https://wiki.archlinux.org/index.php/dnsmasq

Что-типа Prevent OpenDNS Redirecting Google Queries или Override addresses

Вообще, если глючит оборудование надо решать этот вопрос либо его заменой либо, либо "особой" конфигурацией, обходящей проблемные места.

Если прямо по вопросу, крайне нежелательно менять настройки не через GUI. А вот GUI позволяет прописать одновременно два шлюза и настройками фаервола рулить на нужный шлюз по заданному условию. Остальное можно доверить CRON.

@RedPromo:

Подскажите можно ли обновить squid до версии 3.5

pfSense
2.2.6-RELEASE (amd64)
built on Mon Dec 21 14:50:08 CST 2015
FreeBSD 10.1-RELEASE-p25

Делал по следующей инструкции не взлето, к большому сожалению.
Причина в необходимости фильтрации трафика HTTPS.

http://hubpages.com/technology/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
Upgrading to Squid 3.5.3

The upgrade instructions are slightly different depending on whether you are running the 32-bit or 64-bit version of pfSense.

To determine which version you have open the pfSense dashboard and check the version section of the system information dashboard widget. If you see AMD64 then follow the 64-bit instructions. If you see i386, then use the 32-bit instructions.

The commands can be run through an SSH terminal, or the web based terminal (Diagnostics \ Command Prompt)

64-Bit (AMD64) Instructions

Download the PBI by running the command: fetch https://files.pfsense.org/packages/10/All/squid-3.5.3-amd64.pbi
Install the package by running: pbi_add –no-checksig -f squid-3.5.3-amd64.pbi
Run the commands below to create the correct directory structure
cd /usr/pbi/squid-amd64/
rm -rf /usr/pbi/squid-amd64/etc
ln -s /usr/pbi/squid-amd64/local/etc .
ln -s /usr/pbi/squid-amd64/local/lib .
ln -s /usr/pbi/squid-amd64/local/libexec .
ln -s /usr/pbi/squid-amd64/local/share .
ln -s /usr/pbi/squid-amd64/bin sbin

Reboot pfSense after running the above commands (Diagnostics \ Reboot).

После этих действий squid не нашел conf фалов судя по логам.
Где-то на форму читал что после обновления бинарных файлов необходимо еще обновить конфигурационные но так и не нашел где их взять.
Может кто обновлялся до последней версии squid судя по статье в версии 3.4

The pfSense package manager currently contains Squid version 3.4 which has a known issue where it incorrectly generates SHA1 certificates instead of SHA256.

возможно ли обновить или ждать официального релиза.

в принципе подобная тема уже обсуждалась. https://forum.pfsense.org/index.php?topic=100066.0
В рэдмайн разработчиков ничего про добавление новой версии squid я не видел.

@pigbrother:

@Electric^shock:

@pigbrother:

https://en.wikipedia.org/wiki/Policy-based_routing

Упрощенно - если у вас мультиван, и разные клиенты могут ходить в интернет через разные шлюзы, определяемые назначенными вами правилами - политиками. Отсюда и Policy-based routing.

Спасибо, так и есть. А как сделать так, чтобы, например, выпустить один комп через другого ISP? Есть программа (клиент банк) работает по 9091 порту.
Пробовал создавать правила на соответствущем (втором ISP) интерфейсе, указывал даже шлюз от второго прова и программа почему-то все равно ломилась через первого ISP…

Правило для такого клиента(ов)(его\их IP) нужно создавть на LAN, указав шлюз нужного провайдера. равило это должно быть выше, чем основное правило доступа в интернет (обычно - Default allow LAN to any rule )
На WANах ничего делать не надо.

Спасибо, помогло!

Сервер включен, провайдер не должен заблокировать, а какие настройки должны быть правильные?

2 шлюза в одной подсети нежелательны.

Решается как-то так:
Линукс:
http://unixforum.org/index.php?showtopic=101244
Керио:
http://kerio-rus.ru/forum/showthread.php?t=13

@Scodezan:

P.S. В качестве wan подключен 3g/4g модем?

Да к сожалению.
Вобщем то нашел в cron задание на каждые 15 минут- /etc/rc.filter_configure_sync
В свежеустановленном 2.2.6 этого задания нет.
Вывод: скорее всего один из доп.пакетов прописал туда это задание.И возможно зависоны из-за доп.пакета. Осталось найти виновника.

_а вообще хочу роутер который перед pf стоит убрать, и настроить PPPoE подключение на самом pf, возникнут какие либо трудности с этим? что то нужно будет менять или все будет так же работать? _

Правильное решение.
Плюсы:
Избавляетесь от двойного НАТ.
Не будете зависеть от надежности роутера (он станет простым PPPOE-адаптером, вся нагрузка ляжет на pfSense).
Port-forward станет можно делать только 1 раз на pfSense.
…..

Что придется сделать? Во всех правилах, где сейчас фигурирует WAN сменить его на PPPOE.

Pure  NAT не пробовал.
А как его правильно настроить.
И что он дает в отличие от стандартной настройки?

Спасибо, действительно можно было взять из /usr/pbi/lightsquid-amd64/share/lightsquid/lang. Заработало.

А если я только сквид обновлю? или лучше не на обновленной платформе этого не делать?

Добрый день! Посмотрите вот это, может для себя и найдете полезное. Сам по этим ссылка фильтрую трафик от юзеров.
http://www.thin.kiev.ua/router-os/50-pfsense/533–pfsense-transparent-squid-ip-.html
http://macrodmin.ru/2012/01/proksi-server-v-pfsense-chast-2-antivirus
https://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial
https://www.youtube.com/watch?v=ybzQk-VZeac
https://forum.pfsense.org/index.php/topic,34810.0.html

@NegoroX:

вот ОПТ1 и указывай в нате, а не несуществующий ван.

спасибо, совсем невнимательный

@pigbrother:

Второе правило на OPT1 не слишком гостеприимно?

это я так от безысходности сделал, потому как не мог понять почему не пробрасывается 3389, теперь то привел все в порядок

Ясно. Значит запланирую обновится.

Доброе.

придётся дать "добро" на интернет хотя бы серверу где установлен wsus

Верно. Так проще будет.

Что в логах ?
P.s. Всегда смотрите логи. Всегда. После - гуглите.

@Guf-Rolex-X:

4. если в сетевом адаптере (на ПК под Windows) стоит основной шлюз КШ и DNS домена (есть связь Exchange), в Connectify я указываю этот сетевой адаптер, подключаюсь по WiFi, заранее указав IP proxy server pfSense в настройках адаптера WiFi на телефоне, то инет есть, но не заходит в приложение на ios "Сбербанк онлайн" просто тупо нет соединения.

Так то во многих мануалах для андроида написано, что не все ваши приложения будут использовать заданный прокси.

@Guf-Rolex-X:

9. подразумеваю что нужно какой то маршрут настраивать, только как и куда, с pf на КШ или наоборот, на самом pf пробовал настраивать и так и так, только и КШ и pf находятся в одной сети с IP 50.XX и pf начинает ругаться на это.

Скорей всего. Только б знать что Вы там нагородили.

Поздравляю!

А со шлюзом по умолчанию - это да, классика.

Дело было в неправильно выставленной маске. Я - дурак. Тема закрыта.

Где-то попалось . Лично не проверял.

pfSense is a fast and simple FreeBSD based firewall appliance with a nice web managent interface and the power of the pf firewall underneath. Normally the web interface is only accessible from the management LAN (or LAN by default) interface. If you for whatever reason locked yourself out or need access from a different IP via the WAN interface you can use the easyrule command line to temporarly add a rule that allows your remote IP in. This simple snippet shows you how.

The following command adds a firewall rule, allowing tcp traffic in on port 443 from remote IP XX.XX.XX.XX: to the WAN IP on YY.YY.YY.YY:
easyrule pass wan tcp XX.XX.XX.XX YY.YY.YY.YY 443

You can also allow SSH access and set up a remote port forward (ssh -L localport:remoteip:remoteport remoteip):
easyrule pass wan tcp XX.XX.XX.XX YY.YY.YY.YY 22

Remember to remove the rule when you've restored access to the web interface via your regular way.