Merhaba daha önceki makalelerde captive portal kurulumu ve squid kurulumlarından bahsetmiştik. Captive portal ile doğrulanan kullanıcı ağa bağlanıp squid ile 5651 yasasına göre uygun log tutarak, her şey kayıt altına alınmıştı. Fakat şöyle bir durum var ki eğer istemci proxy port numarasını bilirse internete direk squid proxy üzerinden erişebilir ve internete çıkabiliyor; yani Captive Portalı bypass etmiş oluyor. Bizde bu bypass olayının önüne geçmek için kural yazarak aşmaya çalışacağız. Şimdi bir örnekle bakalım ve captive portal ile oturum açmadığımız bir istemciden internete çıkmaya çalışalım.
İnternete çıkamıyoruz ve bizi giriş sayfasına yönlendirdi. Şimdi network ağını nmap ile tarayalım ve bakalım hangi portlar açık.
3128 portu açık squid portunu görebiliyor. Şimdi bu port aracılığı ile internete çıkmaya çalışalım.
Proxy ip adresini ve portumuzu girdik. Bakalım internete çıkabiliyor muyuz?
Evet gördüğünüz gibi internet kapalı olduğu halde internete çıkabiliyoruz. Bu açığı kapatmak için bir kural oluşturalım ve oturum açmamış kullanıcıların 3128 portuna erişimini kapatalım.
Bunun için Firewall > Rules sekmesine gelelim. Lan bacağına kural uygulayacağımız için Lan bacağına geliyoruz ve Add butonuna basarak bir kural yazalım.
Action -> Block
Interface -> Lan
Address Fabily -> IPv4
Protocol -> TCP
Source -> Any
Destination -> Address or Alians – (Firewall yada squid proxy kurulu olduğu sunucunun ip adresi)
Destination Port Range 3128 – 3128
Yukardaki gibi kural girip Save butonu ile kaydedelim ve kuralı aktif etmek için de Apply Changes butonuna da bastıktan sonra bir bakalım.
Kural sıralaması önemli. Sıralama olarak üste kalması gerekmektedir.
Şimdi test edelim
Önce bir bakalım nmap ile 3128 portu görünüyor mu?
Daha oturum açmadığımız için 3128 portu görünmüyor. İnternete çıkmaya çalışalım, proxy üzerinden.
Evet internete de çıkamıyoruz. Şimdi proxy kaldırıp oturum açmayı deneyelim.
Oturumumuzu açtık.
İnternete çıkabiliyoruz artık, ağı taramak için nmap ile baktığınız zaman 3128 portu göremeyebilirsiniz. Squid proxy ile loglama yaptığını görebilirsiniz internette gezinirken.
Evet bu makalemizi de burda bitirdik. Burdan Harun ŞEKER beye yönlendirmeleri için teşekkür ederim.
pfSense Üzerinden Captive Portal ve Radius İle Hotspot Kurulumu