HTTPS Filterung mit IPFire

Anregungen & Feature Requests
armageddon
Posts: 29
Joined: April 22nd, 2017, 11:03 am
Contact:

HTTPS Filterung mit IPFire

Post by armageddon » May 6th, 2017, 5:40 pm

Hallo!

Nachdem ich mir zuerst squid-3.5.24 für meine IPFire core 109 (i586) angepasst hatte, habe ich nun squid-3.5.25 hier im Einsatz! Das ganze mit URL-Filter und SquidClamAv.

Code: Select all

./configure \
		--prefix=/usr \
		--sysconfdir=/etc/squid \
		--datadir=/usr/lib/squid \
		--mandir=/usr/share/man \
		--libexecdir=/usr/lib/squid \
		--localstatedir=/var \
		--disable-icmp \
		--disable-wccp \
		--disable-wccpv2 \
		--disable-kqueue \
		--disable-esi \
		--disable-arch-native \
		--enable-ssl \
		--enable-ssl-crtd \
		--enable-ipv6 \
		--enable-poll \
		--enable-ident-lookups \
		--enable-storeio=aufs,diskd,ufs \
		--enable-underscores \
		--enable-http-violations \
		--enable-removal-policies=heap,lru \
		--enable-delay-pools \
		--enable-linux-netfilter \
		--enable-snmp \
		--enable-auth \
		--enable-auth-basic \
		--enable-auth-digest \
		--enable-auth-negotiate \
		--enable-auth-ntlm \
		--enable-log-daemon-helpers \
		--enable-url-rewrite-helpers \
		--enable-build-info \
		--enable-eui \
		--enable-async-io=16 \
		--enable-unlinkd \
		--enable-internal-dns \
		--enable-epoll \
		--enable-select \
		--enable-cache-digests \
		--enable-forw-via-db \
		--enable-htcp \
		--enable-kill-parent-hack \
		--enable-icap-client \
		--enable-zph-qos \
		--with-openssl \
		--with-dl \
		--with-filedescriptors=$$(( 16384 * 64 )) \
		--with-large-files
Image

Wer's testen möchte, hier geht's lang > http://linuxdoku.bplaced.net/?cat=48

Wünsche Gutes Gelingen
Image

Image

datamorgana
Posts: 53
Joined: May 16th, 2014, 7:51 am

Re: HTTPS Filterung mit IPFire

Post by datamorgana » May 8th, 2017, 2:30 pm

Danke! Das schau ich mir auch mal an!

lenny
Posts: 287
Joined: October 4th, 2011, 12:47 pm

Re: HTTPS Filterung mit IPFire

Post by lenny » May 10th, 2017, 11:57 am

Wo muss ich deinen Code einfügen, damit SSL gefiltert wird?

armageddon
Posts: 29
Joined: April 22nd, 2017, 11:03 am
Contact:

Re: HTTPS Filterung mit IPFire

Post by armageddon » May 10th, 2017, 12:41 pm

Der Code zeigt nur mit welchen Optionen Squid übersetzt wurde.

Anleitung gibt's hier: http://linuxdoku.bplaced.net/?p=97

Download hier: http://linuxdoku.bplaced.net/?p=70
Image

Image

lenny
Posts: 287
Joined: October 4th, 2011, 12:47 pm

Re: HTTPS Filterung mit IPFire

Post by lenny » May 10th, 2017, 12:55 pm

finde ich gut, Danke.

vllt. kann man das ja irgendwann in die offizielle aufnehmen

armageddon
Posts: 29
Joined: April 22nd, 2017, 11:03 am
Contact:

Re: HTTPS Filterung mit IPFire

Post by armageddon » May 23rd, 2017, 1:23 pm

Diese Version funktioniert auch mit der Core 110 (i586)
Image

Image

armageddon
Posts: 29
Joined: April 22nd, 2017, 11:03 am
Contact:

Re: HTTPS Filterung mit IPFire

Post by armageddon » May 28th, 2017, 9:17 am

Hier noch Squid-3.5.25 für Core 109 & Core110 64 Bit!!!

http://linuxdoku.bplaced.net/?p=70
Attachments
eicar.jpg
ssl_bump.jpg
Image

Image

armageddon
Posts: 29
Joined: April 22nd, 2017, 11:03 am
Contact:

Re: HTTPS Filterung mit IPFire

Post by armageddon » June 12th, 2017, 11:06 am

Squid Update 32 Bit Version 3.5.26 für core109 & core110!

http://linuxdoku.bplaced.net/?p=70
Image

Image

lenny
Posts: 287
Joined: October 4th, 2011, 12:47 pm

Re: HTTPS Filterung mit IPFire

Post by lenny » July 4th, 2017, 2:22 pm

ist angedacht, dass mal produktiv einzupflegen?
die Namhaften machen das ja schon, was heutzutage absolut Sinn macht.

armageddon
Posts: 29
Joined: April 22nd, 2017, 11:03 am
Contact:

Re: HTTPS Filterung mit IPFire

Post by armageddon » October 19th, 2017, 4:58 pm

Squid Update 32 & 64 Bit Version 3.5.27 für Core 114!

http://linuxdoku.bplaced.net/?p=70
Image

Image

Exodar
Posts: 9
Joined: August 15th, 2017, 3:50 pm

Re: HTTPS Filterung mit IPFire

Post by Exodar » October 23rd, 2017, 6:25 pm

Hi Grüß dich,
Danke erstmal für diese geniale Anleitung.
Hatte ja die Tage bereits gefragt, ob das auch auf dem Core 114 läuft.
Ging ja schneller als gedacht.

Ich habe allerdings ein kleines Problem. Ich habe mich genaustens an deine Anleitung gehalten. Bekomme aber beim booten die Meldung:
iptables: No chain/target/match by that name

Testen tu ich das ganze derzeit auf einer VirtualBox. 4GB Ram Sollte für Webproxy und ClamAv+squidClamav ausreichend sein. Sonst sind keine Addons installiert.
Der Testclient ist ein Windows 10 PC.
Wenn ich hier den Proxy eintrage, das Zertifikat installiere komme ich ins Web. Alles schön und gut. Leider funktioniert die Filterung nach URL-Filter nicht. Ich gebe Schlagwörter wie z.B. Porno und Blowjob ein, wie in deinem Video, und ich bekomme bei Google und Duckduckgo direkt Suchergebnisse. Unter Bildersuche kommen natürlich auch die zu erwartenden Bildchen.

meine include.acl sieht so aus:

Code: Select all

https_port 192.168.101.1:3129 intercept ssl-bump generate-host-certificates=on cert=/etc/squid/ssl_cert/myca.pem key=/etc/squid/ssl_cert/myca.pem version=1 options=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
https_port 192.168.102.1:3129 intercept ssl-bump generate-host-certificates=on cert=/etc/squid/ssl_cert/myca.pem key=/etc/squid/ssl_cert/myca.pem version=1 options=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE


ssl_bump stare all
ssl_bump bump all
meine firewall.local sieht so aus

Code: Select all

#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
  start)
        ## add your 'start' rules here
iptables -t nat -A CUSTOMPREROUTING -i green0 -p tcp --dport 443 -j REDIRECT --to-port 3129
iptables -t nat -A CUSTOMPREROUTING -i blue0 -p tcp --dport 443 -j REDIRECT --to-port 3129
       ;;
  stop)
        ## add your 'stop' rules here
iptables -t nat -D CUSTOMPREROUTING -i green0 -p tcp --dport 443 -j REDIRECT --to-port 3129
iptables -t nat -D CUSTOMPREROUTING -i blue0 -p tcp --dport 443 -j REDIRECT --to-port 3129
        ;;
  reload)
        $0 stop
        $0 start
        ## add your 'reload' rules here
        ;;
  *)
        echo "Usage: $0 {start|stop|reload}"
        ;;
esac
Der Proxy steht auf Port 8080 nicht Transparent.
Image

armageddon
Posts: 29
Joined: April 22nd, 2017, 11:03 am
Contact:

Re: HTTPS Filterung mit IPFire

Post by armageddon » October 24th, 2017, 2:45 pm

URL-Filter aktiviert?
URL-Filter Konfiguration?
Wird das http Protokoll gefiltert?
Cache des Webproxy & Browser geleert?
Image

Image

Exodar
Posts: 9
Joined: August 15th, 2017, 3:50 pm

Re: HTTPS Filterung mit IPFire

Post by Exodar » October 25th, 2017, 7:50 pm

armageddon wrote:
October 24th, 2017, 2:45 pm
URL-Filter aktiviert?
Ja, ist unter Webproxy aktiviert.
armageddon wrote:
October 24th, 2017, 2:45 pm
URL-Filter Konfiguration?
Shalla Updates: monatlich. Direkt nach der Aktiviertung einmal manuell gestartet.
Sperrkategorieen: porn, Sex/education, sex/lingerie, ads, adv, dating.
Angepasste Ausdrucksliste aktiv, blowjob, pron, und andere einschlägige Worte. Eins pro Zeile.
Zeige Kategorie auf der Sperrseite: aktiv
Zeige URL auf der Sperrseite: aktiv
Zeige IP auf der Sperrseite: aktiv
armageddon wrote:
October 24th, 2017, 2:45 pm
Wird das http Protokoll gefiltert?
Funktioniert. Sowohl im Proxy Protokoll, als auch der eicar.org Testdateien werden positiv gescannt und die Sperrseite geht auf.
Wird also nicht runtergeladen.
armageddon wrote:
October 24th, 2017, 2:45 pm
Cache des Webproxy & Browser geleert?
Jap, auch passiert.

Nach knapp 10 Minuten ist der Dienst Proxyserver auf angehalten.
Neustart durch Speichern und Neustarten ist möglich.

Code: Select all

21:43:29	squid[5902]: 	Exiting due to repeated, frequent failures
21:43:29	squid[5902]: 	Squid Parent: (squid-1) process 6810 will not be restarted due to repeated, freq uent failures
21:43:29	squid[5902]: 	Squid Parent: (squid-1) process 6810 exited due to signal 6 with status 0
21:43:28	squid[5902]: 	Squid Parent: (squid-1) process 6810 started
21:43:25	squid[5902]: 	Squid Parent: (squid-1) process 6770 exited due to signal 6 with status 0
21:43:23	squid[5902]: 	Squid Parent: (squid-1) process 6770 started
21:43:20	squid[5902]: 	Squid Parent: (squid-1) process 6741 exited due to signal 6 with status 0
21:43:19	squid[5902]: 	Squid Parent: (squid-1) process 6741 started
21:43:16	squid[5902]: 	Squid Parent: (squid-1) process 6712 exited due to signal 6 with status 0
21:43:13	squid[5902]: 	Squid Parent: (squid-1) process 6712 started
21:43:10	squid[5902]: 	Squid Parent: (squid-1) process 6684 exited due to signal 6 with status 0
21:43:09	squid[5902]: 	Squid Parent: (squid-1) process 6684 started
21:43:06	squid[5902]: 	Squid Parent: (squid-1) process 5905 exited due to signal 6 with status 0
21:40:06	squid[5902]: 	Squid Parent: (squid-1) process 5905 started
21:40:06	squid[5902]: 	Squid Parent: will start 1 kids
21:40:05	squid[5885]: 	Squid Parent: (squid-1) process 5888 exited with status 0
21:40:05	squid[5885]: 	Squid Parent: (squid-1) process 5888 started
21:40:05	squid[5885]: 	Squid Parent: will start 1 kids
21:40:00	squid: 	squid shutdown time: 0 seconds
21:36:15	squid[3440]: 	Exiting due to repeated, frequent failures
21:36:15	squid[3440]: 	Squid Parent: (squid-1) process 3998 will not be restarted due to repeated, freq uent failures
21:36:15	squid[3440]: 	Squid Parent: (squid-1) process 3998 exited due to signal 6 with status 0
21:36:08	squid[3440]: 	Squid Parent: (squid-1) process 3998 started
21:36:05	squid[3440]: 	Squid Parent: (squid-1) process 3926 exited due to signal 6 with status 0
21:35:59	squid[3440]: 	Squid Parent: (squid-1) process 3926 started
21:35:56	squid[3440]: 	Squid Parent: (squid-1) process 3890 exited due to signal 6 with status 0
21:35:50	squid[3440]: 	Squid Parent: (squid-1) process 3890 started
21:35:47	squid[3440]: 	Squid Parent: (squid-1) process 3860 exited due to signal 6 with status 0
21:35:41	squid[3440]: 	Squid Parent: (squid-1) process 3860 started
21:35:38	squid[3440]: 	Squid Parent: (squid-1) process 3808 exited due to signal 6 with status 0
21:35:32	squid[3440]: 	Squid Parent: (squid-1) process 3808 started
21:35:29	squid[3440]: 	Squid Parent: (squid-1) process 3443 exited due to signal 6 with status 0
21:34:04	squid[3440]: 	Squid Parent: (squid-1) process 3443 started
21:34:04	squid[3440]: 	Squid Parent: will start 1 kids
21:34:03	squid[3428]: 	Squid Parent: (squid-1) process 3431 exited with status 0
21:34:03	squid[3428]: 	Squid Parent: (squid-1) process 3431 started
21:34:03	squid[3428]: 	Squid Parent: will start 1 kids
21:34:02	squid: 	squid shutdown time: 7 seconds
21:31:33	squid[2273]: 	Squid Parent: (squid-1) process 2893 started
21:31:30	squid[2273]: 	Squid Parent: (squid-1) process 2883 exited due to signal 6 with status 0
21:31:24	squid[2273]: 	Squid Parent: (squid-1) process 2883 started
21:31:21	squid[2273]: 	Squid Parent: (squid-1) process 2276 exited due to signal 6 with status 0
21:30:24	squid[2273]: 	Squid Parent: (squid-1) process 2276 started
21:30:24	squid[2273]: 	Squid Parent: will start 1 kids
21:30:24	squid[2261]: 	Squid Parent: (squid-1) process 2263 exited with status 0
21:30:23	squid[2261]: 	Squid Parent: (squid-1) process 2263 started
21:30:23	squid[2261]: 	Squid Parent: will start 1 kids
Der Wikipedia Eintrag Ficken über die google.de suche geht auf. Das ist schon eine https Verbindung.


Edit:
Das mit dem Proxy-Dienst hat sich erledigt. Hatte den Vorgelagerten Proxy des Livesystems dort eingetragen. Sobald ich den nicht mehr drin habe, bleibt der Proxy aktiv.
Image

armageddon
Posts: 29
Joined: April 22nd, 2017, 11:03 am
Contact:

Re: HTTPS Filterung mit IPFire

Post by armageddon » October 28th, 2017, 9:21 am

Edit:
Das mit dem Proxy-Dienst hat sich erledigt. Hatte den Vorgelagerten Proxy des Livesystems dort eingetragen. Sobald ich den nicht mehr drin habe, bleibt der Proxy aktiv.
Heisst das er filtert https?
Ich habe allerdings ein kleines Problem. Ich habe mich genaustens an deine Anleitung gehalten. Bekomme aber beim booten die Meldung:
iptables: No chain/target/match by that name
Kommt diese Meldung immer noch?
Image

Image

Exodar
Posts: 9
Joined: August 15th, 2017, 3:50 pm

Re: HTTPS Filterung mit IPFire

Post by Exodar » October 28th, 2017, 11:41 am

Nein, er filtert keine Https, nur Http.
Der Dienst bleibt jetzt nur aktiv. Vorher als ich den Vorgelagerten Proxy eingestellt habe, ist der Dienst immer wieder beendet.

Die Meldung beim booten: "iptables: No chain/target/match by that name" kommt immer noch.
Zwei mal, habe ja einmal für Green0 und einmal für Blue0 die Regel reinkopiert.
Image

Post Reply

Who is online

Users browsing this forum: No registered users and 3 guests