Salam, Dostlar. Bu məqalədə Pfsense üzərində Squid-lə HTTPS filtrələməni nəzərdən keçirəcəyik. “Squid” və “squidguard“-ın qurulması əvvəlki məqalələrdə göstərilmişdir. Bir başa mövzumuza giriş edirəm.

Pfsense üzərinə squid, squidguard qurulub və squid transparent proxy olaraq tənzimlənib.

“Https interception” aktivləşdirmək üçün ilk əvvəl pfsense üzərində squid-in istifadə edəcəyi sertifikat yaradılmalı və istifadəçilərə yüklənməlidir. “System->Cert. Manager” yolunu izləyib “CAs” başlığı altında “+Add” düyməsini sıxaraq yeni sertifikat yaradırıq.

“Create an internal Certificate Authority” seçərək xanaları şəkildə göstərilən və uyğun olan şəkildə doldurub, “Save” deyərək yadda saxlayırıq.

Yaratmış olduğumuz sertifikatı adının qarşısındakı uyğun işarə ilə export edirik. Daha sonra istifadəçi komputerlərinə yükləyirik. Ardıcıllıq aşağıdakı şəkillərdə göstərilmişdir.

Şəbəkənizdəki bütün komputerlərə bu sertifikatı “GPO” vasitəsilə də yükləyə bilərsiniz (daha rahat olar).

Https filtrələməni aktivləşdirmək üçün “Services->Squid Proxy Server” yolunu izləyib “Enable SSL filtering” qutucuğunu işarələyirik. “CA” seçimindən yaratmış olduğumuz sertifikatı seçib “Save” deyirik. Artıq istifadəçi komputerlərində yoxlaya bilərik.

“Squidguard” üzərində yaratmış olduğumuz qayda ilə bütün istifadəçilərə facebook ünvanına girişi qadağan etmişik. Digər https saytlar işlək vəziyyətdədir. Ancaq bəzi https saytlarda problemlə qarşılaşdıq. Problemi aradan qaldırmaq və səbəbi aydınlaşdırmaq üçün squid tənzimləmələrinə qayıdaq.

“SSL Proxy Compatibility Mode“-u “Modern”-dən “İntermediate” seçiminə dəyişirik. Altdakı açıqlamaya nəzər salsaq hər şeyi daha aydın başa düşmüş olarıq. “Compatibility mode” – uyğunluq modu hansı şifrələmə paketlərinin və TLS versiyasının dəstəkləndiyini təyin edir. “Modern mode” yüksək şifrələməni və TLS v1.0-ı deaktiv edir. Bu da bizim bəzi saytlarda xəta ilə qarşılaşmağımıza gətirib çıxara bilər. Əgər yuxarıda göstərilən kimi xəta ilə qarşılaşsanız uyğunluq modunu ” İntermediate”-ə dəyişməli olacaqsınız. Bizim testlərimizdə weforum-saytında yaranan problem isə sertifikatın yoxlanılması zamanı təhlükəsizlik tələblərinin uyğunlaşmamasıdır. Bunun üçün “Remote Cert Check” bölməsindən “Do not verify remote certificate” seçərək qarşı tərəfin sertifikatını doğrulamadan davam edə bilərik.

“Save” deyək və yenidən yoxlayaq.

Artıq hər şey istədiyimiz kimidir. Əgər “Squid” əvvəlki versiyadırsa yuxarıda göstərilən addımları yerinə yetirmək üçün  yeniləməyiniz lazım gələcək.

Hər kəsə uğurlar.