On 17-04-2014 14:11, Mucibirahman İLBUĞA wrote: > 16-04-2014 16:15, "M.Atıf CEYLAN" yazmış: > > Selamlar, > Şiir gibi yazmışsınız... :) > >> Ben olsam şöyle yapardım. >> squid 80 için transparent kullanır ve > BU aşağıdaki kısmı anlamadım. Nasıl yapılacak? Normalde 443'ü > engelleyebilirim. Ama bu dediğiniz farklı bir şey sanki?... Transparent proxy yaparsanız https dinleyemezsiniz ama non-transparent yani intercepted yani sonlandırılmış proxy olarak kullanırsanız ssl pfsense üzerinde sonlanır ve arkadaki clientlar için yeni bir ssl trafik oluşturularak data aktarılır. Tabi burada client'ların göreceği sizin sertifikanız olur. Ancak amacınıza ulaşmış ve https networkünüzde mucip-in-the-middle olursunuz. >> farklı bir instance'da da 443 için sonlandırma yapardım. > Bu kısımda anlaşılamadı. 443 sonlanınca HTTPS trafiği neredenakacak? > Squid HTTPS izleyemiyor diye biliyorum?... Transparent modda evet dinleyemiyor. >> Banka gibi özel yerler için de https trafiği squid'e sokmazdım. >> Böylece https trafiği de dinlerdim. > Bu sertifika işi zaten başlı başına derin konu. Aslında bu konuda bir > kaynak olabilse ne hoş olur?.. :) >> İmkan varsa self signed sertifikamı da client'lara eklerdim. > BUna benzer bir yapıyı facebook için kullanıyorum. Facebook IP'lerini > bir liste haline getirdim ve O IP'lere geliş/gidişi engelledim. Bir > süredir idare ediyor... :) Facebuk tls kullanıdığı için tüm trafik kriptolu gitmediğinden url filtreleme yapılabilir. >> Default kullanılabilecek proxy/vpn portlarını doğrudan engeller ve >> ufak bir google araştırması ile de kendime proxy/vpn block list >> oluştururdum. Hatta dışa giden tüm UDP isteklerine mani olurdum ki >> trojan bulaşmış bir zombi benim networkümden dışarı çıkamasın. > Bu nereden veriliyor? Faydası nedir? Ne işe yarar? Firewall->rules içerisinden >> Rule'lara rate ve state limitleri eklerdim. > PfSense üzerine DNS sunucu mu kurulacak? Olabiliyor mu?... Evet paketlerde tinydns ve bind dns var. Cache dns olarak kullanabilir ve içerideki makineleriniz için recursive sorgulara açabilirsiniz. > >> Bununla da kalmaz tüm dns sorgularına kendim cevap verir ve onu da >> telekomdan alırdım ki yasaklı sitelere de kimse giremesin. > Bu zaten malum... :) >> Tabi hazır squid varken squidguard black listi de aktif ederdim. >> Sonra da oturup kulaklarımın çınlamasını dinlerdim.
-- M.Atıf CEYLAN Yurdum Yazılım _______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
