Pfsense Üzerinde Transparent Proxy Kullanırken HTTPS Trafiğini Bloklama

Selamlar,

Pfsense bilindiği üzere gayet yetenekli opensource bir firewall dur. Üzerine kurabildiğiniz ek paketler ile küçük ve orta ölçekli işletmelerin -ki ihityaca göre büyük yapılarında- tüm trafiğini yönetebilecek bir altyapıya sahiptir.

Özelliklerinden bazıları;

  • Layer3 Firewall
  • Proxy (Squid)
  • Proxy Filter (Dansguardian – Squidguard)
  • HTTP ve SMTP Antivirus Gateway
  • Antispam Gateway
  • Ntop (Trafic Monitoring)
  • Sarg ve LightSquid ile raporlama
  • Bandwidth management
  • Varnish ile Web Server Http accelaration
  • Syslog Server
  • Snort ile IPS-IDS
  • IPSEC-L2TP-PPTP Vpn Server
  • Haproxy ile load balancing
  • Radius Server
  • DNS Server
  • WAN Load Balancing
  • Cluster Çalışabilme

ve daha fazlasını bu open source yazılım ile yapabilirsiniz..

Kısaca aslında elimizdeki bu tool gayet cüz-i bir donanım yatırımı ile ciddi stabilite sağlayarak, bize binlerce dolar ödeyerek yapmaya çalıştığımız işleri ücretsiz olarak sunmaktadır.

Gelelim bu yazılımda bulunan ufak bir püf noktasına;

Pfsense i kurdunuz ve üzerine içerik filtreleme yapmak için Squid + Squidguard ı kurdunuz. sonrada dediniz ki ben clientlarıma proxy ayarı yapmak istemiyorum ve ben bu yüzden bu yapıyı transparent modada çalıştıracağım.. Ok buraya kadar hiç bir sıkıntı yok lakin squid ve squidguard (veya dansguardian) Https trafiğini engelleyemediğinizi göreceksiniz. Bunun aslında çok basit bir iki çözümü var;

Bunlardan birincisi ve uzun olanı bu iş için engellemek istediğiniz siteye ait IP bloğunu bulup, tek tek bu blokları firewall üzerinde bloklamak ama facebook gibi bir siteyi bloklamaya kalktığınızda bu siteye ait 65 adet IP bloğu olduğunu göreceksiniz ki bu da 65 adet tanımlama yapmak demektir.

2. seçenek olarak ise eğer içeride bir DNS server ınız varsa onun üzerinde domain e ait bir zone oluşturarak (yada conditionel forwarder tanımlayarak) siteyi 0.0.0.0 yada olmayan bir ip adresine yönlendirmek. (ki telekom bu yöntemi kullanıyor bildiğiniz üzere.)

3.seçenek ise yine 1. seçenekteki gibi firewall üzerinden HTTPS trafiğini bloklamak ama bir farkla.

Pfsense üzerinde menülerden Firewall–>Aliases kısmına gidin ve yeni bir alias ekleyin.

Name kısmına Blocked_Https_sites gibi bir şey yazabilirsiniz. Oluşturacağınız alias ın Type ı Host(s) olacak ve size ip sorduğu yere engellemek istediğiniz sitenin domain ini yazın. (facebook.com gibi.) bundan sonra Host eklemeye devam ederek sub domainleri de bloklayın. (www.facebook,m.facebook gibi..).

alias

 

 

Bir sonraki adımda ise Lan–>WAN rullarınıza gidin ve en üzte yeni bir rule oluşturun. Actio olarak Block, source olarak LAN Subnet ve Destination olarakta alias seçip Blocked_Https_sites seçin.

Ardından port olarak HTTPS i seçin ve Save deyin..

rule

Hayırlısı olsun…artık kullanıcılarınız HTTPS üzerinden de facebook a çıkamayacaklardır.

İyi günler dilerim…

About Tansu Ekinci

Tansu Ekinci Biyografi 1980 yılının 24 Haziran’ ında Kırklareli’nin Babaeski ilçesinde doğmuştur. İlk öğretimini Hamdihelvacıoğlu İlkokulu’nda Ortaokul ve Lise eğitimini Kırklareli Anadolu Lisesi’ nde tamamladıktan sonra Ege Üniversitesi Ege Meslek Yüksek Okulu İşletmeciliği tamamlamış ve ardından İstanbul Üniversitesi İşletme Fakültesi’ ne Dikey Geçiş Sınavı ile geçerek işletme bölümünü bitirmiştir. Eğitim hayatı boyunca bir hobi olarak orta okul son sınıfta başlayan bilgisayar merakı giderek profeyonelleşmiş ve bir yaşam biçimi haline gelmiştir. Bu sırada çeşitli tüzel kişilere hizmet sunmuş ve bunun sayesinde bilgi işlem sektörünü kendisine meslek olarak seçmiştir. Bu sırada aldığı işletme eğitiminin de kendisine ileride yöneticilik için her zaman faydalı olacağının farkında olmuş ve bu konuyada önem vermiştir. Askerliğini 2005 yılında Muğla İli Ula ilçesinde Kısa Dönem Jandarma Çavuş olarak başarı ile tamamladıktan sonra Profesyonel iş hayatına atılmış ve ilk olarak bir yazılım şirketinde Yazılım Destek Departmanında işe başlamış ve burada mevcut yazılımın kullanımı ile ilgili olarak kullanıcı desteği ve eğitimi vermiştir. Ardından Netron Corparate Solutions şirketine Sistem Mühendisi olarak girmiş buradan da Marm Assistance A.Ş.‘ne geçiş yapmıştır. Ardından bu görevinden ayrılmış ve Limango Ltd.Şti isimli şirkette aynı pozisyonda çalışmaktadır. ޞu anda halen Limango Ltd.Şti. ‘de Senior Microsoft Sistem Mühendisi olarak çalışmaktadır…
This entry was posted in Linux, Pfsense and tagged , , , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.