HTTPS filter

Salam. Mənim belə bir sualım var. 

Hər hansı bir Proxy server vəya firewall (Squid, Pfsense, TMG) transparent modda çalışarkən HTTPS url filter edə bilirmi ? (Youtube, Facebook, Vk və s.)

TMG də mümkün görünmür. Çox test etdik. (Elgüc bəy da Web Proxy kimi işlədilməsini məsləhət görmüşdü)

Web Proxy kimi filterləmədə problem yoxdur. Sadəcə Web proxy ayarlarının istifadəçi tərəfində qurulması məsələsi dayanır.

Domainə qoşulu komputerlərdə Group Policy ilə bu problemi həll etmək mümkündür. Amma domainə baglı olmayan bir çox istifadəçilər  var.

Bundan əlavə Wireless ilə şəbəkəyə qoşulan istifadəçilər də var ki manual proxy əlavə etmək mümkün deyil. Belə halda qadağalari necə etmək olar ?

 

 

 

 

Səs: 0. Bəyənilsin Zəifdir

Baxılıb: 2427 dəfə

Cavablar ( 26 )

  1. Salam

    TMG bunu ede bilir.  Rule uzerinde saq duymeni sixin Configure HTTP secin, -Signuture secin  daha sonra add secin, sekildeki kimi doldurub OK sixin. Istenilen filteri qoya bilersiniz

    tmg\

    MEn de Size TMG ni meslehet gorurem.  Men bu firewalli artiq illerle istifade edirem, imkanlari coxdur, interfeysi cox sadedir ve istifadeciyonumludur

  2. Bundan əlavə Wireless ilə şəbəkəyə qoşulan istifadəçilər də var ki manual proxy əlavə etmək mümkün deyil. Belə halda qadağalari necə etmək olar ? –Suala cavab vermeye calisacam

    Bununcun wireless userinde qosulan istifadecilerde DHCP de ele etmeliyik ki default gateway TMG ninn adresi gorsensin. Daha sorna Wireless istifadeciler qosulan zaman internete TMG uzerinden hansi rule uzerinde cixirasa o ruleni TMG- Web access policy secirik , Ruleni secirik və Sekilde qirmizi ile isarelenmis duymeni sixiriq3

    Yuxarida enablenin uzerinde sixdiqda acilan pencerede qirmizi rengli hissedeki quslari gotururuk ve ok sixib Apply edirik

    3

     

  3. Elxan bəy təşəkkür edirəm. Cox gözəl izah etmisiz.

     

    Bir az ətraflı yazim. Biz TMG serveri Web Proxy modunda işlədirdik. Klient komputerlərdə büorserdə Proxy ayarlarini dəyisib TMG ip sini göstermısdik. Hər şey qaydasında işləyirdi. Klient komputerlərində default gateüay Firewalla (Netscreen) yönəlirdi. İstifadəcilər broüserde proxy qeyd etmeyende internete giris olmurdu.

    Sonraki qurumda SecureNet (transparent) modda qurduq. İstifadeci komputerlerdinde gateüay olaraq TMG ip si verdik.Butun trafik tmg ye yonelirdi. Bu zaman HTTPS şifreli saytlarda problem yaranmaga basladi. Youtube-ye blok qoymaq olmurdu. Broüserlerde proxy isareli olanda qadaga olur. Klient proxynu levg edende qadaga tetbiq olmurdu.

    Sualim beledir :

    Sizin yazdiginiz birinci nümunədə transparent modda (SecureNet) calışır server ?

    Clientlerde default gateway TMG serverin Ip addresidir ?  İstifadəçi browserlerinde heç bir ayarlama etməmisiz ? Yoxsa her ikisi bir arada calisir ?

     

     

     

  4. VAhid bey salam

    Menim yazdiqim versiyada Klientde web proxy yazmasaq internet aktiv olmur. Bu versiyada web proxy rule uzerinde deyisiklik etmeli oluruq. Fefault gateway klientlerde TMG gosterilib.

  5. Vahid bey duzdur klientlerde proxy serversiz bu problemi yasaya bilersiniz

    asaqidaki meqaleye nezer yetirin xahis edirem

    https://www.websense.com/content/support/library/deployctr/v76/dic_isa_tmg_config_for_non_web_proxy_clients.aspx#596516

  6. Elxan bey salam. Men de bu qenaetde idim. Tam emin olmaq isteyirdim ve sayenizde oldum. Allah razi olsun.

    TMG-ni Web proxy kimi isletmek hem problemsiz calismaga, hem de resurslara qenaet etmeye yarayir. Cunki sadece HTTP, HTTPS ve HTTP-tunneled FTP trafiki TMG ye yonelir.

    Sizin gonderdiyiniz linkde bele bir not var her seyi izah edir :

    If the proxy server is disabled, then Websense software filters HTTP only; it will not be able to filter HTTPS.
    Tesekkurler.

  7. Bəli Vahid bəy, ele o yazı üçün link yerləşdirdim. Linkdə roblemin aradan qaldırılması haqqında da yazı var. Amma dəqiq bilmirəm dəyişiklikdən sonra https müraciətləri filtr edir ya yox.

    On the ISA/TMG machine, create a file called ignore.txt in the Windows system32 directory.
    2.
    Enter the host name or IP address of the ISA/TMG machine in the text file.
    Host names must be entered in ALL CAPS. Entries that are not in all capital letters are not used.
    3.
    If the ISA/TMG machine hosts multiple Web sites, add the names of all the Web sites being hosted. For example: webmail.rcd.com.
    If only one Web site is hosted, do not add it to this file.
    4.
    Restart the ISA/TMG machine.

  8. Elxan bey, her şey üçün teşekkür edirem

  9. clientlərdə proxy-ni manual qeyd etməmək üçün  dhcp-də “proxy auto configuration option”-dan , option 252-dən istifadə edə bilərsiniz. Burada əsas tələb internet explorerin ayarlarında ” automatically detect setting” ayarı seçilmiş olmalıdır, hansı ki default olaraq hele seçilmiş olur.

    Bu şəkildə ayarlanarsa intifadəçi kompüterinə müdaxilə olmadan onu proxy-yə yönləndirə biləcəysiniz. Əgər üsul maraqlandırarsa sizi, daha detallarını,  məmnuniyyətlə qeyd edərəm.

  10. Aydın bey salam.

    Siz WPAD (Web Proxy automatic discovery) nezerde tutursuz sehv elemiremse. Acigi men onu arasdirdim. Her iki versiya ile (DNS, DHCP) ile test eledim. Internet explorerde normal isledi. Amma Chrome problemli oldu.

    Sizin elave edeceyiniz varsa buyurun.

    Önceden tesekkür edirem

  11. Salam Vahid bəy,

    Mən WDAP işlədirəm google chrome də də normal işləyir. WDAP a uyğun olaraq TMG də də client settingsdə  Networking hissede internalin propertiesinde publish automatic discovery for this network qusunu qoymusunuzmu?

  12. Elxan bey, beli qoymusşam.

    DHCP option-252 den istifade edirsiz ?

  13. Bəli Vahid bəy, istifadə edirəm.

    chrome proqraminda yazilib ki

    Google Chrome is using your computer’s system proxy settings to connect to the network.

    bu da gosterir ki chrome konfiqurasiyani internet explorer uzerinden goturur. Belke chrome ni upgrade edib yoxlayasiniz?

    Asaqidaki linkde cox gozel tesvir olunub nece konfiqurasiya olunmalidir.

    http://www.isaserver.org/articles-tutorials/configuration-general/Configuring-Web-Proxy-Automatic-Discovery-WPAD-Forefront-Threat-Management-Gateway-TMG-2010.html

     

    Meqaleden ferqli olaraq men reestr deyisikliyini etmemisem ve http://<tmg_hostname:port>/wpad.dat linkinde hostname yerine TMG nin IP sini yazmisam. 

     

    WDAP da bir problem gorurem ki bezi telefonla wireless uzerinden qouluruq ve internet aliriq, bu zaman telefonlardaki bezi applicationlar internet ala bilmir. Basqa her sey normaldir.

  14. Bu texnologiyanın üstünlüyü olaraq onu əlavə edə bilərəm ki, üpad faylın tərkibindəki script-də dəyişiklik edərək, şirkət daxilində olan saytlarınıza (private ip-də olan saytlar) proxy istifadə etmədən direct access ayarlaya bilərsiniz.

    Chrome-un  proxy-ni istifadə etməyində problem olmur, amma onu da müşahidə etmişəm ki, əgər kompüterin proxy-ni istifadə etmədən internet çıxışı varsa, chrome bəzi hallarda direct çıxışı istifadə edir.

    Mozilla proxy-ni auto detect etmir.

  15. Elxan bey salam

    Sizin dediyiniz kimi  http://<tmg_hostname:port>/wpad.dat yerinde ip addresi qeyd eledim. Automatic discovery normal isledi. Amma TMG de authentication tetbiq edende Avtomatic olaraq yene qosulmur. amma manual olaraq proxy elave edende her sey normal isleyir. Ve clientler internete daxil olmaq isteyende login, password teleb edir.

     

    Untitled-1

     

    Aydin bey, istifadecilerin bir basa internete cixisi yoxdur. Ancaq proxy ile cixirlar.

    indi sadede yuxarida qeyd etdiyim problem var.

  16. Salam Vahid bey,

     

    Sekildeki kimi authentikasiyani qeyd edin islemelidir

    auth

  17. Local host uzerinde sizin gosterdiyiniz kimidir eyni. Men internal host uzernide yuxarida gosterdiyim kimi edende clientlerde manual olaraq proxy elave edende authentication teleb edir. ve gosterdiyim domainden user, password teleb edir. dogru yazilanda TMG deki qaydalara esasen saytlara icaze/qadaga tetbiq edir. Amma bu defe automatic olaraq elaqe yaranmir. Authentication tetbiq edilmeyende ise her sey normaldir.

  18. Internal ucun de eyni seyi edin. Eyni konfiqurasiya internal ucun de olsun.

  19. Bele olanda umumiyyetle authentication teleb elemir. Ne manual, ne de automatic proxy elave edende. Amma internalda authentication method olaraq Basic secib, domain elave edende clientlerde eger proxy maual qeyd ayarlanibsa netice mukemmeldir. avtomatikdirse TMG ye qosulmur. ne authentication teleb edir, ne de internete daxil olur.

    Bu wpad.dat ile elaqeli ola bilermi ? wpad.dat oal biler ki authentication haqda melumat oturmur ?

  20. Eger vaxtiniz varsa ve sizin ucun hec bir problem yoxdursa Teamviewer ile baxa bilersiz.

  21. Authentikasiya teleb etmir dedikne belke biz bir-birimizi düzgün anlamırıq? Authentikasiya Domain üzərindən avtomatik gedir. TMG də Klient komputerlər də domaində olduğundan authentikasiya avtomatik olur.  Ona görə də Siz login ve parol çıxmır. Əgər siz authentikasiyanın sırf loglarda istifadəçi adıyla hansı istifadəçinin haraya daxil olmasını bilmək istəyirsinizsə, o zaman siz Fireüall policy hissəsində All Users yox, domainde acılmı. və TMG ilə inteqrə olunmuş user və ya group vasitesile rule yaratmalısınız.

  22. Sizinle raziyam. Amma men domainde olmayan komputerler ucun bunu isteyirem. Domainde olanlari onsuz da Group policy ile proxy ayarlarini deyisecik. Hec bir problem olmasin deye.

    Domainde olmayan komputerler ucun yuxarida qeyd etdiyim hadise meydana gelir 😉

    Konkretlesdirim :

    Domainde olan komputerlerde hec bir problem yoxdur.

    1. TMG de authentication aktif edilmeyende yene hec bir problem yoxdur. Ve domainde olmayan komputerler avtomatic olaraq proxye qosulur.

    2. Domainde olmayan komputerlerde manual proxy elave edende borowserde internete daxil olanda Login, Pass teleb edir. – Mukemmel.

    Automatic olanda ise login, pass teleb olmur ve umumiyyetle internete qosulmur. Proxy islemir.

     

  23. Ela Vahid bey,

    Men yuxarida yazdiqim kimi buna nail ola bileceksiniz. İlk novbede sekildeki kimi deyisiklik edeceksiniz. Daha sonra fireüallda interneti İP lere gore deyil AD grouplara gore paylayacaqsiniz. O zaman domainde olan userler avtomatik avtorizasiya kececeklerç olmayanlar ise login parol teleb olunacaqç daxil edib save edecekler, daha sonra inetrnet elde edecekler. Bu kecidi reallasdirmaq ucun asaqidaki video ve meqalelerden yararlana bilersiniz

    https://www.youtube.com/watch?v=72RngdQRSY8

    http://networkerslog.blogspot.com/2011/05/part-1-user-authentication-for.html

     

  24. Tesekkur edirem. Allah razi olsun. Sizi de yordum.

  25. Eger komek ede bildimse çox sadam. Allah cumlemizden razi olsun.

  26. Elbetde. Hem de cox kömeyiniz oldu. Bir nece tereddüdüm vardi tam emin oldum. Teşekkur edirem

Cavab yazın