15 Temmuz 2011 Cuma

pfSense Captive Portal + Squid Bypass Problemi

pfSense üzerinde gelen Captive Portal, kullanıcıların internete erişimini engelleyen ancak kullanıcı adı ve parolası ile oturum açan kullanıcıların internetene çıkmasını sağlayan bir uygulamadır...

Standart olarak pfSense üzerinde Squid paketi bulunmadığından Captive Portal kullanımında sıkıntı yaşanmaz. Ancak sistem yöneticileri pfSense üzerine Squid Proxy paketini kurduklarında pek fark edilmeyen küçük bir problem ortaya çıkar.

Herhangi bir kullanıcı Squid servisinin çalıştığını fark eder ve web tarayıcısındaki vekil sunucu (proxy) ayarlarını değiştirerek Captive Portal uygulamasını aşağıdaki videoda görüldüğü gibi atlatabilir.

10 yorum:

  1. Peki harun bey bu sorunu proxy ayarlarindaki 3128 nolu portu degiştirerekmi çözüme kavuşabiliriz.

    David SAFRANTI tşkler

    YanıtlaSil
  2. Doğrudan proxy portunu değiştirmek işe yaramıyor. Zira kötü niyetli bir kullanıcı proxy portunu tespit ederek yine captive portal uygulamasını bypass edebilir...

    Çözüm olarak captive portal açık olduğu sürece proxy portuna lan arayüzünden gelen istekleri engelleyecek bir firewall kuralı girmek gerekiyor. Böylece captive portal tarafında oturum açmamış olan bir kullanıcının doğrudan proxy portuna istek yapması engelleniyor...

    Küçük bir patch yaparak bu sorunu çözüme kavuşturmak mümkün olabilir...

    YanıtlaSil
  3. anlıyorum harun bey. bu patch yine pf tarafından yapıcak olan bir uygula olacak degilmi windows la alakası yok sanırsam.. peki bioyle bir uygula bildiginiz varmı. tşk ederim simdiden ilginize..

    davit safranti

    YanıtlaSil
  4. Evet Windows ile ilgisi yok, pfSense üzerinde değişiklik yapmak gerekiyor. Diğer bir seçenek ise Squid paketini devre dışı bırakmak olabilir. Ancak bu pfSensein pek nimetinden vazgeçmek anlamına gelir...

    Bildiğim bir patch yok ancak benim kendi çabalarımla yazdığım bir şeyler var. Bunları bir patch haline getirip yayımlamayı düşünüyorum...

    YanıtlaSil
  5. Anlıyorum harun bey. vallahi cok seviniriz eger boyle birsey yaparsaniz.. şimdiden cok tşk ederim umarım en kısa zamanda yayınlanır..:)

    YanıtlaSil
  6. Harun bey bilgilendirme için teşekkürler.
    çözümü için, aşağıdaki linke bakabilirsiniz.
    http://forum.pfsense.org/index.php/topic,39834.msg206027.html#msg206027

    YanıtlaSil
  7. @QWERTY link için teşekkürler, Benzer sorunlarla karşılaşarak bu yazıya ulaşacak insanlar için linki yayımlıyorum. Zira sorunun çözümünü zaten biliyorum. :)

    Bu şekilde firewall kuralları girmek yerine Squid ve Captive Portal bileşenlerinde bir özelleştirme yaptım.

    Şu an sistem Captive Portalın aktif olup olmadığını kontrol ediyor, Captive Portal bileşeni aktif edilmişse Squid portuna doğrudan erişime izin vermiyor. Böylece özel firewall kurallarıyla uğraşmam gerekmiyor...

    YanıtlaSil
  8. tşk ederiz link icin.. :) konus dışı belki ama pfsense de userların google yada herhangi bir arama motorunda hangi kelimeleri aradıklarını . nasil görme imkanim olur yada ekstra bir yardımcı programmı kurulmadı gerekiyor.? tşk edeirm

    Davit SAFRANTI

    YanıtlaSil
  9. Pfsense 2.0.1 kullanıyorsanız bu patchi uygulayarak cp nin squit üzerinden bypass edilmesini engelleyebilirsiniz.

    https://github.com/downloads/marcelloc/pfsense-packages/captiveportal_201_amd64.inc
    aşağıdaki dosyanın içeriğini yukarıdaki bu dosyanın içeriği ile değiştirip pfsenseyi restart edin. ve sonucu görün.
    /etc/inc/captiveportal.inc


    patch offical değildir. Hataları olabilir. Yorum alıntıdır. Orjinali: http://forum.pfsense.org/index.php?topic=46817.0;wap2



    After replacing this file, apply captive portal and see if squid port(3128) is blocked until you login.

    YanıtlaSil
  10. @Adsız, Yorum ve link için teşekkürler. Ben kendim için ufak bir patch yazmıştım ancak benzer sorunlar yaşayan arkadaşlar için faydalı olabilir diye düşünüyorum...

    YanıtlaSil