2 Ağustos 2013 23:15 tarihinde Hasan Akgöz <[email protected]> yazdı:
> Transparan proxy kullanmak her zaman daha iyi bir çözümdür. Kullanıcı > tarafında manual olarak ya da dhcp yoluyla proxy dağıtmak bence ek bir yük. > Zaten tüm trafiğin yönetimi transparan proxy kullandığınız için sizde > bulunuyor. Yapmanız gereken squid + ssl bump ikilisini kullanarak ssl > trafiğini yönetmek. Aksi halde siz kullanıcıların browser'larına proxy > girseniz bile https trafiğini squid anlamlandıramayacağı için herhangi bir > filitreye takılmayacaktır. Zaten squid'in işi https değildir pfsense'in hiç > değildir. Squid bir http proxy serverdır. ssl bump veya ssl strip gibi > uygulamaların yardımıyla squid ile ssl trafiğini yönetebilirsiniz. squid 3 > ile ssl desteği geldi .Dikkat etmeniz gereken ikinci nokta openssl ile > oluturulan sertifikayı kullanıcı tarafında trusted root ca authorities > olarak eklemek aksi halde https ile facebook'a girerken browser'lar uyarı > vermeye başlar. Çünkü ssl trafiğini yönetebilmek için bir nevi MITM ( > Man-in-the-middle ) methodu kullanıyorsuz. Eğer pfsense'i xyz yerleri bloke > etmek,vpn yapmak amacıyla kullanıyorsanız sizin için verimli olmayacaktır. > Pfsense yerine herhangi bir gnu/linux dağıtımı + iptables daha verimli ve > esnek olacaktır. Örneğin facebook ip aralığını bloke etmek istiyorsunuz. > Bunun için facebook'un as number'ını elde etmeniz yeterlidir. Ekstra > facebook x ip adresini bile eklese sizin bunu takip etmeniz gerekmez. whois > tool'u ile şöyle bir arama yapıp ; > Önceki e-postamda ifade ettiğim gibi admini olduğunuz networkün yapısına göre seçimler değişebilir. Evet en iyi yöntem gibi görünüyor ama 500 kullanıcılı bir ağda ben bir yılda pes ettim. Olanlar neler: * Browserlar (sizin de değindiğiniz gibi) her https trafiğinde sertifika hatası veriyor, bas bas bağırıyor. * Kullanıcı soluğu sizin kapınızda alıyor ve "beni neden yasakladınız" diye haykırıyor. * Yönetici "beni de mi blokluyorsunuz" diyor. * İE'nin sertifika hata sayfasında "devam et (önerilmez)" seçeneğini tıklayıp sorun çözmüş görünüyorsunuz ve izah etmeye çalışıyorsunuz. * Kullanıcı ikinci kez tekrar geliyor. Bu sorun yine oldu diyor. Her seferinde buraya mı tıklayacam diyor. bankaya da mı yasak koydunuz diyor. * Yönetici "eeee, yine ne yaptınız, çözemediniz mi şu sorunu" diyor. * Bu arada bankaların IP bloklarını sisteme işleyerek bu saçma diyalogları bir nebze azaltmaya çalışıyorsunuz. * Çalan her telefonu default olarak "devam et (önerilmez) e tıklayın" diye açmaya başlıyorsunuz. * Hotmail ve gittigidiyor'un sayfaları bazen şaftı kaymış şekilde geliyor, bazen gelmiyor. * MSN kafasına göre takılıyor. Dün çalışıyordu, bugün çalışmıyor, yarın ne olacağı belli değil. * Sonra siz "Yaşar, Ne Yaşar Ne Yaşamaz"'ın admin versiyonu olarak buluyorsunuz kendinizi. Kullanıcı profiliniz size bunları yaşatmayacak ise, tamam, eyvallah... -- Saygılar, Aytekin Aygün
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
