136892
13.08.2018, aktualisiert um 22:47:58 Uhr
6914
49
0
PfSense blockt Webseite nicht
Hallo,
ich habe bei mir pfSense laufen.
Das erste ist was ich machen möchte eine Webseite zu blocken.
Könnt ihr da eine kurze Anleitung mir zeigen.
Bei mir funktioniert das blocken nicht.
Habe Squid Guard usw installiert.
Bin aber überfordert mit den ganzen Funktionen.
ich habe bei mir pfSense laufen.
Das erste ist was ich machen möchte eine Webseite zu blocken.
Könnt ihr da eine kurze Anleitung mir zeigen.
Bei mir funktioniert das blocken nicht.
Habe Squid Guard usw installiert.
Bin aber überfordert mit den ganzen Funktionen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 383255
Url: https://administrator.de/contentid/383255
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
49 Kommentare
Neuester Kommentar
Hallo,
eigentlich ganz einfach und wird auch von den Entwicklern super beschrieben. Siehe die Dokumentation:
https://www.netgate.com/docs/pfsense/cache-proxy/squidguard-package.html
Wie sind bei dir die ACLs konfiguriert?
Wie sind die Clients mit dem Proxy verbunden? Transparent oder Forward?
VG
Exception
eigentlich ganz einfach und wird auch von den Entwicklern super beschrieben. Siehe die Dokumentation:
https://www.netgate.com/docs/pfsense/cache-proxy/squidguard-package.html
Bei mir funktioniert das blocken nicht.
Wie sind bei dir die ACLs konfiguriert?
Wie sind die Clients mit dem Proxy verbunden? Transparent oder Forward?
VG
Exception
Zitat von @136892:
Hallo,
Moin,Hallo,
Bin aber überfordert mit den ganzen Funktionen.
Dann fang doch erstmal mit der Doku an. Den Link hat Dir ja @129580 schon gegeben.Gruß, V
Hallo,
Squid Guard in der Pfsense blockiert nicht so ohne weiteres Https Anfragen.
Ich habe die Pfsense bei mir auch laufen, meine Pfsense mit der shallalist laufen, wenn ein im Gästenetz https://youxxx eingibt, dann kommt er leider auch durch. Für ein Gästenetz kann man doch nur transparent einstellen?? Gerne würde ich auch eine Anleitung dafür haben.
Squid Guard in der Pfsense blockiert nicht so ohne weiteres Https Anfragen.
Ich habe die Pfsense bei mir auch laufen, meine Pfsense mit der shallalist laufen, wenn ein im Gästenetz https://youxxx eingibt, dann kommt er leider auch durch. Für ein Gästenetz kann man doch nur transparent einstellen?? Gerne würde ich auch eine Anleitung dafür haben.
Hallo,
Klar kann man mit Squid leicht HTTPS Links blockieren. Entweder per HTTP Decryption (Aufwendiger zum Einrichten, dafür mehr Möglichkeiten zum Filtern, da die pfSense Man in the Middle spielt). Oder eben per URL Filter per SNI. (Filtermöglichkeit nur auf die URLs beschränkt. Dafür keine spezielle Einrichtung notwendig).
Wie das ganze funktioniert und wie man das einrichtet wird hier beschrieben:
https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidgua ...
Was spricht gegen einen transparenten Proxy? Insbesondere bei einem Gästenetz macht das doch Sinn?
Viele Grüße,
Exception
Squid Guard in der Pfsense blockiert nicht so ohne weiteres Https Anfragen.
Klar kann man mit Squid leicht HTTPS Links blockieren. Entweder per HTTP Decryption (Aufwendiger zum Einrichten, dafür mehr Möglichkeiten zum Filtern, da die pfSense Man in the Middle spielt). Oder eben per URL Filter per SNI. (Filtermöglichkeit nur auf die URLs beschränkt. Dafür keine spezielle Einrichtung notwendig).
Wie das ganze funktioniert und wie man das einrichtet wird hier beschrieben:
https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidgua ...
Für ein Gästenetz kann man doch nur transparent einstellen??
Was spricht gegen einen transparenten Proxy? Insbesondere bei einem Gästenetz macht das doch Sinn?
Viele Grüße,
Exception
Moin,
Den Beitrag von gestern hast Du gesehen?
Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen
lks
Bin aber überfordert mit den ganzen Funktionen.
Den Beitrag von gestern hast Du gesehen?
Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen
lks
Hi,
welche Seite(n) willst du blocken,
was hast du bis jetzt gemacht / eingestellt.
CH
welche Seite(n) willst du blocken,
was hast du bis jetzt gemacht / eingestellt.
CH
Hallo Exception,
die Anleitung nett. Jetzt läuft das auch bei mir, kann man die shallalist auch irgendwie als Cronjob automatisch aktualisieren?
Die Pfsense bietet das so ja nicht an.
Danke!
Nette Videos zum Thema
https://www.youtube.com/watch?v=5FeEwVx6qUs
https://www.youtube.com/watch?v=8c1LRpWhL0I
edit:
http://andreasschmid.com/2017/04/25/pfsense-squidguard/
so soll das automatisch gehen
die Anleitung nett. Jetzt läuft das auch bei mir, kann man die shallalist auch irgendwie als Cronjob automatisch aktualisieren?
Die Pfsense bietet das so ja nicht an.
Danke!
Nette Videos zum Thema
https://www.youtube.com/watch?v=5FeEwVx6qUs
https://www.youtube.com/watch?v=8c1LRpWhL0I
edit:
http://andreasschmid.com/2017/04/25/pfsense-squidguard/
so soll das automatisch gehen
Danke erstmal für die Antworten ich werde es nochmal versuchen ob’s geht.
Hab habe noch eine Frage:
Was ist genau der Unterschied von Squid und Squid Guard?
Hab habe noch eine Frage:
Was ist genau der Unterschied von Squid und Squid Guard?
Zitat von @136892:
Hab habe noch eine Frage:
Was ist genau der Unterschied von Squid und Squid Guard?
Hab habe noch eine Frage:
Was ist genau der Unterschied von Squid und Squid Guard?
Vereinfacht gesagt:
SquidGuard ist eine Erweiterung von Squid um Blacklists.
lks
1
Ok,
wie ist es wenn ich HTTPS Seiten sperren möchte geht es auch einfach so?
Ich habe gesehen das man erst in pfSense ein eigenes CA erstellen muss?
Was hat es sich damit auf sich?
wie ist es wenn ich HTTPS Seiten sperren möchte geht es auch einfach so?
Ich habe gesehen das man erst in pfSense ein eigenes CA erstellen muss?
Was hat es sich damit auf sich?
Zitat von @136892:
Ok,
wie ist es wenn ich HTTPS Seiten sperren möchte geht es auch einfach so?
Ich habe gesehen das man erst in pfSense ein eigenes CA erstellen muss?
Was hat es sich damit auf sich?
Schau Dir mal das englische Video an und dann die Anleitung von Exception, dann versteht man das.Ok,
wie ist es wenn ich HTTPS Seiten sperren möchte geht es auch einfach so?
Ich habe gesehen das man erst in pfSense ein eigenes CA erstellen muss?
Was hat es sich damit auf sich?
Hallo,
ich habe die Anleitung befolgt.
Habe aber das Problem das sich nicht SquidGuard starten lässt.
Es bleibt inaktiv.
ich habe die Anleitung befolgt.
Habe aber das Problem das sich nicht SquidGuard starten lässt.
Es bleibt inaktiv.
Ich habe schon die dollsten Dinge mit dem Local Cache erlebt, einfach mal löschen. Dann nochmals starten. Das kann durchaus mal 5 Minuten dauern.... bis die Firewall alles wieder machen möchte.
Jetzt gehts doch habe "Check to enable the Squid proxy." aktiviert. Anscheinend wurde es wieder deaktiviert.
Zitat von @136892:
Jetzt gehts doch habe "Check to enable the Squid proxy." aktiviert. Anscheinend wurde es wieder deaktiviert.
Wie gesagt, der macht manchmal was er will, mit dem Reverse Proxy ist das auch manchmal so ein Ding.Jetzt gehts doch habe "Check to enable the Squid proxy." aktiviert. Anscheinend wurde es wieder deaktiviert.
Ich habe eine Target Categories Domian Endungen angelegt
Bei Regular Expression (.gov|.xxx|.mil)
Bei Regular Expression gegen flash (.*\/.*\.(flv|swf))
Bei Regular Expression gegen böse Dinge (^|[-\?+=/_])(boobs?|hardcore|porno?|sex|xxx+)([-\?+=/_]|$)
Und dann noch die Shallalist, wobei die ist anscheinend nur ein Personen Projekt. Dann kann man natürlich keine Wunder erwarten. Da die ersten Google Treffer für die xxl Seiten noch nicht drin. Daher einfach xxx sperren und man hat etwas mehr Ruhe.
Mit den Regular Expression sollte man vorsichtig sein, da die etwas an der Performance knappern.
Bei Regular Expression (.gov|.xxx|.mil)
Bei Regular Expression gegen flash (.*\/.*\.(flv|swf))
Bei Regular Expression gegen böse Dinge (^|[-\?+=/_])(boobs?|hardcore|porno?|sex|xxx+)([-\?+=/_]|$)
Und dann noch die Shallalist, wobei die ist anscheinend nur ein Personen Projekt. Dann kann man natürlich keine Wunder erwarten. Da die ersten Google Treffer für die xxl Seiten noch nicht drin. Daher einfach xxx sperren und man hat etwas mehr Ruhe.
Mit den Regular Expression sollte man vorsichtig sein, da die etwas an der Performance knappern.
Ok ist es normal das man fast bei jeder neuen Einstellung die pfSense neustarten muss?
Wie gesagt, beim Squid gibt´s da häufiger mal Probleme, Cache löschen und Neustart, 5 Minuten warten und häufig läuft es dann.
Pfsense Reverse Proxy Squid 2 Web Server auf einer IP
Dafür habe ich einen Monat gebraucht, bevor ich einfach mal den Cache gelöscht haben und die Eingaben im Reverse Proxy erneuert habe und fertig.
Spielt man eine Config zurück, dann lösche ich jetzt auch immer den Cache.
Pfsense Reverse Proxy Squid 2 Web Server auf einer IP
Dafür habe ich einen Monat gebraucht, bevor ich einfach mal den Cache gelöscht haben und die Eingaben im Reverse Proxy erneuert habe und fertig.
Spielt man eine Config zurück, dann lösche ich jetzt auch immer den Cache.
Ja so funktioniert es jetzt.
Aber komischerweise werden Webseiten die in der Target Rule List stehen nicht blockiert.
Aber komischerweise werden Webseiten die in der Target Rule List stehen nicht blockiert.
Apply gedrückt? Blacklist Check? Browser Cache?
Und etwas Ruhe...für das System.
Und bei Edge habe ich manchmal auch Probleme. Da kann ich einige Seiten bei aktivem Transpart Proxy überhaupt nicht aufrufen. Bei Firefox... ist alles gut.
Und etwas Ruhe...für das System.
Und bei Edge habe ich manchmal auch Probleme. Da kann ich einige Seiten bei aktivem Transpart Proxy überhaupt nicht aufrufen. Bei Firefox... ist alles gut.
Komischerweise geht es es bei paar Webseiten, andere werden vom Filter (warum auch immer) ignoriert und werden nicht gefiltert.
Dann muss ich es Manuell machen.
Dann muss ich es Manuell machen.
Zitat von @136892:
Komischerweise geht es es bei paar Webseiten, andere werden vom Filter (warum auch immer) ignoriert und werden nicht gefiltert.
Dann muss ich es Manuell machen.
Sind die auch wirklich in der shallalist?Komischerweise geht es es bei paar Webseiten, andere werden vom Filter (warum auch immer) ignoriert und werden nicht gefiltert.
Dann muss ich es Manuell machen.
http://www.shallalist.de/search.html
Meine Lieblingsxxl Seite ist bisher auch noch nicht in der Liste
Auch irgendwie unschön, eine Seite für Sicherheit, die keine https:// Seite ist. shallalist könnte da nachbessern.
Hier habe ich das Problem das er die Domains nicht annimmt. ;)
Hab's mit und ohne "www" Probiert
Hab's mit und ohne "www" Probiert
geht
youporn wird aber von shallalist geblockt, da bin ich mir sicher.
youporn wird aber von shallalist geblockt, da bin ich mir sicher.
Ok danke
Komme jetzt leider nicht mehr auf meine FritzBox mit 192.168.1.1
Verstehe nicht warum pfSesne die Blockiert
Komme jetzt leider nicht mehr auf meine FritzBox mit 192.168.1.1
Verstehe nicht warum pfSesne die Blockiert
Zitat von @136892:
Ok danke
Komme jetzt leider nicht mehr auf meine FritzBox mit 192.168.1.1
Verstehe nicht warum pfSesne die Blockiert
Ok danke
Komme jetzt leider nicht mehr auf meine FritzBox mit 192.168.1.1
Verstehe nicht warum pfSesne die Blockiert
Bypass brauchst Du
Durch meine Spielerei mit Dir, geht jetzt meine Gästewlan nicht mehr, bzw. das Zertifkat….Proxy Dingsbums... Squid ist echt ein Ding, wo man wenn es läuft nichts mehr verstellen sollte.
Ok...
Angepasste Webseiten blockt er zwar aber was er nicht blockt ist z.B webradio, Spyware usw.
woran kann das liegen?
Angepasste Webseiten blockt er zwar aber was er nicht blockt ist z.B webradio, Spyware usw.
woran kann das liegen?
Hast Du die shallaliste auch wirklich einmalig importiert? Also auf dem letzten Bild auf Download drücken. Dann drückt der auch automatisch auf apply und startet neu, was er so braucht....
Lösche sonst den Squid Cache einmal, dann Download der shallalist und dann Neustart der Firewall. Wirkt leider manchmal Wunder. Und setzte mal einfach die Porno Liste an und teste dann mit Youporn.com, einmal mit https und einmal mit http. Nicht alle Webradios.... können in der Liste sein.
Lösche sonst den Squid Cache einmal, dann Download der shallalist und dann Neustart der Firewall. Wirkt leider manchmal Wunder. Und setzte mal einfach die Porno Liste an und teste dann mit Youporn.com, einmal mit https und einmal mit http. Nicht alle Webradios.... können in der Liste sein.
Ok werde ich probieren.
Um z.B Porno Seiten nicht einzeln einzutragen gibts es da auch Listen dafür? Bzw wo muss ich die einsetzen und einfügen?
Um z.B Porno Seiten nicht einzeln einzutragen gibts es da auch Listen dafür? Bzw wo muss ich die einsetzen und einfügen?
Die shallalist??? Und Porno hast Du doch oben schon in Deinem Bild eingetragen!?
Und zusätzlich noch wie ich schon oben geschrieben habe....
Ich habe eine Target Categories Domian Endungen angelegt
Bei Regular Expression (.gov|.xxx|.mil)
Bei Regular Expression gegen flash (.*\/.*\.(flv|swf))
Bei Regular Expression gegen böse Dinge (^|[-\?+=/_])(boobs?|hardcore|porno?|sex|xxx+)([-\?+=/_]|$)
Als Beispiel ein Bild
Und zusätzlich noch wie ich schon oben geschrieben habe....
Ich habe eine Target Categories Domian Endungen angelegt
Bei Regular Expression (.gov|.xxx|.mil)
Bei Regular Expression gegen flash (.*\/.*\.(flv|swf))
Bei Regular Expression gegen böse Dinge (^|[-\?+=/_])(boobs?|hardcore|porno?|sex|xxx+)([-\?+=/_]|$)
Als Beispiel ein Bild
Seiten die noch nicht gesperrt sind, kannst Du dann hier melden. Und nach einigen Wochen sind die dann im Porno...Filter hinterlegt. Du musst natürlich die Shallalist im Squid guard erneuern, erst dann sperrt Dein Squid die. Das geht nicht automatisch.
http://www.shallalist.de/submissions.html
Mein Hinweis von weiter oben zum automatischen update
edit:
http://andreasschmid.com/2017/04/25/pfsense-squidguard/
so soll das automatisch gehen
http://www.shallalist.de/submissions.html
Mein Hinweis von weiter oben zum automatischen update
edit:
http://andreasschmid.com/2017/04/25/pfsense-squidguard/
so soll das automatisch gehen
Ok ich bin jetzt so vorgegangen:
Hard Disk Cache Size und Memory Cache Size sind sehr klein, sollte aber der Funktion nichts anhaben.
ich habe hier Hard Disk Cache Size bei 4096 und Memory Cache Size bei 2048, habe allerdings ein Alix Board mit 4 GB
ich habe hier Hard Disk Cache Size bei 4096 und Memory Cache Size bei 2048, habe allerdings ein Alix Board mit 4 GB
Squid Access Control Lists
Allowed Subnets
Du hast hoffentlich Deine Netzwerke eingeben....
z.B.
192.168.1.0/24
192.168.100.0/24
192.168.101.0/24
192.168.103.0/24
Allowed Subnets
Du hast hoffentlich Deine Netzwerke eingeben....
z.B.
192.168.1.0/24
192.168.100.0/24
192.168.101.0/24
192.168.103.0/24
Nein meine Netzwerke habe ich dort nicht eingegeben.
Mein Netzwerk der pfSense beträgt 192.168.2.1 (pfSense) bzw. 192.168.2.0 (das ganz Netz).
Was bewirkt die Funktion "Allow Subnet" genau?
Mein Netzwerk der pfSense beträgt 192.168.2.1 (pfSense) bzw. 192.168.2.0 (das ganz Netz).
Was bewirkt die Funktion "Allow Subnet" genau?
Enter subnets that are allowed to use the proxy in CIDR format. All the other subnets won't be able to use the proxy.
Put each entry on a separate line.
When 'Allow Users on Interface' is checked on 'General' tab, there is no need to add the 'Proxy Interface(s)' subnet(s) to this list.
oder auf der ersten Seite
Allow Users on Interface
If checked, the users connected to the interface(s) selected in the 'Proxy interface(s)' field will be allowed to use the proxy.
There will be no need to add the interface's subnet to the list of allowed subnets.
Put each entry on a separate line.
When 'Allow Users on Interface' is checked on 'General' tab, there is no need to add the 'Proxy Interface(s)' subnet(s) to this list.
oder auf der ersten Seite
Allow Users on Interface
If checked, the users connected to the interface(s) selected in the 'Proxy interface(s)' field will be allowed to use the proxy.
There will be no need to add the interface's subnet to the list of allowed subnets.
Also ich kann einstellen das nur mein Netz den Squid-Proxy nutzen darf?
wenn Du auf der Gernal Seite den Harken nicht setzt oder bei Allowed Subnets nichts einträgst, dann sollte der Squid überhaupt nicht funktionieren....
So sieht das bei mir aus. Für SSL Man In the Middle Filtering hast Du Dir auch ein Zertifikat erstellt?
Das Wan Interface ist jeweils nicht angewählt.
Das Wan Interface ist jeweils nicht angewählt.
Welche Hardware hast Du eigentlich ?
Keine Leistungsstarke.
RAM: 2 GB
Ich habe bei meiner pfSense kein SSL Zertifikat.
RAM: 2 GB
Ich habe bei meiner pfSense kein SSL Zertifikat.
Muss ich den Proxy unter Windows von pfSense einstellen das er die Einstallingen übernimmt?
Bei Transparent Proxy sind keine Einstellungen erforderlich.
Ok
Ich kenne es so das man bei IPFire den Proxy eingeben muss
Ich kenne es so das man bei IPFire den Proxy eingeben muss
Zitat von @136892:
Ok
Ich kenne es so das man bei IPFire den Proxy eingeben muss
OkOk
Ich kenne es so das man bei IPFire den Proxy eingeben muss
Bei Transparent Proxy sind keine Einstellungen erforderlich.
Heißt es sollte auch so laufen?
https://zefanjas.de/pfsense-webfilter-squidguard-fuer-https-verbindungen ...
Ich würde mal sagen, auch schön beschrieben.
Mit einer Erweiterung für die Google Suche
Wobei den Punkt 2 verstehe ich nicht so ganz, wo ist hier der Unterschied? Die folgende Config in dem Beitrag macht doch auch ein Man in the middle aufbrechen der https Verbindung?
siehe Punkt 2. URL-Filter über SNI
Ich würde mal sagen, auch schön beschrieben.
Mit einer Erweiterung für die Google Suche
Wobei den Punkt 2 verstehe ich nicht so ganz, wo ist hier der Unterschied? Die folgende Config in dem Beitrag macht doch auch ein Man in the middle aufbrechen der https Verbindung?
siehe Punkt 2. URL-Filter über SNI
Sorry den gab es oben ja schon, aber so in deutsch
Wie sieht es eigentlich mit den Alternativen zur shallalist aus? Hat da jemand Erfahrungen? Gemeldete Einträgen brauchen über einen Monat bis Sie aktuell auf der Shallalist sind.
Wie sieht es eigentlich mit den Alternativen zur shallalist aus? Hat da jemand Erfahrungen? Gemeldete Einträgen brauchen über einen Monat bis Sie aktuell auf der Shallalist sind.
