23 Mart 2015 Pazartesi

pfSense Kullanıcı Bazlı Web Filtreleme (URL Filtrer)

Merhabalar

Bu makalede pfSense 2.2 sürümü üzerinde URL filter nasıl yapılır detaylı bir şekilde anlatmaya çalışacağım. URL filter ile local ağınızdaki bilgisayarların belirli web sitelerine girmelerini veya belirli sitelere izin verilmesini sağlayabilirsiniz. URL filter kullanıcı, network, grup bazlı olarak kullanılabilir. Aşağıdaki başlık altındaki özellikler ve nasıl yapıldığından bahsedilecektir, pfSense üzerinde Squid ve SquidGuard paketlerini kurup yapılandırmanız gerekmektedir.

URL Filter;
General Settings
Common ACL
Groups ACL
Target categories
Times
Rewrites
Blacklist
Log


Önemli: URL Filter 'da yapılan değişikliklerin hemen aktif olmasını istiyorsanız yapılan her değişiklikten sonra General Settings sekmesini girip Apply butonuna tıklamanız gerekiyor.

Önemli: URL Filter özelliğinin transparent modda çalışması için Services > Proxy server > Transparent Proxy özelliğini aktif etmeniz gerekiyor.

Ana menüde Services > Proxy filter sekmesine giriş yaptıktan sonra genel ayarlar bölümüne girip Proxy servisinin çalıştığından emin olalım.







Common ACL
Bu bölümde bütün kullanıcılar için izin tanımlaması yada kategori bazlı engelleme yapılabilir. Blacklist kategorilerine ulaşmak isterseniz Target Rules List (click here) tıklayarak ulaşabilirsiniz.

Do not allow IP-Adress: Kullanıcıların ip adresi yazarak url filtrelemeyi atlatmalarını engellemek isterseniz bu seçenek aktif edilebilir.
Proxy denied error: Engellenen siteler için hata mesajı yazılabilir. (Yasaklı adres. Erişiminiz Engellendi gibi.)
Redirect mode: Yönlendirme modu seçilebilir.
Redirect info: Dış yönlendirme adresi yazılabilir.
Use SafeSearch engine: Bu özellik güvenli arama motoru kullanılmasını sağlar. Desteklenenler; Google, Yahoo, MSN, Live Search gibi.) Bu özellik aktif edildiği zaman Redirect mode devre dışı kalır.
Rewrite: Kullanıcıların gitmek istediği siteyi başka bir siteye yönlendirme kuralı buraya tanımlanabilir.
Log: URL filter loglarının tutulmasını isterseniz bu seçenek aktif edilebilir.
Default olarak bütün kategoriler "Deny" olarak gelir bunu mutlaka "Allow" olarak değiştirmeniz gerekiyor aksi takdirde kullanıcılar internete çıkamazlar. Ayarlar yapıldıktan sonra alt satırdan Save butonuna tıklayarak ayarlar kaydedilir.












Groups ACL
Bu bölümde ise kullanıcılar için ayrı ayrı özel kurallar uygulanabilir. Yeni kural eklemek isterseniz + butonuna tıklayabilirsiniz.
Disabled: Kuralı devre dışı bırakır.
Name: Oluşturulacak kural için herhangi bir isim yazılabilir.
Order: Kural listesine göre kuralları sıralamanızı sağlar. Örn; Personel kuralı en başta Oğrenci kuralı ikinci gibi gibi.
Client: Bu alana, aralarında bir boşluk bırakarak birden fazla network aralığı veya ip adresi girilebilir.
Time: Kuralın geçerli olacağı zaman kuralı buraya tanımlanabilir. Detayları, Times bölümünde anlatılacaktır.
Description: Akılda kalıcı bir açıklama yazılabilir. Sistem dikkate almayacaktır.
Kullanıcıların ip adresleri veya network aralığı yazıldıktan sonra Target Rules List (click here) tıklayarak blacklist kategorilerine ulaşabilir ve kullanıcılar için uygulanacak kategoriler için deny, allow gibi ifadeler uygulanabilir. Ayarlar yapıldıktan sonra alt satırdan Save butonuna tıklayarak ayarlar kaydedilir.














Ayarlar kaydedildikten sonra aşağıdaki gibi resim ile karşılaşacaksınız. Daha sonra kuralın hemen aktif olmasını istiyorsanız General Settings bölümüne girip Apply butonuna tıklayabilirsiniz.






Şimdi yaptığımız kural çalışıyormu bakalım, personel kullanıcısı benim yasakladığım alan adına yani izlesene.com sitesine girerse aşağıdaki gibi proxy hata mesajı ile karşılaşacaktır.








Target categories
Bu bölümde birden fazla domain adı, adres veya ifade ekleyebilirsiniz. Oluşturmuş olduğunuz grup kuralını başka kullanıcılar için deny, allow gibi izinler tanımlayabilirsiniz.

Name: Oluşturulacak kural için herhangi bir isim yazılabilir.
Domain List: Aralarında bir boşluk bırakarak birden fazla domain ismi girilebilir.
URL List: Bu alana adres girilebilir. Farklı adresler kullanmak isterseniz iki tek tırnak ' ' yada (boşluk) kullanabilirsiniz.
Regular Expression: Bu bölüm url içerisinde geçicek ifadeyi yazmanızı sağlar. Birden fazla ifade yazmak isterseniz aralarına | düz çizgi bırakarak girebilirsiniz.
Redirect mode: Yönlendirme modu seçilebilir.
Redirect: Bu alana istediğiniz hata mesajını yazabilirsiniz.
Description: Akılda kalıcı bir açıklama yazılabilir. Sistem dikkate almayacaktır.
Log: Kayıtların tutulmasını isterseniz bu seçenek aktif edilebilir.

















Ayarlar kaydedildikten sonra aşağıdaki gibi bir resim ile karşılaşacaksınız.


Yukarıdaki yapmış olduğumuz kuralı Groups ACL bölümüne girip istediğimiz kural için uygulamak istersek o kuralın içerisine girip Target Rules List (click here) tıkladıktan sonra oluşturmuş olduğumuz test kuralına deny, allow gibi izinler tanımlayabiliriz.






Kuralın içerisine girdikten sonra gördüğünüz gibi oluşturduğumuz kural eklenmiş bunun üzerine tıklayıp deny, allow gibi izinler uygulayabiliriz. Ayarlar yapıldıktan sonra alt satırdan Save butonuna tıklayarak ayarlar kaydedilir.















Times
Bu bölümde ise kullanıcılar için belirtilen kuralların belirli saatler arasında çalışmasını isteyebilirsiniz. Örneğin, personel kullanıcıları 11:00 - 13:00 saatleri arası facebook, twitter, izlesene gibi sitelere girebilsinler ama diğer saatler arası tamamen kapalı olsun diyebiliriz.






Kural oluşturduktan sonra aşağıdaki gibi bir ekran ile karşılaşacaksınız bu alanda yapacağımız birkaç ayar var. Örneğin, personel kullanıcıları her hafta her gün belirli saatler arası facebook, twitter, izlesene gibi adreslere erişimi açıcaz diğer saatler arası kapalı olacaktır, buna göre zaman ayarları ayarlanmalıdır. Ayarlar yapıldıktan sonra alt satırdan Save butonuna tıklayarak ayarlar kaydedilir.










Times bölümünde yapmış olduğumuz zaman kuralını hangi kullanıcılar için uygulamak istiyorsak o kuralın içerisine girip aşağıdaki gibi ayar yapılmalıdır. Bu örnek 'te personel kullanıcıları için uygulanacaktır.


Aşağıdaki gibi Time üzerine tıkladıktan sonra gördüğünüz gibi Times bölümünde oluşturduğumuz kural eklenmiş.










Önemli: Burada dikkat etmeniz gereken Target Rules List (click here) tıkladığınız zaman karşınıza kategoriler çıkacaktır ve orada aşağıdaki gibi bir resim ile karşılaşacaksınız, zaman tanımlaması yapmadıysanız bu bölüm göz ardı edilebilir ancak zaman tanımlaması yaptıysanız zaman içerisinde uygulanacak izin tanımlamalarını belirtmeniz gerekiyor. Ayarlar yapıldıktan sonra alt satırdan Save butonuna tıklayarak ayarlar kaydedilir. Belirtmiş olduğum facebook ve twitter örneği sadece bir örnekti siz bu bölümden istediğiniz kuralın zaman içerisinde çalışmasını sağlayabilirsiniz.






Rewrites
Bu özellik ise bir kullanıcı bir siteye giderken onu başka bir siteye yönlendirmenizi sağlar. Örnk; bir kullanıcı bga.com adresine giderken onu cehturkiye.com adresine yönlendirme yapabilirsiniz.





Daha sonra aşağıdaki gibi ayarla yapıldıktan sonra alt satırdan Save butonuna tıklayarak ayarlar kaydedilir. Aşağıdaki kural 'da başında ne geçerse geçsin bga.com ile biten siteye giden kullanıcılar cehturkiye.com adresine "redirect" yönlendirilecektir. Tabi siz kullanıcılar için facebook adresine gidenleri google.com adresine yönlendir 'de diyebilirsiniz.






Daha sonra uygulamak istediğimiz kullanıcı veya network aralığına Groups ACL bölümüne girip istediğimiz kurala uygulayabiliriz. Ben bu kuralı personel kullanıcıları için uygulayacağım.


Kuralın içerisine girdikten sonra en alt satıra inip Rewrite bölümünü bulup oluşturduğumuz kuralı ekleyebiliriz. Ayarlar yapıldıktan sonra alt satırdan Save butonuna tıklayarak ayarlar kaydedilir.


Blacklist
Bu alana istediğiniz bir blacklist url adresini yazarak içerisinde bulunan kategorileri download edebilirsiniz. Sık güncellenen karaliste adresleri: http://www.shallalist.de/     http://urlblacklist.com/
# http://www.shallalist.de/Downloads/shallalist.tar.gz





 








Log
Bu bölümde URL filter tarafından engellenmiş web sitelerinin loglarını görebilirsiniz, bu logları görebilmeniz için General Settings sekmesine girip Enable Log seçeneğini seçmeniz ve her yeni kural sonrası kuralların loglarını aktif edebilirsiniz.









Pratik Bilgi
Arkadaşlar pfSense firewall üzerinde kullanıcıların http://facebook.com ; http://twitter.com adresine gitmesini engelleyebilirsiniz ancak bu adreslerin başına http yerine https yazarlarsa direkt olarak istedikleri siteye girebilirler tabi siz o sitelerin network aralığını tespit edip firewall tarafında engelleyene kadar. Bu makalede bu yazı yoktu ama bazı insanlar sorun yaşamış bende yazmak istedim. Ben twitter ve facebook network aralıklarını aşağıda paylaştım bunları firewall tarafında bütün network için veya belirli kullanıcılar için yasaklarsanız artık https facebook ve twitter adreslerine giremezler. Aşağıdaki facebook ve twitter ip adreslerinin değiştiğini anlarsanız dig, nslookup, whois gibi araçlardan yardım alarak yeni network aralığını tespit edip ekleyebilirsiniz.

Güncel olanlar

1. Adım
Ana menüde Firewall > Aliases > IP+ > yeni kural ekledikten sonra ip adresleri girilip alt satırda bulunan Save butonuna tıklayarak ayarlar kaydedilir.






 








2.Adım
Ana menüde Firewall > Rules > LAN+ > yeni kural oluşturduktan sonra aşağıdaki gibi ayarlar yapılıp alt satırdan Save butonuna tıklayarak ayarlar kaydedilir.












Firewall 'da kurallar yukarıdan aşağıya doğru uygulanmaktadır. Yukarıdaki kural kaynağı herhangi biri olan hedefi facebook ve twitter ip adreslerine giden herkesi "drop" yasakla demiş oluyoruz, diğer bütün sitelere girebilirler.

" Online pfSense Firewall & Router Eğitimi | www.udemy.com/pfsense-training "

 

Hiç yorum yok:

Yorum Gönder

Online pfSense Firewall & Router Eğitimi

Merhabalar Online pfSense Firewall & Router eğitimi hazırladım ve Udemy üzerinde yar aldı. Eğitim içeriği toplam 40 ders ve yaklaşık o...