Üdv!
>A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
kapcsolatos macerát.
Elsőre én is így próbálkoztam, saját fordítás lett a vége :)
>Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány a
kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, de
sajnos nem kaptam választ. ( gondolom nem sokan használják a pfsense-t)
Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //
2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
Sziasztok!
A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
kapcsolatos macerát.
Ezek mind elérhetők a pfsense package managerben, és viszonylag
működik is elsőre.
(Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV."
funkciót, de ez most nem lényeges.)
Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
És nem mellékes, hogy a freeradius is működik első próbálkozásra WPA
Enterprise-hez.
Van amit nem értek:
Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van ilyen
beállítás hogy:
"Splice Whitelist, Bump Otherwise"
vagy
"Splice All"
Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
szerint.
A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
oldalak megnyitását csak a hibaüzenet máshogy néz ki.
egyik estben sem normális hibaüzenet, hanem valami névfeloldással vagy
SSL problémával kapcsolatos.
De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
"splice all" -t választottam,
akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
vagy azt sehogy sem csinálja?
Kösz,
Péter
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
