123788
Dec 24, 2016
1935
19
0
Transparenter Squid filtert nicht alles heraus
Hallo zusammen,
ich nutze Squid mit SquidGuard.
Spaßeshalber habe ich mal sämtliche Suchmaschinen gesperrt.
Nun stelle ich fest: Auf dem alten iPhone klappt das super, ich kann surfen, erreiche aber keine Suchmaschinen mehr.
Auf meinem Laptop merke ich: Fehlanzeige, google.com, bing.com lassen sich wunderbar aufrufen, yahoo.de aber bspw. nicht.
Grundsätzlich scheint der Squid also gefragt zu werden.
Squid ist als transparenter Proxy eingerichtet.
Könnt ihr mir helfen?
ich nutze Squid mit SquidGuard.
Spaßeshalber habe ich mal sämtliche Suchmaschinen gesperrt.
Nun stelle ich fest: Auf dem alten iPhone klappt das super, ich kann surfen, erreiche aber keine Suchmaschinen mehr.
Auf meinem Laptop merke ich: Fehlanzeige, google.com, bing.com lassen sich wunderbar aufrufen, yahoo.de aber bspw. nicht.
Grundsätzlich scheint der Squid also gefragt zu werden.
Squid ist als transparenter Proxy eingerichtet.
Könnt ihr mir helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 324740
Url: https://administrator.de/contentid/324740
Printed on: April 19, 2024 at 18:04 o'clock
19 Comments
Latest comment
Zitat von @123788:
Squid ist als transparenter Proxy eingerichtet.
Squid ist als transparenter Proxy eingerichtet.
Schau in die Logfiles, eventuell mit hochgedrehter Geschwätzigkeit. ggf. auch mal wireshark anwerfen.
lks
PS: Cache schon geprüft?
Moin!
Jau, den habe ich schon geleert. Hilft leider nix...
Edit: Habe festgestellt: Auf meinem Desktop-PC funktioniert alles tiptop...
Liegt dies daran, dass der Squid dort fest in den Browser eingetragen ist?
Also auf meinem Handy sind einige Suchmaschinen auch weiterhin erreichbar, obwohl sie in der Filterliste stehen.
Andere wiederum nicht...
Jau, den habe ich schon geleert. Hilft leider nix...
Edit: Habe festgestellt: Auf meinem Desktop-PC funktioniert alles tiptop...
Liegt dies daran, dass der Squid dort fest in den Browser eingetragen ist?
Also auf meinem Handy sind einige Suchmaschinen auch weiterhin erreichbar, obwohl sie in der Filterliste stehen.
Andere wiederum nicht...
Frohe Weihnachten,
WPAD
Oder aber beim Squid Benutzkonten anlagen und sich dann dort anmelden, geht auch über den oder in Verbindung mit dem Radius Server
und Zertifikaten zusammen. Mittels der Benutzeranmeldung kann man dann nicht mehr am Squid vorbei. Allerdings weiß ich nicht, ob das
noch mit dem transparenten Modus von Squid läuft.
Gruß
Dobby
WPAD
Oder aber beim Squid Benutzkonten anlagen und sich dann dort anmelden, geht auch über den oder in Verbindung mit dem Radius Server
und Zertifikaten zusammen. Mittels der Benutzeranmeldung kann man dann nicht mehr am Squid vorbei. Allerdings weiß ich nicht, ob das
noch mit dem transparenten Modus von Squid läuft.
Gruß
Dobby
Frohe Weihnachten,
Hast Du denn dem Squid alle Interfaces mitgeteilt, auf denen er arbeiten soll?
Bei mir läuft das auf der pfsense zuverlässig. Was ich sperre, ist nicht mehr erreichbar.
Auch im transparenten Modus.
So weit ich weiß, funktioniert die Benutzer Anmeldung nur im intransparenten Modus.
Gruß Looser
Hast Du denn dem Squid alle Interfaces mitgeteilt, auf denen er arbeiten soll?
Bei mir läuft das auf der pfsense zuverlässig. Was ich sperre, ist nicht mehr erreichbar.
Auch im transparenten Modus.
So weit ich weiß, funktioniert die Benutzer Anmeldung nur im intransparenten Modus.
Gruß Looser
Zitat von @123788:
Liegt dies daran, dass der Squid dort fest in den Browser eingetragen ist?
Liegt dies daran, dass der Squid dort fest in den Browser eingetragen ist?
Udn was pasiert, wenn Du ohen den squid einzutragen surfst? funktionieren dann die Zugriffsregeln imemr noch?
Also auf meinem Handy sind einige Suchmaschinen auch weiterhin erreichbar, obwohl sie in der Filterliste stehen.
Andere wiederum nicht...
Andere wiederum nicht...
Schau in die Logfiles, was der squid sagt. Noftfalls mußt Du die Geschwätzigkeit hiochdrehen!
lks
Also: Wenn ich den Proxy fest eintrage, wird auch alles gefiltert.
Als transparent ist er auf dem Interface natürlich konfiguriert, einige Suchmaschinen werden ja auch erfolgreich gefiltert (bspw. yahoo.de).
Grundsätzlich scheint der Traffic also schon über den Proxy zu laufen.
Bloß: Trage ich ihn nicht fest ein, kann ich google.de problemlos aufrufen.
Als transparent ist er auf dem Interface natürlich konfiguriert, einige Suchmaschinen werden ja auch erfolgreich gefiltert (bspw. yahoo.de).
Grundsätzlich scheint der Traffic also schon über den Proxy zu laufen.
Bloß: Trage ich ihn nicht fest ein, kann ich google.de problemlos aufrufen.
Zitat von @123788:
Also: Wenn ich den Proxy fest eintrage, wird auch alles gefiltert.
Als transparent ist er auf dem Interface natürlich konfiguriert, einige Suchmaschinen werden ja auch erfolgreich gefiltert (bspw. yahoo.de).
Grundsätzlich scheint der Traffic also schon über den Proxy zu laufen.
Bloß: Trage ich ihn nicht fest ein, kann ich google.de problemlos aufrufen.
Also: Wenn ich den Proxy fest eintrage, wird auch alles gefiltert.
Als transparent ist er auf dem Interface natürlich konfiguriert, einige Suchmaschinen werden ja auch erfolgreich gefiltert (bspw. yahoo.de).
Grundsätzlich scheint der Traffic also schon über den Proxy zu laufen.
Bloß: Trage ich ihn nicht fest ein, kann ich google.de problemlos aufrufen.
Dann scheint die "Transparenzkonfiuration" nicht zu stimmen. Wirf einfach mal wireshark an und schau, was Deine Squid-Kiste genau macht.
lks
Ziehst Du vielleicht nur http über den Proxy? Google ist aber https.
Gruß und frohe Weihnachten
Looser
Gruß und frohe Weihnachten
Looser
1
Hey Looser!
Es ist ein pfSense-System, die Sektion "SSL Man In the Middle Filtering" habe ich bisher nicht aktiviert.
Scheinbar ist es - laut Doku - in dem Falle auch sinnvoll, das - wie oben bereits erwähnt - per wpad zu lösen:
Es ist ein pfSense-System, die Sektion "SSL Man In the Middle Filtering" habe ich bisher nicht aktiviert.
Scheinbar ist es - laut Doku - in dem Falle auch sinnvoll, das - wie oben bereits erwähnt - per wpad zu lösen:
Note: Transparent mode will filter SSL (port 443) if you enable man-in-the-middle options below.
In order to proxy both HTTP and HTTPS protocols without intercepting SSL connections, configure WPAD/PAC options on your DNS/DHCP servers.
Guten morgen zusammen,
ich habe mal Wireshark laufen lassen und lediglich kurz die Seite bing.com aufgerufen.
Vllt werdet ihr aus dem Auszug schlau? Ich erkenne auf den ersten Blick nichts...
10.0.2.3 ist der Client, ein WLAN-Laptop.
Mal zum Vergleich, so sieht es aus, wenn ich die gesperrte Seite youporn.de aufzurufen versuche:
ich habe mal Wireshark laufen lassen und lediglich kurz die Seite bing.com aufgerufen.
Vllt werdet ihr aus dem Auszug schlau? Ich erkenne auf den ersten Blick nichts...
10.0.2.3 ist der Client, ein WLAN-Laptop.
09:36:08.775887 STP 802.1d, Config, Flags [none], bridge-id 8000.xx:xx:xx:xx:xx:xx.8001, length 43
09:36:09.444226 IP 10.0.2.3.50841 > 204.79.197.200.443: tcp 0
09:36:09.459421 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 613
09:36:09.464279 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 0
09:36:09.468834 IP 10.0.2.3.50841 > 204.79.197.200.443: tcp 0
09:36:09.473039 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 0
09:36:09.476820 IP 10.0.2.3.50841 > 204.79.197.200.443: tcp 214
09:36:09.489914 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 0
09:36:09.492322 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 1388
09:36:09.492575 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 1388
09:36:09.493318 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 1388
09:36:09.493760 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 1388
09:36:09.493963 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 1249
09:36:09.496568 IP 10.0.2.3.50841 > 204.79.197.200.443: tcp 0
09:36:09.514977 IP 10.0.2.3.50841 > 204.79.197.200.443: tcp 182
09:36:09.528667 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 0
09:36:09.530707 IP 204.79.197.200.443 > 10.0.2.3.50841: tcp 75
09:36:09.540188 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 725
09:36:09.540467 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.540585 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.540717 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.540836 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.540954 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.541065 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1305
09:36:09.541184 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.541301 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.541420 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.541538 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.541657 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.541767 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1305
09:36:09.541886 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.542004 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.542122 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.542241 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.542359 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.542469 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1305
09:36:09.542590 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.542707 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.542825 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.542944 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.543063 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.543172 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1305
09:36:09.543291 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.543410 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.543528 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.543646 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.543764 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.543875 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1305
09:36:09.543994 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.544112 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 1388
09:36:09.544152 IP 204.79.197.200.443 > 10.0.2.3.50834: tcp 509
09:36:09.544892 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.545323 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.546490 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.546934 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.548927 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.548941 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.548960 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.548993 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.549658 IP 10.0.2.3.50834 > 204.79.197.200.443: tcp 0
09:36:09.573299 IP 10.0.2.3.50841 > 204.79.197.200.443: tcp 0
09:36:10.775903 STP 802.1d, Config, Flags [none], bridge-id 8000.xx:xx:xx:xx:xx:xx.8001, length 43
09:36:11.095126 IP 10.0.2.3.123 > 176.9.253.75.123: UDP, length 48
09:36:11.121306 IP 176.9.253.75.123 > 10.0.2.3.123: UDP, length 48Mal zum Vergleich, so sieht es aus, wenn ich die gesperrte Seite youporn.de aufzurufen versuche:
09:38:32.185262 IP 10.0.2.3.34368 > 64.156.26.75.80: tcp 0
09:38:32.185284 IP 64.156.26.75.80 > 10.0.2.3.34368: tcp 0
09:38:32.777489 STP 802.1d, Config, Flags [none], bridge-id 8000.xx:xx:xx:xx:xx:xx.8001, length 43
09:38:33.095231 IP 10.0.2.3.123 > 176.221.42.125.123: UDP, length 48
09:38:33.112000 IP 176.221.42.125.123 > 10.0.2.3.123: UDP, length 48
09:38:34.765835 IP 10.0.2.3.39862 > 10.0.2.1.53: UDP, length 28
09:38:34.766742 IP 10.0.2.3.39862 > 10.0.2.1.53: UDP, length 28
09:38:34.777502 STP 802.1d, Config, Flags [none], bridge-id 8000.xx:xx:xx:xx:xx:xx.8001, length 43
09:38:34.844030 IP 10.0.2.1.53 > 10.0.2.3.39862: UDP, length 93
09:38:34.846372 IP 10.0.2.1.53 > 10.0.2.3.39862: UDP, length 44
09:38:34.866479 IP 10.0.2.3.51834 > 78.46.90.198.80: tcp 0
09:38:34.866513 IP 78.46.90.198.80 > 10.0.2.3.51834: tcp 0
09:38:34.869780 IP 10.0.2.3.51834 > 78.46.90.198.80: tcp 0
09:38:34.871998 IP 10.0.2.3.51834 > 78.46.90.198.80: tcp 288
09:38:34.872008 IP 78.46.90.198.80 > 10.0.2.3.51834: tcp 0
09:38:34.872883 IP 78.46.90.198.80 > 10.0.2.3.51834: tcp 411
09:38:34.872902 IP 78.46.90.198.80 > 10.0.2.3.51834: tcp 178
09:38:34.876632 IP 10.0.2.3.51834 > 78.46.90.198.80: tcp 0
09:38:34.877223 IP 10.0.2.3.51834 > 78.46.90.198.80: tcp 0
09:38:36.777536 STP 802.1d, Config, Flags [none], bridge-id 8000.xx:xx:xx:xx:xx:xx.8001, length 43
Sieht so aus, als ob Du nur http abfängst und nicht https.
lks
lks
Moin!
Jau... das scheint so zu sein.
Wie kann ich das ändern? pfSense ist ja "leider" sehr GUI-orentiert und zumindest auf den ersten Blick finde ich da nichts.
Geht das ansonsten über die config-Datei?
Kann squid das überhaupt von Hause aus? Ergibt ja rein logisch erstmal keinen Sinn, denn https ist Ende-zu-Ende verschlüsselt...
Jau... das scheint so zu sein.
Wie kann ich das ändern? pfSense ist ja "leider" sehr GUI-orentiert und zumindest auf den ersten Blick finde ich da nichts.
Geht das ansonsten über die config-Datei?
Kann squid das überhaupt von Hause aus? Ergibt ja rein logisch erstmal keinen Sinn, denn https ist Ende-zu-Ende verschlüsselt...
Soweit ich weiß kann man https nur mit mitm filtern
Moin,
Den inhalt einer ssl-verbindung kann man nur filtern, wenn man die verschlüsselung afbricht, vulgo mitm spielt. Aber due ssl-verbindung selbst kann man durch einfache firewall-regeln erlaben oder blockieren. Z.b. enfach alle paketecsperren, die zu ssl-ports verbindungen aufbauenen der tcp-verbindungen blockieren, die ssl protokoll beinhalten. Drch das t,pusche handshake kann man diese nämlich dentifizieren.
Also: zusätzlich zu den squid-acls einfach nch die firewall-policy anpassen.
lks.
Den inhalt einer ssl-verbindung kann man nur filtern, wenn man die verschlüsselung afbricht, vulgo mitm spielt. Aber due ssl-verbindung selbst kann man durch einfache firewall-regeln erlaben oder blockieren. Z.b. enfach alle paketecsperren, die zu ssl-ports verbindungen aufbauenen der tcp-verbindungen blockieren, die ssl protokoll beinhalten. Drch das t,pusche handshake kann man diese nämlich dentifizieren.
Also: zusätzlich zu den squid-acls einfach nch die firewall-policy anpassen.
lks.
Soweit ich weiß kann man https nur mit mitm filtern
Filtern heißt bzw. bedeutet bei Dir dann aber auch entschlüsseln und somit ist das schon richtig nur wir reden hierja angeblich laut Überschrift "nur" von filtern im Sinne von Blockieren und nicht von filtern im Sinne von entschlüsseln
und rein schauen was dort in der Verbindung läuft. Aber selbst das könnte man mittels pfSense machen wenn man möchte!
Wir wollen hier nicht reinschauen was dort unter https läuft sondern nur den Zugriff auf einige https Verbindungen unterbinden!
Das was ihr hier als MITM Methode ansprecht ist HTTPS/SSL Interception bzw. wird auch SSL bumping genannt, aber darum geht
es hier ja eigentlich gar nicht.
Gruß
Dobby
Dann erleuchte uns doch mal.. ;) Klar kann man verschlüsselte Verbindungen pauschal blocken. Ich behaupte allerdings dass es nicht geht einzelne seiten bspw. facebook.com effektiv ohne mitm zu blockiern. Zumindest nicht mit pfsense
Zitat von @thomasreischer:
Dann erleuchte uns doch mal.. ;) Klar kann man verschlüsselte Verbindungen pauschal blocken. Ich behaupte allerdings dass es nicht geht einzelne seiten bspw. facebook.com effektiv ohne mitm zu blockiern. Zumindest nicht mit pfsense
Dann erleuchte uns doch mal.. ;) Klar kann man verschlüsselte Verbindungen pauschal blocken. Ich behaupte allerdings dass es nicht geht einzelne seiten bspw. facebook.com effektiv ohne mitm zu blockiern. Zumindest nicht mit pfsense
Einfach alle IP-Adressen die facebook.com zugeordnet sind und port 443 bblockireen.
lks
Jaa.. ;) deswegen sagte ich ja effektiv und wenn möglich auch realistisch
mit dem DNS Forwarder kannst Du zumindest die Namensauflösung verhindern:
Domain: großeglocken.de
IP Address: !
Description: kein Geläut!
Möglichkeiten für IP Address:
IP address of the authoritative DNS server for this domain e.g.: 192.168.100.100
Or enter # for an exclusion to pass through this host/subdomain to standard nameservers instead of a previous override.
Or enter ! for lookups for this host/subdomain to NOT be forwarded anywhere.
Wenn Du jeglichen externen Nameserver blockierst hast Du schon mal etwas erreicht
-teddy
Domain: großeglocken.de
IP Address: !
Description: kein Geläut!
Möglichkeiten für IP Address:
IP address of the authoritative DNS server for this domain e.g.: 192.168.100.100
Or enter # for an exclusion to pass through this host/subdomain to standard nameservers instead of a previous override.
Or enter ! for lookups for this host/subdomain to NOT be forwarded anywhere.
Wenn Du jeglichen externen Nameserver blockierst hast Du schon mal etwas erreicht
-teddy
