Firewall

PFsense Proxy Server Kurulumu

PFSense üzerinde içerik ve URL Filtreleme yapabilmemiz için Proxy Server ve URL Filter paketlerimizin kurulumunu yapmış olmalıyız.
İhtiyacımız olan Paketler
-squid
-SquidGuard paketleridir bu paketlerin kurulumunu yapıyoruz
-Proxy server yapılandırması

Eğer bu paketlerin kurulumunu yapmadıysanız Packages bölümünden squid ve squidguard paketlerinin kurulumunu tamamlayalım.
Kurulumu başlatmak için;

1-) System – > Packages – > Available Packages segmentine giriş yapalım.

Pfsense_urlfilter_01

Pfsense_urlfilter_02

Squid ve squidGuard paketlerinin kurulumlarını yapalım.

Pfsense_urlfilter_03

2-) Pfsense serverımızı restart edelim.

Bu işlem sonrasında Services > Proxy Server’ı açıyoruz

Ve bu ekranda allow users on interface seçeneğini ve transparent Proxy seçeneğini işaretliyoruz.

Pfsense_urlfilter_04

yukarıda gördüğünüz gibi alanları doldurunuz. Bu bölümleri açıklamamız gerekirse ;

Proxy Interface : Hangi network’leri filtreye dahil edeceğimizi seçiyoruz benim sadece bir interfacem olduğu için LAN Seçiyorum.

Allow users on interface : Bu seçeğini işaretliyoruz. Bu özellik aktif olduğunda  tanımlı arayüze bağlı kullanıcılar internete proxy server üzerinden çıkarlar.

Transparent Proxy : Bu seçenek seçili olduğunda, kullanıcıların Proxy ayarı yapmasına gerek kalmaz.Tüm internet trafiği proxy server’a yönlendirilir.

Bypass Proxy for private address space : Bu seçenek işaretlenirse özel adres aralıkları proxy sunucuya  yönlendirilmeyecek, direk Firewall üzerinden internet’e çıkacaktır. ( İşaretlemiyoruz )

Bypass proxy for these source IPs :  Buraya gireceğimiz İP’ler,networkler,host adları ve alias tanımları proxy server’a yönlendirilmeyecek direk firewall üzerinden internet’e çıkacaktır. ( Filtreleme yapmayacağınız networkleri burada belirtebilirsiniz. Sadece transparent mod’da çalışır )

Bypass proxy for these destination IPs  : Bu hedef ip’lere ,networklere, host adlarına ve alias tanımlarına giden trafik proxy sunucuya yönlendirilmeyecek ve direk firewall üzerinden geçecektir. (Sadece transparent mod’da çalışır )

Enable Logging :  Bu özellik erişim kayıtlarını tutmayı aktif eder. Eğer yeterli disk alanınız yoksa bu özelliği aktif etmeyebilirsiniz.

Log Store Directory : Logların  saklanacağı dizini belirtiyoruz. Default olarak /var/squid/logs yazıyoruz.

Log rotate : Kayıtların kaç günde bir temizlenip,arşivleneceğini belirler. Boş bırakırsak log temizleme kapalı kalır.20 Gün olarak belirliyoruz ve 20 günde bir eski kayıtların otomatik temizlenmesini sağlıyoruz.

Proxy Port : Proxy Server’ın dinleyeceği port’tur. ( İstemcilerin kullanacakları proxy server portudur )

ICP Port : Komşu proxy server’ların haberleşeceği porttur. Boş bırakıyoruz.

Visible Hostname : Hata mesajlarında gözükecek olan hostname ismini giriyoruz. Örnek flwall.sametyilmaz.com
Administrator email :  Kullanıcıların başvuracağı yönetici mail adresidir. Hata mesajlarında gözükür.

Language : Kullanıcılar için hata mesajlarının  görüntülenmesini istediğiniz dil , Turkish seçiyoruz.

Disable X-Forward : Eğer seçili olmazsa proxy server sizin sistem ip adresinizi veya adını http başlığı içersinde iletecektir. ( İşaretleyiniz. )

Disable VIA  : Eğer seçili olmazsa, Proxy server via Başlık bilgisini giden gelen istekler içersinde

What to do with reguest ……….. : ( URL içersinde geçen Whitespace karakterlerine (boşluk,tab,.. gibi ) ne yapılsın ?
Strip : Bu karakterleri URL’den çıkar. RF2396’a göre tavsiye edilen yöntemdir.
Deny : İsteği engelle kullanıcı “ geçersiz istek mesajı alacaktır.
Allow : İsteğe izin ver ve URL’yi değiştirme Bu karakterler URL içersinde kalacaktır.
Encode : İsteğe izin ver ve bu karakterleri RFC1738’e göre kodla.
chop :İsteğe izin ver ve birinci whitespace karakteri kesilir.

Biz bu bölümde “ strip “ seçiyoruz.

User alternate DNS-servers fort he proxy server : DNS yönlendirici’den farklı dns sunucusu kullanmak istiyorsak bu bölüme girebiliriz. İp adreslerini noktalı virgül ; ile ayırarak girmemiz gerekmektedir.

Suppress Squid Version : Eğer işaretlenirse, Proxy Server versiyon bilgisi http başlık içersinde ve html hata sayfasında gizlenecektir.

Custom Options : Buraya girdğiniz değerler konfigürasyona eklenecektir.Değerleri ; koyarak giriniz .

Bölümdeki alanları tanıdığımıza göre  ve ayarlarımızı yapılandırdıktan sonra  “ Save “ butonu ile ayarlarımızı kaydediyoruz.

 

3-) Upstrem Proxy  : Eğer üst bir proxy server yoksa istekleri üst proxy sunucusuna aktarmayacaksak bu bölüme girmemize’de gerek yok o bölüme erişmeden Cacha Mgmt ( Cache Managament ) segmentine giriş yapıyoruz.

4-)

Pfsense_urlfilter_05

Hard disk cache size : Önbelleğe alınan dosyaların kullanacağı disk boyutunu mb olarak giriyoruz. Disk kapatenize göre değişiklik yapabilirsiniz ( 200 mb ) olarak belirledim.

Hard disk cache system : null seçiyoruz. Hiçbir depolama seçme ve Embedded/Nanobsd için idealdir.

Hard disk cache location : cachelerin bulunacağı dizini belirtiyoruz. ( Sonunda / işareti kullanmayınız. )

Memory cache size : Önbellek için ayrılan fiziksel hafıza default olarak bırakıyoruz.

Minimum object size :  0 Kb değerindeki objeler diske kayıt edilmeyecektir.

Maximum object size : Buraya girilen değerden büyük değerlerdeki objeler diske kaydedilmeyecektir. Default bırakıyorum.

Maximum object size in RAM : Belirtilen değerden küçük objeler (kb değeri ) ram’a kaydedilecektir. Varsayılan olarak bırakıyoruz 32

Level 1 Subdirectories : Default olarak 16 seçiyoruz. Yüksek seçimler yapmamızda servislerin açılış işlemlerini yavaşlatacaktır.

Memory replacement policy : Önbellek yerdeğiştirme politikası olarak HEAP GDSF seçiyoruz.

Pfsense_urlfilter_06

Do not cache : ön belleğe almak istemediğimiz domainleri ve ipleri belirtebilirsiniz.

Enable offline mode :  Çevrim dışı modunu etkinleştir. Aktif olduğunda Proxy server önbellekte olan objelerin güncelliğini kontrol etmeyecektir. ( İşaretlemeyiniz )

5-) Yukarıdaki menüden Access Control Bölümüne geliyoruz ve bu bölümü inceliyoruz.

Pfsense_urlfilter_07

Allowed Subnets : Proxy server sadece dinlediği ağ arayüzü için erişim yetkisi sağlar.Diğer ağ aralıkları varsayılan olarak yasaklıdır.Farklı ağları bu bölümde belirtebiliriz. Ben LAN network ağını ekliyorum sadece sizin eğer farklı ip aralıklarına sahip networkünüz varsa bu bölümde belirtebilirsiniz.

Unrestricted IPs : Erişim kontrolüne takılmasını istemediğiniz kullanıcıların kullanıcı adını veya ip adresini bu bölümde belirtebilirsiniz.

Banned host addresses : Proxy sunucusunu kullanmasını engellemek istediğiniz kullanıcıları buraya ekleyebilirsiniz.

White List : Hiçbir web filtrelemesine  takılmadan açılmasını istediğini web sitelerini buraya yazabilirsiniz.

Black List : Erişimi yasaklamak istediğiniz web sitelerini buraya yazabilirsiniz.

External Cache-Manager : Dış önbellek yöneticilerini bu bölümde belirtebilirsiniz. Default olarak bırakınız.

Acl Safe ports : Bu bölümde izinli portları ekleyebilirsiniz. Ön tanımlı izinli portlar örneğin 21,70,80,443 ) aralarında boşluk bırakarak ekleyebilirsiniz ( Default olarak bırakıyoruz )
Acl SSLports : Ön tanımlı izinli SSL portlara direk ssl bağlantısı için izin verebilirsiniz. ( Default olarak bırakıyoruz )

6-) Eğer İsterseniz trafik yönetimi kısmında özelleştirilmiş ayarlar uygulayabilirsiniz.

Pfsense_urlfilter_08

Maximum download boyutu , upload boyutu,host başına limitleme,download uzantıları kısıtlayabilme vb birçok ayar bulunmaktadır.

Auth Settings kısmından Squid ile Active Directory entegrasyonu yapabilirsiniz.

Standart olarak PFSense üzerinde Proxy Server kurulumunu gerçekleştirmiş olduk.

Click to comment

You must be logged in to post a comment Login

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

popüler yazılar

To Top
%d blogcu bunu beğendi: