Счетчик

Поисковый анализ сайта
яндекс.ћетрика
Cервер и сайт запущен 2011.02.01 на Debian

И так, я решил написать данную статью, потому что мало информации в сети, как же все таки резать трафик по протоколу https?

Есть много решений, но как показывает практика, даже платные сервисы не могут гарантировать блокировку нужного нам контента, и нам поможет в этом деле pfsense....

И так идем на офф сайт и качаем от туда исошник тыц, все ставится очень просто.

Пишем на болванку или на загрузочную флешку загружаемся с cd или flash и нас встречает дружественный интерфейс 

001

Можно просто подождать или просто нажать Enter. Далее увидим:

002

Нажмите I если хотите сразу установить на жёсткий диск, не загружаясь в режиме "Live CD". Далее последует несколько стандартных вопросов.

003

Смело жмите "Accept these settings"

004

Если это Ваша первая(вторая или третья) установка pfSense (а иначе бы вы этот текст не читали бы), то жмите "Quicky/Easy Install", на минутку призадумайтесь на сколько хорошо, что нет опции "Long/Uneasy Install".

005

Ну а здесь надо выпить чашечку кофе и хорошенько вспомнить не тот ли это жёсткий диск сейчас в компе с диким количеством бесценных снимков с Вашего увлекательного путешествия в Ханты-Мансийский автономный округ, с которого Вы всё хотели сделать бэкап для внуков да всё не доходили руки. Если Вы уверены, что содержимое диска Вам точно безразлично - вперёд! Жмите "ОК".

006

Через некоторое время Вам придётся ответить на ещё один каверзный вопрос - какой тип ядра устанавливать. Если у Вас один процессор (с одинм ядром), то не задумывайтесь и выбирайте "Uniprocessor kernel". Если больше одного процессора или несколько ядер, то нужно выбрать "Symmetric multiprocessing kernel". slbd, ответственный за распределение исходящего трафика, был замечен в недостойном поведении, работая с smp. Однако, он был благополучно удалён(заменён) в последних релизах pfSense, а других глюков smp я не знаю.

007

Яхуууууу! Вас можно поздравить с успешной установкой pfSense на жёсткий диск. Жмите "Reboot" и не забудьте вытащить CD из привода. Однако, шампусик пить ещё рано, надо сделать первоначальную настройку.

После перезагруки Вы увидите дружелюбный экран со списком интерфейсов (скорее всего будет немного отличаться от приведённого ниже)

008

нажмите n и Enter, мы пока не хотим конфигурировать никакаих vlan.

009

Теперь мы на стадии присваивание интерфейсов. Можно играться с автоматическим определением интерфейсов, тогда нужно отключить все сетевые кабели от компа и нажать "а", дальше нажать Enter, подключить кабель и Enter опять. Но мы, суровые админы, знаем где у нас какой интерфейс и нежелаем предварительного износа нашим RJ-45, поэтому кабели туда-сюда не тыкаем, а просто выбираем в качестве LAN-интерфейса bge0, а в качестве WAN (этот смотрит в сторону Интернет провайдера) выбираем bge1. Никаких дополнительных интерфесов мы пока не хотим ибо их можно потом создать через WEB-интерфейс, поэтому просто нажимаем Enter в ответ на "or nothing if finished". Естественно мы увидим вопрос "уверены ли Вы в себе?":

010

Если экран отображает то, что Вы выбрали раньше, то жмём y. Опять побежали непонятные буквоки и наконец-то!

011

Оля-ля! Начальная конфигурация почти завершена. Да-да... почти, ещё рано бежать за пивом. Тепеь конфигурируйте свой комьпьютер с IP=192.168.1.2 маской 255.255.255.0, запускайте интернет браузер (Желательно Mozilla, т.к. с другими есть как минимум один баг) и в адресной строке браузера вводитеhttp://192.168.1.1, всплывёт окошко для аутентификации. Вводите admin c паролем pfsense.

012

Ну тут собственно всё ясно - жмём "Next".

013

Поименуйте Ваш pfSense как Вашей душе хочется. Если подключение к Интернету у вас DHCP, PPTP или PPPoE то в полях DNS вводить ничего не нужно. Если же у Вас есть статические IP адреса от провайдера, тогда введите IP DNS-серверов - лучше тоже спросить провайдера.

014

Здесь выберите Ваш временной пояс.

016

Тут нужно настроить WAN интерфейс - подключение к Интернет провайдеру. Настройки зависят от типа подключения. На скриншоте наиболее вариант со статическими IP. Довольно важные настройки для любого типа подключения находятся внизу экрана

017

Если провайдер использует диапазон IP, зарезервированный для частных сетей (RFC1918), то соответствующую галочку нужно убрать (вроде как в России это известно под термином "серые IP"). Не рекомендую убирать галочку с Bogons Network, т.к. это блокировка любых пакетов с IP источника, принадлежащим зарезервированным сетям (ещё не распределённым между провайдерами), однако, опять же зависит от провайдера. Совет: если что-то не работает, уберите обе галки.

018

Здесь мы (если нужно) меняем настройки LAN. Если что-то изменили, придётся переподключиться браузером к новому IP.

019

ИЗМЕНЯЕМ пароль для администрирования pfSense.

Тут собственно всё ясно - жмём "Reload", вспоминая знаменитую композицию от Metallica.

020

Чисто информативная страничка. Всё, pfSense проинсталлирован, вот можно смело приглашать друзей и бежать за пивом дабы отпраздновать сиё замечательное событие!

Но это еще не все, друзья. Теперь нам надо научить нашу тачку фильтровать трафик https.

Поехали!!!!

Идем в раздел cert-manager и создаем так сертификат.

 На момент написания статьи, версия была идем по пути - System -> Packages -> Available Packages. ищем и устанавливаем пакет squid

squid www 0.4.37

Далее перезапускаем pfsense

После рестарта системы прописываем в браузере прокси сервер в настройках и получится, что доступа еще нет, надо кое что настроить, а именно разрешить нашей подсети выход в свет.

Чтобы получить доступ, мы добавим нашу подсеть к разрешенному ACL. Выберите Услуги -> Прокси-сервер и перейдите на вкладку ACL. Добавьте 192.168.1.0/24 в поле «Разрешенные подсети». Прокрутите вниз и нажмите «Сохранить». Перезапустите службу Squid в статусе -> Сервисы. Повторите попытку просмотра веб-страниц и убедитесь, что Squid теперь работает.

Перезапускаем страницу браузера и вот чудо, доступ появился.... отлично, едем дальше.

 В системс выбираем внизу

Advanced Features Custom Options (Before Auth) 

и вписываем туда

 

acl https_proto proto https

always_direct allow https_proto

ssl_bump none localhost

sslproxy_options NO_SSLv2,NO_SSLv3,No_Compression

sslproxy_cipher ALL:!SSLv2:!ADH:!DSS:!MD5:!EXP:!DES:!PSK:!SRP:!RC4:!IDEA:!SEED:!aNULL:!eNULL

# TLS/SSL bumping definitions

acl tls_s1_connect at_step SslBump1

acl tls_s2_client_hello at_step SslBump2

acl tls_s3_server_hello at_step SslBump3

# TLS/SSL bumping steps

ssl_bump peek tls_s1_connect all

ssl_bump splice all

# peek at TLS/SSL connect data

# splice: no active bumping

 

И теперь можете проверять работу 

Вот Вам еще видео для наглядной настройки.

 https://cloud.mail.ru/public/ALZ1/nHSVZbXCK

Добавить комментарий


Защитный код
Обновить