ^route facebook ip listesini elde edebilirsiniz bu bir txt olarak yazdırıp ufak bir döngü ile iptables'a satır satır okutup ip adreslerini drop edebilirsiniz. Benim acizane düşüncem bu şekilde. 2 Ağustos 2013 15:24 tarihinde Mucibirahman İLBUĞA <[email protected]>yazdı: > 02-08-2013 14:15, ilker AYDIN yazmış: > > Anlatılmak istenilen şu; > > firewal üzerinden tüm internet çıkışı kesilir. heryer herkes tüm port > > çıkışı kapatılır. > > > Merhabalar, > Çok açıklayıcı oldu. Teşekkürler... > > Yakın zamanda trasnparan'ı kaldırmayı planlıyorum o zaman. Ancak > güvenlik duvarının arkasında qmail-toaster posta sunucumuz var. Onda bir > değişiklik gerekecek mi acaba?... > > Yazdıklarınızdan anladığım, olabildiğince güvenlik ve kontrol için > transparent kullanmamak gerekiyor... > > -- > Kolay gelsin, > Mucip:) > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > >
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
