Selam, tam olarak sorun nedir? Facebook ve youtube engellemek mi? Aslında çözüm gayet basit, Layer 2'de bridge koşan ve inside modda çalışan bir Snort kurun ve rule yazarak facebook youtube gibi trafikleri engelleyin. HTTP olsun HTTPS olsun başka şeyler olsun kökten çözebilirsiniz. Biraz rule'lar ile uğraşmanız gerekecek.
Saygılarımla, Ozgur 3 Ağustos 2013 05:41 tarihinde Aytekin Aygün <[email protected]> yazdı: > > > 2 Ağustos 2013 23:15 tarihinde Hasan Akgöz <[email protected]> yazdı: > > Transparan proxy kullanmak her zaman daha iyi bir çözümdür. Kullanıcı >> tarafında manual olarak ya da dhcp yoluyla proxy dağıtmak bence ek bir yük. >> Zaten tüm trafiğin yönetimi transparan proxy kullandığınız için sizde >> bulunuyor. Yapmanız gereken squid + ssl bump ikilisini kullanarak ssl >> trafiğini yönetmek. Aksi halde siz kullanıcıların browser'larına proxy >> girseniz bile https trafiğini squid anlamlandıramayacağı için herhangi bir >> filitreye takılmayacaktır. Zaten squid'in işi https değildir pfsense'in hiç >> değildir. Squid bir http proxy serverdır. ssl bump veya ssl strip gibi >> uygulamaların yardımıyla squid ile ssl trafiğini yönetebilirsiniz. squid 3 >> ile ssl desteği geldi .Dikkat etmeniz gereken ikinci nokta openssl ile >> oluturulan sertifikayı kullanıcı tarafında trusted root ca authorities >> olarak eklemek aksi halde https ile facebook'a girerken browser'lar uyarı >> vermeye başlar. Çünkü ssl trafiğini yönetebilmek için bir nevi MITM ( >> Man-in-the-middle ) methodu kullanıyorsuz. Eğer pfsense'i xyz yerleri bloke >> etmek,vpn yapmak amacıyla kullanıyorsanız sizin için verimli olmayacaktır. >> Pfsense yerine herhangi bir gnu/linux dağıtımı + iptables daha verimli ve >> esnek olacaktır. Örneğin facebook ip aralığını bloke etmek istiyorsunuz. >> Bunun için facebook'un as number'ını elde etmeniz yeterlidir. Ekstra >> facebook x ip adresini bile eklese sizin bunu takip etmeniz gerekmez. whois >> tool'u ile şöyle bir arama yapıp ; >> > > Önceki e-postamda ifade ettiğim gibi admini olduğunuz networkün yapısına > göre seçimler değişebilir. Evet en iyi yöntem gibi görünüyor ama 500 > kullanıcılı bir ağda ben bir yılda pes ettim. Olanlar neler: > > * Browserlar (sizin de değindiğiniz gibi) her https trafiğinde sertifika > hatası veriyor, bas bas bağırıyor. > * Kullanıcı soluğu sizin kapınızda alıyor ve "beni neden yasakladınız" > diye haykırıyor. > * Yönetici "beni de mi blokluyorsunuz" diyor. > * İE'nin sertifika hata sayfasında "devam et (önerilmez)" seçeneğini > tıklayıp sorun çözmüş görünüyorsunuz ve izah etmeye çalışıyorsunuz. > * Kullanıcı ikinci kez tekrar geliyor. Bu sorun yine oldu diyor. Her > seferinde buraya mı tıklayacam diyor. bankaya da mı yasak koydunuz diyor. > * Yönetici "eeee, yine ne yaptınız, çözemediniz mi şu sorunu" diyor. > * Bu arada bankaların IP bloklarını sisteme işleyerek bu saçma diyalogları > bir nebze azaltmaya çalışıyorsunuz. > * Çalan her telefonu default olarak "devam et (önerilmez) e tıklayın" diye > açmaya başlıyorsunuz. > * Hotmail ve gittigidiyor'un sayfaları bazen şaftı kaymış şekilde geliyor, > bazen gelmiyor. > * MSN kafasına göre takılıyor. Dün çalışıyordu, bugün çalışmıyor, yarın ne > olacağı belli değil. > * Sonra siz "Yaşar, Ne Yaşar Ne Yaşamaz"'ın admin versiyonu olarak > buluyorsunuz kendinizi. > > Kullanıcı profiliniz size bunları yaşatmayacak ise, tamam, eyvallah... > > > -- > Saygılar, > Aytekin Aygün > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > -- Ozgur
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
