И так, я решил написать данную статью, потому что мало информации в сети, как же все таки резать трафик по протоколу https?
Есть много решений, но как показывает практика, даже платные сервисы не могут гарантировать блокировку нужного нам контента, и нам поможет в этом деле pfsense....
И так идем на офф сайт и качаем от туда исошник тыц, все ставится очень просто.
Пишем на болванку или на загрузочную флешку загружаемся с cd или flash и нас встречает дружественный интерфейс
Можно просто подождать или просто нажать Enter. Далее увидим:
Нажмите I если хотите сразу установить на жёсткий диск, не загружаясь в режиме \"Live CD\". Далее последует несколько стандартных вопросов.
Смело жмите \"Accept these settings\"
Если это Ваша первая(вторая или третья) установка pfSense (а иначе бы вы этот текст не читали бы), то жмите \"Quicky/Easy Install\", на минутку призадумайтесь на сколько хорошо, что нет опции \"Long/Uneasy Install\".
Ну а здесь надо выпить чашечку кофе и хорошенько вспомнить не тот ли это жёсткий диск сейчас в компе с диким количеством бесценных снимков с Вашего увлекательного путешествия в Ханты-Мансийский автономный округ, с которого Вы всё хотели сделать бэкап для внуков да всё не доходили руки. Если Вы уверены, что содержимое диска Вам точно безразлично - вперёд! Жмите \"ОК\".
Через некоторое время Вам придётся ответить на ещё один каверзный вопрос - какой тип ядра устанавливать. Если у Вас один процессор (с одинм ядром), то не задумывайтесь и выбирайте \"Uniprocessor kernel\". Если больше одного процессора или несколько ядер, то нужно выбрать \"Symmetric multiprocessing kernel\". slbd, ответственный за распределение исходящего трафика, был замечен в недостойном поведении, работая с smp. Однако, он был благополучно удалён(заменён) в последних релизах pfSense, а других глюков smp я не знаю.
Яхуууууу! Вас можно поздравить с успешной установкой pfSense на жёсткий диск. Жмите \"Reboot\" и не забудьте вытащить CD из привода. Однако, шампусик пить ещё рано, надо сделать первоначальную настройку.
После перезагруки Вы увидите дружелюбный экран со списком интерфейсов (скорее всего будет немного отличаться от приведённого ниже)
нажмите n и Enter, мы пока не хотим конфигурировать никакаих vlan.
Теперь мы на стадии присваивание интерфейсов. Можно играться с автоматическим определением интерфейсов, тогда нужно отключить все сетевые кабели от компа и нажать \"а\", дальше нажать Enter, подключить кабель и Enter опять. Но мы, суровые админы, знаем где у нас какой интерфейс и нежелаем предварительного износа нашим RJ-45, поэтому кабели туда-сюда не тыкаем, а просто выбираем в качестве LAN-интерфейса bge0, а в качестве WAN (этот смотрит в сторону Интернет провайдера) выбираем bge1. Никаких дополнительных интерфесов мы пока не хотим ибо их можно потом создать через WEB-интерфейс, поэтому просто нажимаем Enter в ответ на \"or nothing if finished\". Естественно мы увидим вопрос \"уверены ли Вы в себе?\":
Если экран отображает то, что Вы выбрали раньше, то жмём y. Опять побежали непонятные буквоки и наконец-то!
Оля-ля! Начальная конфигурация почти завершена. Да-да... почти, ещё рано бежать за пивом. Тепеь конфигурируйте свой комьпьютер с IP=192.168.1.2 маской 255.255.255.0, запускайте интернет браузер (Желательно Mozilla, т.к. с другими есть как минимум один баг) и в адресной строке браузера вводите
http://192.168.1.1 всплывёт окошко для аутентификации. Вводите admin c паролем pfsense.
Ну тут собственно всё ясно - жмём \"Next\".
Поименуйте Ваш pfSense как Вашей душе хочется. Если подключение к Интернету у вас DHCP, PPTP или PPPoE то в полях DNS вводить ничего не нужно. Если же у Вас есть статические IP адреса от провайдера, тогда введите IP DNS-серверов - лучше тоже спросить провайдера.
Здесь выберите Ваш временной пояс.
Тут нужно настроить WAN интерфейс - подключение к Интернет провайдеру. Настройки зависят от типа подключения. На скриншоте наиболее вариант со статическими IP. Довольно важные настройки для любого типа подключения находятся внизу экрана
Если провайдер использует диапазон IP, зарезервированный для частных сетей (RFC1918), то соответствующую галочку нужно убрать (вроде как в России это известно под термином \"серые IP\"). Не рекомендую убирать галочку с Bogons Network, т.к. это блокировка любых пакетов с IP источника, принадлежащим зарезервированным сетям (ещё не распределённым между провайдерами), однако, опять же зависит от провайдера. Совет: если что-то не работает, уберите обе галки.
Здесь мы (если нужно) меняем настройки LAN. Если что-то изменили, придётся переподключиться браузером к новому IP.
ИЗМЕНЯЕМ пароль для администрирования pfSense.
Тут собственно всё ясно - жмём \"Reload\", вспоминая знаменитую композицию от Metallica.
Чисто информативная страничка. Всё, pfSense проинсталлирован, вот можно смело приглашать друзей и бежать за пивом дабы отпраздновать сиё замечательное событие!
Но это еще не все, друзья. Теперь нам надо научить нашу тачку фильтровать трафик https.
Поехали!!!!
Идем в раздел cert-manager и создаем так сертификат.
На момент написания статьи, версия была идем по пути
System - Packages - Available Packages. ищем и устанавливаем пакет squid
Далее перезапускаем pfsense
После рестарта системы прописываем в браузере прокси сервер в настройках и получится, что доступа еще нет, надо кое что настроить, а именно разрешить нашей подсети выход в свет.
Чтобы получить доступ, мы добавим нашу подсеть к разрешенному ACL. Выберите Услуги Прокси-сервер и перейдите на вкладку ACL. Добавьте 192.168.1.0/24 в поле «Разрешенные подсети». Прокрутите вниз и нажмите «Сохранить». Перезапустите службу Squid в статусе -> Сервисы. Повторите попытку просмотра веб-страниц и убедитесь, что Squid теперь работает.
Перезапускаем страницу браузера и вот чудо, доступ появился.... отлично, едем дальше.
В системс выбираем внизу Advanced Features Custom Options (Before Auth)
и вписываем туда
acl https_proto proto https
always_direct allow https_proto
ssl_bump none localhost
sslproxy_options NO_SSLv2,NO_SSLv3,No_Compression
sslproxy_cipher ALL:!SSLv2:!ADH:!DSS:!MD5:!EXP:!DES:!PSK:!SRP:!RC4:!IDEA:!SEED:!aNULL:!eNULL
# TLS/SSL bumping definitions
acl tls_s1_connect at_step SslBump1
acl tls_s2_client_hello at_step SslBump2
acl tls_s3_server_hello at_step SslBump3
# TLS/SSL bumping steps
ssl_bump peek tls_s1_connect all
ssl_bump splice all
# peek at TLS/SSL connect data
# splice: no active bumping
И теперь можете проверять работу
Вот Вам еще видео для наглядной настройки.
https://cloud.mail.ru/public/ALZ1/nHSVZbXCK
