6
PfSense - Wie funktioniert HTTPS-Filterung ohne SSL-Interception?
Ich benutze die neueste Version von pfSense und möchte neben http auch https filtern - jedoch ohne SSL aufzubrechen. Installiert ist bereits squid3-dev und squidGuard-squid3. Clients bekommen von pfSense per DHCP die IP-Adresse. Die Firewallregeln sind so eingestellt:
Es läuft zur Zeit der transparente Proxy und funktioniert für http einwandfrei, https kann jedoch umgangen werden.
Unter den Einstellungen für den transparenten Proxy ist der folgende Hinweis zu lesen: "To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp." Nach der Anleitung unter https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid habe ich dies bereits gemacht. Die Filterung läuft jedoch weiter wie bisher (https wird nicht gefiltert). Hat jemand eine Idee, was ich falsch mache? Eine Möglichkeit mit festem Proxy zu arbeiten (wie bei IPFire), würde völlig ausreichen...
Es läuft zur Zeit der transparente Proxy und funktioniert für http einwandfrei, https kann jedoch umgangen werden.
Unter den Einstellungen für den transparenten Proxy ist der folgende Hinweis zu lesen: "To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp." Nach der Anleitung unter https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid habe ich dies bereits gemacht. Die Filterung läuft jedoch weiter wie bisher (https wird nicht gefiltert). Hat jemand eine Idee, was ich falsch mache? Eine Möglichkeit mit festem Proxy zu arbeiten (wie bei IPFire), würde völlig ausreichen...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 259634
Url: https://administrator.de/contentid/259634
Printed on: April 24, 2024 at 16:04 o'clock
6 Comments
Latest comment
Hallo Christoph,
In diesem Fall musst du dann die Proxy-Autokonfiguration in deinen Clients aktivieren. alternativ kannst du auch einfach mal die Proxyeinstellungen manuell setzen. solltest du die Benutzung des Proxys erzwingen wollen, würde ich die Ports 80 und 443 aus dem internen Netz sperren.
Beste Grüße!
Berthold
In diesem Fall musst du dann die Proxy-Autokonfiguration in deinen Clients aktivieren. alternativ kannst du auch einfach mal die Proxyeinstellungen manuell setzen. solltest du die Benutzung des Proxys erzwingen wollen, würde ich die Ports 80 und 443 aus dem internen Netz sperren.
Beste Grüße!
Berthold
Hallo Berthold,
danke für Deine Hinweise.
Die Proxy-Einstellungen für IE und Firefox waren bereits auf "automatisch erkennen" eingestellt. Wenn ich den Port 443 aus dem internen Netz blockiere, werden alle https-Seiten gesperrt.
Leider ist noch ein weiteres Problem hinzugekommen: seit einem Neustart von pfSense lässt sich der squidGuard-Dienst (zumindest über die Webschnittstelle) nicht mehr starten...
Für weitere Tipps wäre ich dankbar...
Gruß
Christoph
danke für Deine Hinweise.
Die Proxy-Einstellungen für IE und Firefox waren bereits auf "automatisch erkennen" eingestellt. Wenn ich den Port 443 aus dem internen Netz blockiere, werden alle https-Seiten gesperrt.
Leider ist noch ein weiteres Problem hinzugekommen: seit einem Neustart von pfSense lässt sich der squidGuard-Dienst (zumindest über die Webschnittstelle) nicht mehr starten...
Für weitere Tipps wäre ich dankbar...
Gruß
Christoph
Das bedeutet dann, dass deine clients den Proxy garnicht verwenden. Setze testweise mal die Proxyeinstellungen selbst...
Was sagen denn die Logs?
Was sagen denn die Logs?
Leider startet der squidGuard-Dienst (Version 3) nicht mehr. Mittlerweile habe ich squid und squidGuard in der Version 2 installiert. Die Dienste laufen jetzt auch. Die Firewall ist so eingestellt, dass Port 80 und 443 nur aus dem WAN-Net erlaubt sind. Der Proxy ist jetzt fest am Client eingerichtet. Der transparente Proxy ist nicht aktiviert. Https- und http-Seiten, die in der Blacklist gesperrt sind, werden auch mit Sperrhinweis geblockt. Alle anderen Seiten können leider nicht geladen werden... Gibt es hier tatsächlich nur die Möglichkeit über transparenten Proxy zu filtern?
Entweder du machst einen WPAD-Server oder du leitest den Traffic HTTP und HTTPS auf den Proxy um. Für https musst du den Squid anpassen (http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy ..). Der transparente Proxy hat zur Folge das deine User keine Authentifizierung eingeben müssen, sprich keinen Usernamen und Passwort. Du solltest nicht Squidguard V3 und V2 parrallel installieren. Ich glaube das gibt Probleme.
Ich häng mich mal hier dran, und zwar:
ich nutze ebenfalls die pfSense und habe squid3 als package installiert und auch am Laufen. Soweit funktioniert alles, bis eben auf SSL. Sobald ein Client eine Webseite wie z.B. "www.google.de" oder "www.yahoo.com" aufruft wird er zu https:www.google.de, bzw. https:www.yahoo.com und dann kommt es irgendwann zu einem timeout am client-browser.
In der Squid/Proxy Konfigurationsseite innerhalb der WebGUI von pfSense schaut es so aus bei mir:
http://abload.de/img/clipboard01y7jhg.jpg
(PS: Ich weiß wie man Bilder hinzufügt, aber diese Funktion scheint wohl nur zu funktionieren, wenn ich einen eigenen Beitrag erstellt habe. Dort kann ich nämlich Bilder auswählen für den Upload. Hier aber finde ich diesen Tab oben nicht, demnach konnte ich das Bild nicht direkt auf administrator.de hochladen und habe den dienst abload.de verwendet. Man mag mir verzeihen und erklären, ob und wie ch auch in fremden Beiträgen als Kommentar Fotos hochladen kann)
den Haken habe ich bei "resolve ipv4 DNS first" habe ich gesetzt, denn in der Beschreibung wird gesagt, dass man das machen sollte vor allem wenn es zu Problemen mit https:// Zugriffen kommt. Leider hilft das nichts. Wenn ich jetzt nach meiner Google-Recherche richtig verstanden habe, dann müsste doch irgendwo und irgendwie jemand als MAN-IN-THE-MIDDLE agieren und die SSL-Anfrage des webclients an den eigentlich Server durchschleifen (via squid/proxy). Müsste dann aber dieser MITM-Prozess nicht auch ein gültiges Zertifikat dem Client vorweisen? Wie zum Geier macht man das hier mit der pfsense? Ich möchte unbedingt einen transparenten Proxy verwenden, das muss so bleiben.
Bin für jede Hilfestellung sehr dankbar.
Grüße,
Pangu
ich nutze ebenfalls die pfSense und habe squid3 als package installiert und auch am Laufen. Soweit funktioniert alles, bis eben auf SSL. Sobald ein Client eine Webseite wie z.B. "www.google.de" oder "www.yahoo.com" aufruft wird er zu https:www.google.de, bzw. https:www.yahoo.com und dann kommt es irgendwann zu einem timeout am client-browser.
In der Squid/Proxy Konfigurationsseite innerhalb der WebGUI von pfSense schaut es so aus bei mir:
http://abload.de/img/clipboard01y7jhg.jpg
(PS: Ich weiß wie man Bilder hinzufügt, aber diese Funktion scheint wohl nur zu funktionieren, wenn ich einen eigenen Beitrag erstellt habe. Dort kann ich nämlich Bilder auswählen für den Upload. Hier aber finde ich diesen Tab oben nicht, demnach konnte ich das Bild nicht direkt auf administrator.de hochladen und habe den dienst abload.de verwendet. Man mag mir verzeihen und erklären, ob und wie ch auch in fremden Beiträgen als Kommentar Fotos hochladen kann)
den Haken habe ich bei "resolve ipv4 DNS first" habe ich gesetzt, denn in der Beschreibung wird gesagt, dass man das machen sollte vor allem wenn es zu Problemen mit https:// Zugriffen kommt. Leider hilft das nichts. Wenn ich jetzt nach meiner Google-Recherche richtig verstanden habe, dann müsste doch irgendwo und irgendwie jemand als MAN-IN-THE-MIDDLE agieren und die SSL-Anfrage des webclients an den eigentlich Server durchschleifen (via squid/proxy). Müsste dann aber dieser MITM-Prozess nicht auch ein gültiges Zertifikat dem Client vorweisen? Wie zum Geier macht man das hier mit der pfsense? Ich möchte unbedingt einen transparenten Proxy verwenden, das muss so bleiben.
Bin für jede Hilfestellung sehr dankbar.
Grüße,
Pangu
