HTTPS filter
Salam. Mənim belə bir sualım var.
Hər hansı bir Proxy server vəya firewall (Squid, Pfsense, TMG) transparent modda çalışarkən HTTPS url filter edə bilirmi ? (Youtube, Facebook, Vk və s.)
TMG də mümkün görünmür. Çox test etdik. (Elgüc bəy da Web Proxy kimi işlədilməsini məsləhət görmüşdü)
Web Proxy kimi filterləmədə problem yoxdur. Sadəcə Web proxy ayarlarının istifadəçi tərəfində qurulması məsələsi dayanır.
Domainə qoşulu komputerlərdə Group Policy ilə bu problemi həll etmək mümkündür. Amma domainə baglı olmayan bir çox istifadəçilər var.
Bundan əlavə Wireless ilə şəbəkəyə qoşulan istifadəçilər də var ki manual proxy əlavə etmək mümkün deyil. Belə halda qadağalari necə etmək olar ?
Baxılıb: 3451 dəfə
Cavablar ( 26 )
Salam
TMG bunu ede bilir. Rule uzerinde saq duymeni sixin Configure HTTP secin, -Signuture secin daha sonra add secin, sekildeki kimi doldurub OK sixin. Istenilen filteri qoya bilersiniz
MEn de Size TMG ni meslehet gorurem. Men bu firewalli artiq illerle istifade edirem, imkanlari coxdur, interfeysi cox sadedir ve istifadeciyonumludur
Bundan əlavə Wireless ilə şəbəkəyə qoşulan istifadəçilər də var ki manual proxy əlavə etmək mümkün deyil. Belə halda qadağalari necə etmək olar ? –Suala cavab vermeye calisacam
Bununcun wireless userinde qosulan istifadecilerde DHCP de ele etmeliyik ki default gateway TMG ninn adresi gorsensin. Daha sorna Wireless istifadeciler qosulan zaman internete TMG uzerinden hansi rule uzerinde cixirasa o ruleni TMG- Web access policy secirik , Ruleni secirik və Sekilde qirmizi ile isarelenmis duymeni sixiriq
Yuxarida enablenin uzerinde sixdiqda acilan pencerede qirmizi rengli hissedeki quslari gotururuk ve ok sixib Apply edirik
Elxan bəy təşəkkür edirəm. Cox gözəl izah etmisiz.
Bir az ətraflı yazim. Biz TMG serveri Web Proxy modunda işlədirdik. Klient komputerlərdə büorserdə Proxy ayarlarini dəyisib TMG ip sini göstermısdik. Hər şey qaydasında işləyirdi. Klient komputerlərində default gateüay Firewalla (Netscreen) yönəlirdi. İstifadəcilər broüserde proxy qeyd etmeyende internete giris olmurdu.
Sonraki qurumda SecureNet (transparent) modda qurduq. İstifadeci komputerlerdinde gateüay olaraq TMG ip si verdik.Butun trafik tmg ye yonelirdi. Bu zaman HTTPS şifreli saytlarda problem yaranmaga basladi. Youtube-ye blok qoymaq olmurdu. Broüserlerde proxy isareli olanda qadaga olur. Klient proxynu levg edende qadaga tetbiq olmurdu.
Sualim beledir :
Sizin yazdiginiz birinci nümunədə transparent modda (SecureNet) calışır server ?
Clientlerde default gateway TMG serverin Ip addresidir ? İstifadəçi browserlerinde heç bir ayarlama etməmisiz ? Yoxsa her ikisi bir arada calisir ?
VAhid bey salam
Menim yazdiqim versiyada Klientde web proxy yazmasaq internet aktiv olmur. Bu versiyada web proxy rule uzerinde deyisiklik etmeli oluruq. Fefault gateway klientlerde TMG gosterilib.
Vahid bey duzdur klientlerde proxy serversiz bu problemi yasaya bilersiniz
asaqidaki meqaleye nezer yetirin xahis edirem
https://www.websense.com/content/support/library/deployctr/v76/dic_isa_tmg_config_for_non_web_proxy_clients.aspx#596516
Elxan bey salam. Men de bu qenaetde idim. Tam emin olmaq isteyirdim ve sayenizde oldum. Allah razi olsun.
TMG-ni Web proxy kimi isletmek hem problemsiz calismaga, hem de resurslara qenaet etmeye yarayir. Cunki sadece HTTP, HTTPS ve HTTP-tunneled FTP trafiki TMG ye yonelir.
Sizin gonderdiyiniz linkde bele bir not var her seyi izah edir :
Bəli Vahid bəy, ele o yazı üçün link yerləşdirdim. Linkdə roblemin aradan qaldırılması haqqında da yazı var. Amma dəqiq bilmirəm dəyişiklikdən sonra https müraciətləri filtr edir ya yox.
Elxan bey, her şey üçün teşekkür edirem
clientlərdə proxy-ni manual qeyd etməmək üçün dhcp-də “proxy auto configuration option”-dan , option 252-dən istifadə edə bilərsiniz. Burada əsas tələb internet explorerin ayarlarında ” automatically detect setting” ayarı seçilmiş olmalıdır, hansı ki default olaraq hele seçilmiş olur.
Bu şəkildə ayarlanarsa intifadəçi kompüterinə müdaxilə olmadan onu proxy-yə yönləndirə biləcəysiniz. Əgər üsul maraqlandırarsa sizi, daha detallarını, məmnuniyyətlə qeyd edərəm.
Aydın bey salam.
Siz WPAD (Web Proxy automatic discovery) nezerde tutursuz sehv elemiremse. Acigi men onu arasdirdim. Her iki versiya ile (DNS, DHCP) ile test eledim. Internet explorerde normal isledi. Amma Chrome problemli oldu.
Sizin elave edeceyiniz varsa buyurun.
Önceden tesekkür edirem
Salam Vahid bəy,
Mən WDAP işlədirəm google chrome də də normal işləyir. WDAP a uyğun olaraq TMG də də client settingsdə Networking hissede internalin propertiesinde publish automatic discovery for this network qusunu qoymusunuzmu?
Elxan bey, beli qoymusşam.
DHCP option-252 den istifade edirsiz ?
Bəli Vahid bəy, istifadə edirəm.
chrome proqraminda yazilib ki
Google Chrome is using your computer’s system proxy settings to connect to the network.
bu da gosterir ki chrome konfiqurasiyani internet explorer uzerinden goturur. Belke chrome ni upgrade edib yoxlayasiniz?
Asaqidaki linkde cox gozel tesvir olunub nece konfiqurasiya olunmalidir.
http://www.isaserver.org/articles-tutorials/configuration-general/Configuring-Web-Proxy-Automatic-Discovery-WPAD-Forefront-Threat-Management-Gateway-TMG-2010.html
Meqaleden ferqli olaraq men reestr deyisikliyini etmemisem ve http://<tmg_hostname:port>/wpad.dat linkinde hostname yerine TMG nin IP sini yazmisam.
WDAP da bir problem gorurem ki bezi telefonla wireless uzerinden qouluruq ve internet aliriq, bu zaman telefonlardaki bezi applicationlar internet ala bilmir. Basqa her sey normaldir.
Bu texnologiyanın üstünlüyü olaraq onu əlavə edə bilərəm ki, üpad faylın tərkibindəki script-də dəyişiklik edərək, şirkət daxilində olan saytlarınıza (private ip-də olan saytlar) proxy istifadə etmədən direct access ayarlaya bilərsiniz.
Chrome-un proxy-ni istifadə etməyində problem olmur, amma onu da müşahidə etmişəm ki, əgər kompüterin proxy-ni istifadə etmədən internet çıxışı varsa, chrome bəzi hallarda direct çıxışı istifadə edir.
Mozilla proxy-ni auto detect etmir.
Elxan bey salam
Sizin dediyiniz kimi http://<tmg_hostname:port>/wpad.dat yerinde ip addresi qeyd eledim. Automatic discovery normal isledi. Amma TMG de authentication tetbiq edende Avtomatic olaraq yene qosulmur. amma manual olaraq proxy elave edende her sey normal isleyir. Ve clientler internete daxil olmaq isteyende login, password teleb edir.
Aydin bey, istifadecilerin bir basa internete cixisi yoxdur. Ancaq proxy ile cixirlar.
indi sadede yuxarida qeyd etdiyim problem var.
Salam Vahid bey,
Sekildeki kimi authentikasiyani qeyd edin islemelidir
Local host uzerinde sizin gosterdiyiniz kimidir eyni. Men internal host uzernide yuxarida gosterdiyim kimi edende clientlerde manual olaraq proxy elave edende authentication teleb edir. ve gosterdiyim domainden user, password teleb edir. dogru yazilanda TMG deki qaydalara esasen saytlara icaze/qadaga tetbiq edir. Amma bu defe automatic olaraq elaqe yaranmir. Authentication tetbiq edilmeyende ise her sey normaldir.
Internal ucun de eyni seyi edin. Eyni konfiqurasiya internal ucun de olsun.
Bele olanda umumiyyetle authentication teleb elemir. Ne manual, ne de automatic proxy elave edende. Amma internalda authentication method olaraq Basic secib, domain elave edende clientlerde eger proxy maual qeyd ayarlanibsa netice mukemmeldir. avtomatikdirse TMG ye qosulmur. ne authentication teleb edir, ne de internete daxil olur.
Bu wpad.dat ile elaqeli ola bilermi ? wpad.dat oal biler ki authentication haqda melumat oturmur ?
Eger vaxtiniz varsa ve sizin ucun hec bir problem yoxdursa Teamviewer ile baxa bilersiz.
Authentikasiya teleb etmir dedikne belke biz bir-birimizi düzgün anlamırıq? Authentikasiya Domain üzərindən avtomatik gedir. TMG də Klient komputerlər də domaində olduğundan authentikasiya avtomatik olur. Ona görə də Siz login ve parol çıxmır. Əgər siz authentikasiyanın sırf loglarda istifadəçi adıyla hansı istifadəçinin haraya daxil olmasını bilmək istəyirsinizsə, o zaman siz Fireüall policy hissəsində All Users yox, domainde acılmı. və TMG ilə inteqrə olunmuş user və ya group vasitesile rule yaratmalısınız.
Sizinle raziyam. Amma men domainde olmayan komputerler ucun bunu isteyirem. Domainde olanlari onsuz da Group policy ile proxy ayarlarini deyisecik. Hec bir problem olmasin deye.
Domainde olmayan komputerler ucun yuxarida qeyd etdiyim hadise meydana gelir 😉
Konkretlesdirim :
Domainde olan komputerlerde hec bir problem yoxdur.
2. Domainde olmayan komputerlerde manual proxy elave edende borowserde internete daxil olanda Login, Pass teleb edir. – Mukemmel.
Automatic olanda ise login, pass teleb olmur ve umumiyyetle internete qosulmur. Proxy islemir.
Ela Vahid bey,
Men yuxarida yazdiqim kimi buna nail ola bileceksiniz. İlk novbede sekildeki kimi deyisiklik edeceksiniz. Daha sonra fireüallda interneti İP lere gore deyil AD grouplara gore paylayacaqsiniz. O zaman domainde olan userler avtomatik avtorizasiya kececeklerç olmayanlar ise login parol teleb olunacaqç daxil edib save edecekler, daha sonra inetrnet elde edecekler. Bu kecidi reallasdirmaq ucun asaqidaki video ve meqalelerden yararlana bilersiniz
https://www.youtube.com/watch?v=72RngdQRSY8
http://networkerslog.blogspot.com/2011/05/part-1-user-authentication-for.html
Tesekkur edirem. Allah razi olsun. Sizi de yordum.
Eger komek ede bildimse çox sadam. Allah cumlemizden razi olsun.
Elbetde. Hem de cox kömeyiniz oldu. Bir nece tereddüdüm vardi tam emin oldum. Teşekkur edirem