|
Merhaba bir sorunum var. |
|
caglar arkadaşımızın yazdığı cevap aslında geçerli bir cevap. Ancak ben sizi direkt sonuca götüreceğim :) İsterseniz sadece facebook için https filtrelemeyi açabilirsiniz veya istediğiniz sayfalar için. Bende bir kaç tane sayfa için yapılmış durumda ancak ben size sadece facebook için nasıl yapabilirsiniz onu anlatacağım diğerlerini de zaten siz buna bakarak ekleyebilirsiniz. Aşağıda facebook ip blokları yer almakta. Bu ip bloklarını https filter işlemine tabi tutacağız. Facebook networks : Yapılacak işlem çok basit. Yukarıdaki facebook networklerini labrise tanımlamak ve filtreye dahil etmek. Bunun için Sırasıyla yukarıdaki networkler eklendir. Daha sonra oluşturduğumuz bu ağları bir grup oluşturup ona atabiliriz. LMC>GüvenlikDuvarı>Nesne>Yeni>Nesneler>grup Oluşturduğumuz face1 face2 isimli networkleri (sol taraftaki nesneler altında ağlar altında kullanıcı tanımlı altından ) kopyalayıp ( aynı anda 10 tane kopyalayabilirsiniz) oluşturduğumuz grup içerisine sağ klik yaparak yapıştırıyoruz. (nesneler altında nesne grupları altında kullanıcı tanımlı altında- Grubu seçtinten sonra sağ tarafta grup penceresi içerisine yapıştırılır. uygula denir.) Daha sonra bu resimdeki "0" nolu https kuralındaki esas hedef kısmına oluşturduğumuz grubu sürükleyip bırakıyoruz. En sonra kuralları aktif etmek için KUR-KAYDET-POLITIKAYI KUR diyoruz.
|
|
Merhaba, Her iki şekilde de, sistemsel olarak bir takım artılar ve eksiler ortaya çıkmakta. Bu tür durumlarda benim yaptığım şey genellikle biraz daha farklı. Webfilter'dan (yani http'den - TCP/80 no'lu port) Facebook'a erişilmesini engellemek için ilgili engellemeleri yaptığımızı düşünüyorum. Ayrıca, diğer açıklamalardaki işlemleri de yaptığınızı farz ediyorum. Bu halde yine Facebook.com'a https'ten erişim sağlanabiliyor. Sebebi ise, her hangi bir proxy yazılımı kullanılarak ilgili sunuculara https'ten giden trafiğin engellenememesi. Ben ise şu şekilde çözüyorum bu sorunu; Öncelik,e tüm facebook subnet'lerini buluyoruz. Bunun için; 1: SSH ile komut satırı kullanarak: Ssh ile mevcut Labris Güvenlik Duvarı cihazımıza bağlanıp; nslookup komutunu çalıştırıyor ve ardından; faceboom.com yazarak enter'a basıyoruz. Netice olarak karşımıza şu ve benzeri bir çıktı üretilir; [root@labris ~]# nslookup
Non-authoritative answer: Name: facebook.com Address: 69.171.224.11 Name: facebook.com Address: 69.171.229.11 Name: facebook.com Address: 66.220.149.11 2: Komut satırıyla uğraşmayayım diyenler için internet üzerinden hizmet veren bir siteden faydalanmak; http://domaintoip.com/ip.php adresine giriyoruz ve Domain yazan yere facebook.com yazıp "Get Ip Address(es) butonuna basıyoruz. Netice olarak karşımıza şu ve benzeri bir çıktı üretilir; 69.171.224.11 IP Address WhoIs Information Query terms are ambiguous. The query is assumed to be: "n 69.171.224.11" Use "?" to get help. Bu sitede aşağılara indikçe; 69.171.229.11, 66.220.149.11 gibi IP'leri çözecektir. Bu noktada bizim yapacağımız önemli bir nokta var ki, o da IP yerine subnet'e, yani; 69.171.224.11 yerine 69.171.224.0'a giden https trafiğine engel olmak. Aksi taktirde, şu an ilgili IP'leri çözen DNS sunucusu, ilerleyen zamanlarda örneğin 69.171.224.11 yerine 69.171.224.12'yi çözdüğünde, yazdığımız kural güncel IP'yi kapsamadığından dolayı işimizi görmeyecektir. Bu noktadan devam edecek olursak, elimizde aşağıdaki 3 subnet bulunmakta; 66.63.0.0 (Bu subnet'i başka bir şekilde elde etmiştim. DNS v.s. sorgusu yapıldığında çoğu zaman bu subnet'i çözmüyor. Ancak zaman zaman kullanıldığını gördüğüm için buraya ekledim.) 69.171.224.0 69.171.229.0 66.220.149.0 Yukarıdaki subnet'leri; Güvenlik Duvarı modülü > Nesneler > Ağlar > Kullanıcı Tanımlı'ya sağ tuş tıklayarak "Yeni Ağ Ekle"yi seçerek oluşturuyoruz. Ben standart olsun diye genellikle şu şekilde isim veriyorum; Facebook_66.63.0.0 Facebook_66.220.149.0 Facebook_69.171.224.0 Facebook_69.171.229.0 Bu objeleri oluşturduktan sonra, Genel Politika ekranı kalabalık durmasın diye; Güvenlik Duvarı modülü > Nesneler > Nesne Grupları > Kullanıcı Tanımlı'ya sağ tuş tıklayarak; "Yeni Nesne Grubu Ekle"yi seçerek "Facebook_Subnets" adlı bir grup oluşturup, yukarıdaki dört nesneyi bu gruba ekleyip, aşağıda anlatımı bulunan kurala ekliyoruz;
Kaynak : Yerel_Ag (ya da sizin engellemek istediğiniz ağ hangisi ise onu ekliyorsunuz) Hedef : Facebook_Subnets (yukarıdaki objeleri oluşturduktan sonra, bu objeleri eklediğimiz grup objesi) Servis : http İşlem : Accept
Kaynak : Facebook_Subnets (yukarıdaki objeleri oluşturduktan sonra, bu objeleri eklediğimiz grup objesi) Hedef : Yerel_Ag (ya da sizin engellemek istediğiniz ağ hangisi ise onu ekliyorsunuz) Servis : http İşlem : Accept
Kaynak : Yerel_Ag (ya da sizin engellemek istediğiniz ağ hangisi ise onu ekliyorsunuz) Hedef : Facebook_Subnets (yukarıdaki objeleri oluşturduktan sonra, bu objeleri eklediğimiz grup objesi) Servis : Any İşlem : Deny
Kaynak : Facebook_Subnets (yukarıdaki objeleri oluşturduktan sonra, bu objeleri eklediğimiz grup objesi) Hedef : Yerel_Ag (ya da sizin engellemek istediğiniz ağ hangisi ise onu ekliyorsunuz) Servis : Any İşlem : Deny Oluşturduğumuz bu kurallar neticesinde; Facebook'a doğru giden trafik eğer TCP/80 - http ise izinli, bunun haricindeki hiç bir porttan erişilmeyecek şeklinde bir kural yazmış oluyoruz. Bu kuralı tweeter.com, live.com ve bunlar gibi diğer sosyal paylaşım siteleri için de yapabilirsiniz. https'ten erişime izin verilmediği için, bankalar, https üzerinden çalışan devlet siteleri v.s.'ler için, her defasında ayrı bir NAT Politikası ve Genel Politika kuralları yazmanıza gerek kalmıyor. Sadece engellemek istediğiniz Facebook.com, Tweeter.com ve Live.com için bu kuralları yazmanız yeterli. Yukarıda bahsi geçen kural şu anda 15'ten fazla kurumsal müşterimde sorunsuz şekilde çalışmaktadır. |
|
Aşağıdaki bir yapıda https ile facebook'a giriş engellenmiştir. Fakat SSL Proxy kuralı ile çalıştığı için, Web Tarayıcılarımıza Proxy tanımlaması yapılması gerekmektedir. Labris'in IP'sini ve 8080 portu tanımlanmalıdır.
|
|
Arkadaşlar bu kural çalışmasında problem yaşanmıyor ama yazdığı gibi proxy kullanmanız lazım. Eğer proxy kullanmadan enlellemeye çalışırsanız https olan tüm sertifikalı sitelere girmekte sorun yaşayacaksınızdır. Başımıza geldiği için biliyorum :). Proxy kullanarak çalışmanız mümkün değilse, facebook'u 3.party bir yazılımlada engelleyebilirsiniz. Ben bu şekilde çözdüm 1500 bilgisayarda sorunsuz çalışıyor. Programın linkini verebilirim isterseniz. Tüm Sistemci arkadaşlara iyi çalışmalar. Not: Kural olarak forumda link vermek yasak mı? bilmiyorum. Eğer yasaksa mesaj olarak paylaşabilirim. |
|
Selamlar. Yukarıdaki sistem Transparent Olarak Ayarlama ile ilgili yapılandırmayı anlatıyor. Kolay Gelsin. |
|
ÖENMLİ NOT: Arkadaşlar, Kurulan cihazlarda her zaman aynı DNS sunucu adresleri yazılmamaktadır. Buna örnek olarak; ahmet arkadaşımızın yazdığı adresler: Facebook networks : 66.220.144.0/255.255.240.0 69.171.224.0/255.255.224.0 69.63.176.0/255.255.240.0 95.100.0.0/255.254.0.0 88.221.32.0/255.255.252.0 92.122.212.0/255.255.252.0 93.123.37.0/255.255.255.0 2.20.181.0/255.255.255.0 31.13.64.0/255.255.192.0 Benim şu an itibariyle 195.175.39.39 Türk Telekom DNS sunucusu üzerinden nslookup komutu ile çözdürdüğüm adresler; [root@labris ~]# nslookup
Non-authoritative answer: Name: facebook.com Address: 69.171.237.16 Name: facebook.com Address: 69.171.247.21 Name: facebook.com Address: 66.220.149.88 Name: facebook.com Address: 66.220.152.16 Name: facebook.com Address: 66.220.158.70 Name: facebook.com Address: 69.171.234.21 Görünen o ki; ahmet arkadaşımızın DNS sunucusunda, 69.171.229.11 ve 66.220.149.11 adresleri çözümlenmemiş görünüyor. Bunun sebebi de şudur; Örneğin, ahmet arkadaşımızın bulduğu facebook subnetleri diyelim ki 8.8.8.8, 4.2.2.2 ve 212.252.114.8 ile 85.29.26.8 IP'li Superonline DNS sunucularında kayıtlı olan güncel DNS adresleri olsun. Siz ahmet arkadaşımızın yaptığı gibi farklı bir DNS sunucunun üzerinde kayıtlı olan DNS adreslerini yazdığınızda, 69.171.229.11 ve 66.220.149.11 adreslerine DNS çözümlemesi yapıldığında hem http hem de https'ten facebook sunucularına erişmiş olacaksınız. Sonuç olarak arkadaşlar; ancak ve ancak kendi makinanızdaki DNS sunucularının çözümlediği IP'leri bulup tam ve doğru bir sonuca ulaşabilirsiniz. Yoksa başka DNS sunucularının çözümlediği IP'leri kapatarak bu tür durumların üstedinden gelemezsiniz... Hocam selamlar. Söylediğiniz çok doğru ancak dikkatinizden kaçan bir şey var. Sizin vermiş olduğunuz ip adresleri benim vermiş olduğum ise network adresleri. Siz bu adresleri hesaplarsanız o ip adreslerini de kapsadığını göreceksiniz.
(17 Eyl '12, 10:48)
ahmet
|
|
https ile giriş yapılan adreslerin Log kaydı tutuluyormu peki ? bilen varmı acaba..! Raporlamada bu adresler görünmüyormu? Kimlerin bu şekilde bağlantı yaptığını nasıl anlayabilirim? Eğer filtreleme yapılıyor ise hem log hemde raporda görüntülenir.
(17 Oca '13, 10:14)
ahmet
|
|
ahmet beyin anlatımı uyguladım, https üzerinden facebook erişimi blokluyorum fakat https://login.live.com adresinide blokluyor.Neden olabilir |
