Squid Webgui ' ye Yönlendirme

Siz aslında 3128 portundan çıkış yapmıyorsunuz 3128 portundan giriş yapıp internetinizi filtreleyip size ona göre çıkış sağlıyor. Aynı sunucudan 80 portu üzerinden http ve 443 portundan https çıkışları sağlayabiliyorsunuz. Hata almanız normal çünkü 80 portu web olarak kullanıldığı için onu kullanamazsınız. 80 portunu genelde linux kullandığınız için ya apache yada nginx gib web serverler kullanıyor.

Peki teşekkürler;

fakat bir yerde görmüştüm  hicbir proxy sunucusu kullanmadan direk pc nete baglaniyor fakat dc ortaminda calisan pcler bu sekidle nete baglaniyorken domaine dahil olmayan pc ler de dc de windows  kullanici adi ve sifresi soruyor ve şifre girildiginde nete giriyordu. Bunda herhangi bir proxy sunucusu yoktu. Bu sekilde birsey nasil yapabiliriz?

Siz ne yapmak istiyorsunuz?

Proxy yazmadan internete çıkmak istiyorsanız squid'i transparent mode'da çalıştırmalısınız.

Öte yandan domainde olanlar internete çıksın olmayanlar çıkamasın, çıkmaya çalıştığında login sayfası gelsin gibi bir isteğiniz var.

Windows integrated authentication konusu var. Bende araştırdım ama Pfsense üzerinde çalıştıramadım.

O gördüğünüz muhtemelen farklı bir çözümdür. Kerio control'e bir bakın isterseniz bu dediğinizi yapabiliyor olması lazım.

1:)    Arkadaşlar malum squid 3128 portunu kullanıyor. Squid internet çıkışını nasıl yapıyor acaba? Normalde 80 portu ve 443 portuna yönlendirme mi yapıyor? Ama öyle yapıyor olsa 80-443 portu bloklandığında internet çıkışı olmazdı galiba. O zaman nasıl yapıyor bu işi?

2:)  80-443 portunu direk squide yönlendiremez miyiz? Böylelikle bloklamaya ve proxy kullanmaya gerek kalmaz?

Not:  Transparant modu açmadan kullanmak istiyorum ldap ile transparant mode çalışmıyor

3:)   Örnek Squid portunu resimdeki gibi değiştirirsek şu hatayı veriyor.

1. squid proxy port varsayılan olarak 3128 ve host üzerinde kullanılmayan bir port ile değiştirebilir.

transparent proxy kullandığı takdirde, 80 trafiğini > localhost : proxy port'a yönlendiriyor. bkz. pfsense rdr

port yönlendirmeden dolayı, localhost 80 trafiğini kesmediğiniz sürece internet olacaktır.

2. squid zaten bir proxy server, 80/443 portlarını yönlendirmenize gerek yok, transparent mod'da sizin için yapar bunu.

ssl tarafı için, squid interception/mitm yapılarını inceleyebilirsiniz.

ldap aut. kullanmak istiyorsanız, wpad ile proxy bilgilerini hostlara dağıtabilir.

auth. seçenekleri sadece manual proxy yapılandırmalarında çalışır.

3. verdiği hata gayet net, pfsense web arayüz portu 80 olduğundan, squid tarafında kullanılamayacağını belirtiyor.

öncelikle pfsense yönetim portunu değiştirin.

Peki teşekkürler;

fakat bir yerde görmüştüm  hicbir proxy sunucusu kullanmadan direk pc nete baglaniyor fakat dc ortaminda calisan pcler bu sekidle nete baglaniyorken domaine dahil olmayan pc ler de dc de windows  kullanici adi ve sifresi soruyor ve şifre girildiginde nete giriyordu. Bunda herhangi bir proxy sunucusu yoktu. Bu sekilde birsey nasil yapabiliriz?

Burak bey,

aynı post içeriğinde farklı noktalardan bahsediyorsunuz ve anlatımınız karmaşık.

herşeyden biraz olsun modunda ilerlemeniz zor.

daha önce farklı bir postunuzda bu sorunuzun cevabını vermiştim.

verdiğiniz örnekte, proxy kullanılmadığına nasıl emin oldunuz ?

piyasada bulunan çözümlerin hemen hepsi captive portal benzeri yapılar kullanır, isim farklılıkları vardır.

bu talebinizi domaine dahil olan kullanıcıların mac adreslerini cp üzerine tanımlayıp, kayıtlı olmayan kullanıcılara login ekranı çıkartarak gerçekleştirmeniz mümkün.

Resul bey'in bahsettiği kerio control'de üstte belirttiğim gibi ad user/mac bazlı bir ayrım ile cp hizmeti verir.

Verdiğim örnekte proxy kullanılmadığına şöyle emin oldum denilebilir;

Domaine dahil olmayan kullanıcı web arayüzüne girdiğinde windows kullanıcı adı ve şifre istiyor.

Domaine dahil Pc bağlandığında sorunsuz bağlanıyor. Burda akla ldap +proxy sunucusu geliyor. Fakat internet seçenekleri proxy bilgisine geldiğimde proxy ayarı yok.

Transparant mode kullanıldığını söyleyecek olursak ldap + transparant mode ikisi aynı anda kullanılamıyordu. O yüzden bu şekilde düşündüm ki yanlış da düşünmüş olabilirim.

Bahsettiğiniz cp-mac tanımlamasını denemedim.

Örnekteki Söylediğim yapıda domaine dahil olmayan Pc Ekran Görüntüsü - AD K.Adı ve Parolası girildiğinde bağlantı sağlanıyor. (IE Proxy ayarları yapılandırılmamış)

Burak bey,

proxy sürecine pfsense üzerinde uyguladığınız yöntem/ler olarak bakmayın.

örnek gösterdiğiniz kurumda wpad/ntlm çözümlerinden biri var ise, browser üzerinde herhangi bir proxy bilgisi/tanımlaması göremezsiniz.

kısacası kullanıcı doğrulamanın birçok yolu mevcut, kurum ihtiyaçlarına göre şekillendirmeye bakıyor.