136892
Goto Top

PfSense blockt Webseite nicht

Hallo,

ich habe bei mir pfSense laufen.
Das erste ist was ich machen möchte eine Webseite zu blocken.

Könnt ihr da eine kurze Anleitung mir zeigen.
Bei mir funktioniert das blocken nicht.
Habe Squid Guard usw installiert.
Bin aber überfordert mit den ganzen Funktionen.

Content-Key: 383255

Url: https://administrator.de/contentid/383255

Printed on: June 12, 2024 at 18:06 o'clock

Mitglied: 129580
129580 Aug 13, 2018 updated at 21:10:00 (UTC)
Goto Top
Hallo,

eigentlich ganz einfach und wird auch von den Entwicklern super beschrieben. Siehe die Dokumentation:
https://www.netgate.com/docs/pfsense/cache-proxy/squidguard-package.html

Bei mir funktioniert das blocken nicht.

Wie sind bei dir die ACLs konfiguriert?
Wie sind die Clients mit dem Proxy verbunden? Transparent oder Forward?

VG
Exception
Member: Voiper
Voiper Aug 14, 2018 at 05:58:06 (UTC)
Goto Top
Zitat von @136892:

Hallo,
Moin,
Bin aber überfordert mit den ganzen Funktionen.
Dann fang doch erstmal mit der Doku an. Den Link hat Dir ja @129580 schon gegeben.

Gruß, V
Member: horstvogel
horstvogel Aug 14, 2018 updated at 07:09:35 (UTC)
Goto Top
Hallo,
Squid Guard in der Pfsense blockiert nicht so ohne weiteres Https Anfragen.
Ich habe die Pfsense bei mir auch laufen, meine Pfsense mit der shallalist laufen, wenn ein im Gästenetz https://youxxx eingibt, dann kommt er leider auch durch. Für ein Gästenetz kann man doch nur transparent einstellen?? Gerne würde ich auch eine Anleitung dafür haben.


12
Mitglied: 129580
129580 Aug 14, 2018 updated at 07:41:10 (UTC)
Goto Top
Hallo,

Squid Guard in der Pfsense blockiert nicht so ohne weiteres Https Anfragen.

Klar kann man mit Squid leicht HTTPS Links blockieren. Entweder per HTTP Decryption (Aufwendiger zum Einrichten, dafür mehr Möglichkeiten zum Filtern, da die pfSense Man in the Middle spielt). Oder eben per URL Filter per SNI. (Filtermöglichkeit nur auf die URLs beschränkt. Dafür keine spezielle Einrichtung notwendig).

Wie das ganze funktioniert und wie man das einrichtet wird hier beschrieben:
https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidgua ...

Für ein Gästenetz kann man doch nur transparent einstellen??

Was spricht gegen einen transparenten Proxy? Insbesondere bei einem Gästenetz macht das doch Sinn?

Viele Grüße,
Exception
Member: Lochkartenstanzer
Lochkartenstanzer Aug 14, 2018 updated at 08:01:42 (UTC)
Goto Top
Moin,

Bin aber überfordert mit den ganzen Funktionen.

Den Beitrag von gestern hast Du gesehen?

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

lks
Member: ChriBo
ChriBo Aug 14, 2018 at 08:41:05 (UTC)
Goto Top
Hi,
welche Seite(n) willst du blocken,
was hast du bis jetzt gemacht / eingestellt.

CH
Member: horstvogel
horstvogel Aug 14, 2018 updated at 09:16:29 (UTC)
Goto Top
Hallo Exception,
die Anleitung nett. Jetzt läuft das auch bei mir, kann man die shallalist auch irgendwie als Cronjob automatisch aktualisieren?
Die Pfsense bietet das so ja nicht an.
Danke!

Nette Videos zum Thema
https://www.youtube.com/watch?v=5FeEwVx6qUs
https://www.youtube.com/watch?v=8c1LRpWhL0I


edit:
http://andreasschmid.com/2017/04/25/pfsense-squidguard/
so soll das automatisch gehen
Mitglied: 136892
136892 Aug 14, 2018 at 11:23:26 (UTC)
Goto Top
Danke erstmal für die Antworten ich werde es nochmal versuchen ob’s geht.

Hab habe noch eine Frage:
Was ist genau der Unterschied von Squid und Squid Guard?
Member: Lochkartenstanzer
Lochkartenstanzer Aug 14, 2018 at 11:28:00 (UTC)
Goto Top
Zitat von @136892:

Hab habe noch eine Frage:
Was ist genau der Unterschied von Squid und Squid Guard?

Vereinfacht gesagt:

SquidGuard ist eine Erweiterung von Squid um Blacklists.

lks
Member: horstvogel
horstvogel Aug 14, 2018 at 11:35:51 (UTC)
Goto Top
13
Mitglied: 136892
136892 Aug 14, 2018 at 17:44:00 (UTC)
Goto Top
Ok,

wie ist es wenn ich HTTPS Seiten sperren möchte geht es auch einfach so?
Ich habe gesehen das man erst in pfSense ein eigenes CA erstellen muss?
Was hat es sich damit auf sich?
Member: horstvogel
horstvogel Aug 15, 2018 at 07:19:28 (UTC)
Goto Top
Zitat von @136892:

Ok,

wie ist es wenn ich HTTPS Seiten sperren möchte geht es auch einfach so?
Ich habe gesehen das man erst in pfSense ein eigenes CA erstellen muss?
Was hat es sich damit auf sich?
Schau Dir mal das englische Video an und dann die Anleitung von Exception, dann versteht man das.
Mitglied: 136892
136892 Aug 15, 2018 at 16:54:04 (UTC)
Goto Top
Hallo,

ich habe die Anleitung befolgt.
Habe aber das Problem das sich nicht SquidGuard starten lässt.
Es bleibt inaktiv.
acl
blacklist
squidguard enable
Member: horstvogel
horstvogel Aug 15, 2018 at 17:32:09 (UTC)
Goto Top
Ich habe schon die dollsten Dinge mit dem Local Cache erlebt, einfach mal löschen. Dann nochmals starten. Das kann durchaus mal 5 Minuten dauern.... bis die Firewall alles wieder machen möchte.
Mitglied: 136892
136892 Aug 15, 2018 at 17:48:50 (UTC)
Goto Top
Jetzt gehts doch habe "Check to enable the Squid proxy." aktiviert. Anscheinend wurde es wieder deaktiviert.
Member: horstvogel
horstvogel Aug 15, 2018 at 17:50:29 (UTC)
Goto Top
Zitat von @136892:

Jetzt gehts doch habe "Check to enable the Squid proxy." aktiviert. Anscheinend wurde es wieder deaktiviert.
Wie gesagt, der macht manchmal was er will, mit dem Reverse Proxy ist das auch manchmal so ein Ding.
Member: horstvogel
horstvogel Aug 15, 2018 updated at 17:59:25 (UTC)
Goto Top
Ich habe eine Target Categories Domian Endungen angelegt
Bei Regular Expression (.gov|.xxx|.mil)


Bei Regular Expression gegen flash (.*\/.*\.(flv|swf))


Bei Regular Expression gegen böse Dinge (^|[-\?+=/_])(boobs?|hardcore|porno?|sex|xxx+)([-\?+=/_]|$)


Und dann noch die Shallalist, wobei die ist anscheinend nur ein Personen Projekt. Dann kann man natürlich keine Wunder erwarten. Da die ersten Google Treffer für die xxl Seiten noch nicht drin. Daher einfach xxx sperren und man hat etwas mehr Ruhe.

Mit den Regular Expression sollte man vorsichtig sein, da die etwas an der Performance knappern.
Mitglied: 136892
136892 Aug 15, 2018 at 17:58:18 (UTC)
Goto Top
Ok ist es normal das man fast bei jeder neuen Einstellung die pfSense neustarten muss?
Member: horstvogel
horstvogel Aug 15, 2018 updated at 18:03:02 (UTC)
Goto Top
Wie gesagt, beim Squid gibt´s da häufiger mal Probleme, Cache löschen und Neustart, 5 Minuten warten und häufig läuft es dann.

Pfsense Reverse Proxy Squid 2 Web Server auf einer IP
Dafür habe ich einen Monat gebraucht, bevor ich einfach mal den Cache gelöscht haben und die Eingaben im Reverse Proxy erneuert habe und fertig.
Spielt man eine Config zurück, dann lösche ich jetzt auch immer den Cache.
Mitglied: 136892
136892 Aug 15, 2018 at 18:09:29 (UTC)
Goto Top
Ja so funktioniert es jetzt.
Aber komischerweise werden Webseiten die in der Target Rule List stehen nicht blockiert.
acl2
acl
Member: horstvogel
horstvogel Aug 15, 2018 updated at 18:19:32 (UTC)
Goto Top
Apply gedrückt? Blacklist Check? Browser Cache?
Und etwas Ruhe...für das System.face-wink
Und bei Edge habe ich manchmal auch Probleme. Da kann ich einige Seiten bei aktivem Transpart Proxy überhaupt nicht aufrufen. Bei Firefox... ist alles gut.
Mitglied: 136892
136892 Aug 15, 2018 at 18:19:34 (UTC)
Goto Top
Komischerweise geht es es bei paar Webseiten, andere werden vom Filter (warum auch immer) ignoriert und werden nicht gefiltert.
Dann muss ich es Manuell machen.
Member: horstvogel
horstvogel Aug 15, 2018 updated at 18:28:54 (UTC)
Goto Top
Zitat von @136892:

Komischerweise geht es es bei paar Webseiten, andere werden vom Filter (warum auch immer) ignoriert und werden nicht gefiltert.
Dann muss ich es Manuell machen.
Sind die auch wirklich in der shallalist?
http://www.shallalist.de/search.html
Meine Lieblingsxxl Seite ist bisher auch noch nicht in der Liste face-wink

Auch irgendwie unschön, eine Seite für Sicherheit, die keine https:// Seite ist. shallalist könnte da nachbessern.
Mitglied: 136892
136892 Aug 15, 2018 at 18:34:56 (UTC)
Goto Top
Hier habe ich das Problem das er die Domains nicht annimmt. ;)
Hab's mit und ohne "www" Probiert
unbenannt
Member: horstvogel
horstvogel Aug 15, 2018 updated at 18:51:41 (UTC)
Goto Top
geht

14

youporn wird aber von shallalist geblockt, da bin ich mir sicher.
Mitglied: 136892
136892 Aug 15, 2018 at 19:36:49 (UTC)
Goto Top
Ok danke

Komme jetzt leider nicht mehr auf meine FritzBox mit 192.168.1.1
Verstehe nicht warum pfSesne die Blockiert
Member: horstvogel
horstvogel Aug 15, 2018 updated at 19:48:25 (UTC)
Goto Top
Zitat von @136892:

Ok danke

Komme jetzt leider nicht mehr auf meine FritzBox mit 192.168.1.1
Verstehe nicht warum pfSesne die Blockiert


15

Bypass brauchst Du

Durch meine Spielerei mit Dir, geht jetzt meine Gästewlan nicht mehr, bzw. das Zertifkat….Proxy Dingsbums... Squid ist echt ein Ding, wo man wenn es läuft nichts mehr verstellen sollte.
Mitglied: 136892
136892 Aug 18, 2018 at 00:38:45 (UTC)
Goto Top
Ok...
Angepasste Webseiten blockt er zwar aber was er nicht blockt ist z.B webradio, Spyware usw.
woran kann das liegen?
Member: horstvogel
horstvogel Aug 18, 2018 updated at 06:38:14 (UTC)
Goto Top
Hast Du die shallaliste auch wirklich einmalig importiert? Also auf dem letzten Bild auf Download drücken. Dann drückt der auch automatisch auf apply und startet neu, was er so braucht....
Lösche sonst den Squid Cache einmal, dann Download der shallalist und dann Neustart der Firewall. Wirkt leider manchmal Wunder. Und setzte mal einfach die Porno Liste an und teste dann mit Youporn.com, einmal mit https und einmal mit http. Nicht alle Webradios.... können in der Liste sein.

16

17


15
Mitglied: 136892
136892 Aug 18, 2018 at 12:43:19 (UTC)
Goto Top
Ok werde ich probieren.
Um z.B Porno Seiten nicht einzeln einzutragen gibts es da auch Listen dafür? Bzw wo muss ich die einsetzen und einfügen?
Member: horstvogel
horstvogel Aug 18, 2018 updated at 12:55:31 (UTC)
Goto Top
Die shallalist??? Und Porno hast Du doch oben schon in Deinem Bild eingetragen!?
Und zusätzlich noch wie ich schon oben geschrieben habe....

Ich habe eine Target Categories Domian Endungen angelegt
Bei Regular Expression (.gov|.xxx|.mil)


Bei Regular Expression gegen flash (.*\/.*\.(flv|swf))


Bei Regular Expression gegen böse Dinge (^|[-\?+=/_])(boobs?|hardcore|porno?|sex|xxx+)([-\?+=/_]|$)


Als Beispiel ein Bild


18
Member: horstvogel
horstvogel Aug 18, 2018 updated at 13:00:01 (UTC)
Goto Top
Seiten die noch nicht gesperrt sind, kannst Du dann hier melden. Und nach einigen Wochen sind die dann im Porno...Filter hinterlegt. Du musst natürlich die Shallalist im Squid guard erneuern, erst dann sperrt Dein Squid die. Das geht nicht automatisch.

http://www.shallalist.de/submissions.html

Mein Hinweis von weiter oben zum automatischen update
edit:
http://andreasschmid.com/2017/04/25/pfsense-squidguard/
so soll das automatisch gehen
Mitglied: 136892
136892 Aug 18, 2018 at 13:00:05 (UTC)
Goto Top
Ok ich bin jetzt so vorgegangen:
2
4
1
3
Member: horstvogel
horstvogel Aug 18, 2018 at 13:05:08 (UTC)
Goto Top
Hard Disk Cache Size und Memory Cache Size sind sehr klein, sollte aber der Funktion nichts anhaben.

ich habe hier Hard Disk Cache Size bei 4096 und Memory Cache Size bei 2048, habe allerdings ein Alix Board mit 4 GB
Member: horstvogel
horstvogel Aug 18, 2018 updated at 13:09:09 (UTC)
Goto Top
Squid Access Control Lists
Allowed Subnets

Du hast hoffentlich Deine Netzwerke eingeben....
z.B.

192.168.1.0/24
192.168.100.0/24
192.168.101.0/24
192.168.103.0/24

19
Mitglied: 136892
136892 Aug 18, 2018 at 13:12:25 (UTC)
Goto Top
Nein meine Netzwerke habe ich dort nicht eingegeben.
Mein Netzwerk der pfSense beträgt 192.168.2.1 (pfSense) bzw. 192.168.2.0 (das ganz Netz).

Was bewirkt die Funktion "Allow Subnet" genau?
Member: horstvogel
horstvogel Aug 18, 2018 updated at 13:16:23 (UTC)
Goto Top
Enter subnets that are allowed to use the proxy in CIDR format. All the other subnets won't be able to use the proxy.
Put each entry on a separate line.
When 'Allow Users on Interface' is checked on 'General' tab, there is no need to add the 'Proxy Interface(s)' subnet(s) to this list.


oder auf der ersten Seite
Allow Users on Interface
If checked, the users connected to the interface(s) selected in the 'Proxy interface(s)' field will be allowed to use the proxy.
There will be no need to add the interface's subnet to the list of allowed subnets.
Mitglied: 136892
136892 Aug 18, 2018 at 13:15:31 (UTC)
Goto Top
Also ich kann einstellen das nur mein Netz den Squid-Proxy nutzen darf?
Member: horstvogel
horstvogel Aug 18, 2018 at 13:18:41 (UTC)
Goto Top
wenn Du auf der Gernal Seite den Harken nicht setzt oder bei Allowed Subnets nichts einträgst, dann sollte der Squid überhaupt nicht funktionieren....
Member: horstvogel
horstvogel Aug 18, 2018 updated at 13:25:50 (UTC)
Goto Top
So sieht das bei mir aus. Für SSL Man In the Middle Filtering hast Du Dir auch ein Zertifikat erstellt?
Das Wan Interface ist jeweils nicht angewählt.

20
21
23
24
Member: horstvogel
horstvogel Aug 18, 2018 at 13:26:47 (UTC)
Goto Top
Welche Hardware hast Du eigentlich ?
Mitglied: 136892
136892 Aug 18, 2018, updated at Aug 19, 2018 at 11:10:02 (UTC)
Goto Top
Keine Leistungsstarke.

RAM: 2 GB

Ich habe bei meiner pfSense kein SSL Zertifikat.
1
Mitglied: 136892
136892 Aug 21, 2018 at 14:57:04 (UTC)
Goto Top
Muss ich den Proxy unter Windows von pfSense einstellen das er die Einstallingen übernimmt?
Member: horstvogel
horstvogel Aug 22, 2018 at 18:39:23 (UTC)
Goto Top
Bei Transparent Proxy sind keine Einstellungen erforderlich.
Mitglied: 136892
136892 Aug 23, 2018 at 14:36:14 (UTC)
Goto Top
Ok
Ich kenne es so das man bei IPFire den Proxy eingeben muss
Member: Voiper
Voiper Aug 23, 2018 at 15:38:37 (UTC)
Goto Top
Zitat von @136892:

Ok
Ich kenne es so das man bei IPFire den Proxy eingeben muss
Ok
Bei Transparent Proxy sind keine Einstellungen erforderlich.
Mitglied: 136892
136892 Aug 24, 2018 at 08:33:02 (UTC)
Goto Top
Heißt es sollte auch so laufen?
Member: horstvogel
horstvogel Sep 04, 2018 at 17:18:30 (UTC)
Goto Top
https://zefanjas.de/pfsense-webfilter-squidguard-fuer-https-verbindungen ...

Ich würde mal sagen, auch schön beschrieben.
Mit einer Erweiterung für die Google Suche


Wobei den Punkt 2 verstehe ich nicht so ganz, wo ist hier der Unterschied? Die folgende Config in dem Beitrag macht doch auch ein Man in the middle aufbrechen der https Verbindung?

siehe Punkt 2. URL-Filter über SNI
Member: horstvogel
horstvogel Sep 04, 2018 updated at 17:25:18 (UTC)
Goto Top
Sorry den gab es oben ja schon, aber so in deutsch face-wink

Wie sieht es eigentlich mit den Alternativen zur shallalist aus? Hat da jemand Erfahrungen? Gemeldete Einträgen brauchen über einen Monat bis Sie aktuell auf der Shallalist sind.