Merhaba aytekin bey; Tabiki yapıya göre ihtiyaçlar değişebilir . Sizin yapınızda mutlaka bir DC vardır. Squid'i dc'ye tanıtıp orada gruplar oluşturup muhasebe,ik vb.. gibi grublara göre kurallar yazılabilir ya da şirket içi bölümlerin network subnet'leri farklı ise yine istediğiniz gibi kural yazabilirsiniz. Hatta band genişiliğini bile farklı verebilirsiniz. Yönetici şu hız da girsin x adamlar şu hız da. Bunlar farklı konular gerçi. Başka türlü ssl trafiğini filitrelemek ssl'in yapısından dolayı çok güç olacaktır. Bahsettiğiniz sorunlar her şirkette rastlanan sorunlar yani size özel değil kuralları oturtana kadar en az 1 hafta başınız ağrır. Büyük ihtimalle oradaki işletim sistemlerini de siz kuruyorsunuzdur bir cert. eklemek çok güç olmasa gerek :).
Mucib bey; Squid kurup bir inceleme yaptım . SSL trafiği proxy üzerinden geçerken CONNECT metodunu kullanıyor. Şöyle bir acl yazınca istenen ssl tabanlı bir site bloke ediliebilir. Squid kullanıyorsanız yapınızda bir denermisiniz. acl yasak dstdomain .facebook.com .twitter.com http_access deny CONNECT yasak 3 Ağustos 2013 03:41 tarihinde Aytekin Aygün <aytekinay...@gmail.com> yazdı: > > > 2 Ağustos 2013 23:15 tarihinde Hasan Akgöz <hasanak...@mail.ru> yazdı: > > Transparan proxy kullanmak her zaman daha iyi bir çözümdür. Kullanıcı >> tarafında manual olarak ya da dhcp yoluyla proxy dağıtmak bence ek bir yük. >> Zaten tüm trafiğin yönetimi transparan proxy kullandığınız için sizde >> bulunuyor. Yapmanız gereken squid + ssl bump ikilisini kullanarak ssl >> trafiğini yönetmek. Aksi halde siz kullanıcıların browser'larına proxy >> girseniz bile https trafiğini squid anlamlandıramayacağı için herhangi bir >> filitreye takılmayacaktır. Zaten squid'in işi https değildir pfsense'in hiç >> değildir. Squid bir http proxy serverdır. ssl bump veya ssl strip gibi >> uygulamaların yardımıyla squid ile ssl trafiğini yönetebilirsiniz. squid 3 >> ile ssl desteği geldi .Dikkat etmeniz gereken ikinci nokta openssl ile >> oluturulan sertifikayı kullanıcı tarafında trusted root ca authorities >> olarak eklemek aksi halde https ile facebook'a girerken browser'lar uyarı >> vermeye başlar. Çünkü ssl trafiğini yönetebilmek için bir nevi MITM ( >> Man-in-the-middle ) methodu kullanıyorsuz. Eğer pfsense'i xyz yerleri bloke >> etmek,vpn yapmak amacıyla kullanıyorsanız sizin için verimli olmayacaktır. >> Pfsense yerine herhangi bir gnu/linux dağıtımı + iptables daha verimli ve >> esnek olacaktır. Örneğin facebook ip aralığını bloke etmek istiyorsunuz. >> Bunun için facebook'un as number'ını elde etmeniz yeterlidir. Ekstra >> facebook x ip adresini bile eklese sizin bunu takip etmeniz gerekmez. whois >> tool'u ile şöyle bir arama yapıp ; >> > > Önceki e-postamda ifade ettiğim gibi admini olduğunuz networkün yapısına > göre seçimler değişebilir. Evet en iyi yöntem gibi görünüyor ama 500 > kullanıcılı bir ağda ben bir yılda pes ettim. Olanlar neler: > > * Browserlar (sizin de değindiğiniz gibi) her https trafiğinde sertifika > hatası veriyor, bas bas bağırıyor. > * Kullanıcı soluğu sizin kapınızda alıyor ve "beni neden yasakladınız" > diye haykırıyor. > * Yönetici "beni de mi blokluyorsunuz" diyor. > * İE'nin sertifika hata sayfasında "devam et (önerilmez)" seçeneğini > tıklayıp sorun çözmüş görünüyorsunuz ve izah etmeye çalışıyorsunuz. > * Kullanıcı ikinci kez tekrar geliyor. Bu sorun yine oldu diyor. Her > seferinde buraya mı tıklayacam diyor. bankaya da mı yasak koydunuz diyor. > * Yönetici "eeee, yine ne yaptınız, çözemediniz mi şu sorunu" diyor. > * Bu arada bankaların IP bloklarını sisteme işleyerek bu saçma diyalogları > bir nebze azaltmaya çalışıyorsunuz. > * Çalan her telefonu default olarak "devam et (önerilmez) e tıklayın" diye > açmaya başlıyorsunuz. > * Hotmail ve gittigidiyor'un sayfaları bazen şaftı kaymış şekilde geliyor, > bazen gelmiyor. > * MSN kafasına göre takılıyor. Dün çalışıyordu, bugün çalışmıyor, yarın ne > olacağı belli değil. > * Sonra siz "Yaşar, Ne Yaşar Ne Yaşamaz"'ın admin versiyonu olarak > buluyorsunuz kendinizi. > > Kullanıcı profiliniz size bunları yaşatmayacak ise, tamam, eyvallah... > > > -- > Saygılar, > Aytekin Aygün > > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > >
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
