Forum
Merhaba;
pfsense üzerinde squid ile authentication ile doğrulama yaparak sistemimizde sadece squid ile çıkış yapılmasını sağlıyoruz. İnternet hizmeti sadece server ile dağıtılan proxyler de pf2ad ile kullanılabiliyor.
İnternet hizmeti dışardan birinin bilgisayarını taktığında çalışmaması için 80-443 portu kapattık. ve ip ler manuel olarak dağıtılıyor.
Şimdi şöyle bir sorunumuz var 80-443 portu blockladıktan sonra bazı sorunlar ve ihtiyaçlar meydana geliyor. Örneğin türk telekomun hız testini bile yapamıyoruz. Veya bazı web sitelerinde sanırım bu portu kullanan sitelerde ve programlarda erişim sağlanamıyor.
Ayrıca proxy tanımlanmamış ve domain dışındaki bazı bilgisayarlarımız oluyor bunları bizim müdahalemiz dışında bazı arkadaşların sadece cihazlara ip vererek update yapmasını nasıl sağlayabiliriz. Bunun için rules kısmından aliases tanımlamaları yaptığımda " (izin verilen ip no-website)-(source- destiniation) " işe yaramadı. Veya başka bir yolu var mıdır?
merhaba,
manual ip dağıttığınız için wpad kullanmadığınızı varsayıyorum.
erişiminde sorun yaşadığınız siteler için, squid tarafında "bypass proxy for these dest. ips" bölümünü kullanın.
ad'ye dahil olmayan hostlar için firewall tarafında bir alias oluşturun.
80-443 erişimini engellediğiniz kuralın üstünde, kaynak : aliasadi , hedef port : 80,443,53 olacak şekilde yeni bir kural oluşturun, erişimi test edin.
host sayısı/bütçenizi bilmemekle birlikte, yönetimi ve takibi zor bir yöntem seçmişsiniz.
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhaba verdiğiniz bilgiler için teşekkürler,
Erişimde yaşanan sorunlu siteler için bypass konusu nu deneyeceğim,
Domain dışında ki Web siteleri için de dediğiniz kuralı yazınca o bilgisayarlar squid dışında kaldıkları için tamamen log kaydı olmadan tüm sitelere giriyor.Ama istediğimiz sadece bu bilgisayarların Windows update yapması. Her siteye proxy olmadan kullanamasın. Amaç sadece Windows update yapan linkleri yada bağlantıları bulup belirli ip nolar ile sadece bu Web sitelerine 80 veya 443 den erişime açmak.
Aslında 80-443 portlarından giriş yapan bir kullanıcıyı doğrudan 3128 squid e yönlendirebilseydik hiç bir sorunumuz kalmazdı. Böylelikle domain dışında ki bir bilgisayar da erişim yapmak istediğinde kullanıcı adı Ve şifre ekranı gelirdi ve bu cihazların da sistemden geçmesi sağlanırdı. Squid Transparent modunu kullanamıyoruz kimlik doğrulama açık iken aktif olmuyor. Acaba bunu port yönlendirme işlemi ve bir kural yazarak sağlayabilir miyiz?
Son olarak dediğiniz gibi yönetimi ve takibi zor bir işlem seçtiğimin farkındayım. En son ne önerirsiniz onu uygulayayım.
(Cp, radius,dhcp,wpad vs her ne ise en mantıklısı ne olurdu hocam)
Şu an da ekstra bir bütçemiz yok.
Bu arada;
bypass proxy for these dest. ips" kısmına baktığımda trasparan modu kapalı olduğu için kullanılamıyor.