igor-abs
Для этого форум и существует. Чем больше решений будет в архиве, тем проще новым пользователям.

@deutsche:

вот как то так:
more /var/log/system.log | grep squid

там вообще ниче нет. то есть это тот же лог что отображается через вэб интерфейс. а там ничего такого про сквид не пишет, за исключением что он рестартует.

deutsche
да, спасибо, про них я в курсе
щас пока отключил народу все кроме корпоративного сайта - пусть смотрят

Повторюсь  -)))
@Eugene:

Я бы сделал remote syslog и поглядел, что происходит непосредственно перед перезагрузкой.

@zar0ku1:

@djlexx:

Это трудно сделать.так как провайдер в другом городе.А эта сетка 10.253.. выдается на все филиалы и головную контрору.
Если поднять openvpn между моими точками,то с 2 pfsense пингуется 192.168.0.32.тоесть шлюз 1 pfsense

ну тады только опенВПН, у меня была похожая ситуация, пять филиалов с такой же маршрутизацией, я писал письма провайдеру и он под меня маршруты прописывал
потом все таки ушли на прозрачный влан и гемор закончился

Понятно.Либо до провайдера пытаться достучатся через головное начальство,либо опенВПН.Что из этого получится позже отпишусь.
Спс всем за участие.

не верю (с)
ставим firefox + firebug и смотрите почему не работает интерфейс gmail и думайте
решите эту проблему - я думаю всплывет общий баг

@cheh:

Доброго времени суток! малость отошел от темы, не до того было.
В общем zar0ku1 прав: и IP и маска получены от провайдера.
Вот с ДНС провайдера вопрос: на данный момент имеем локальный домен xxx.loc для внутренней сети. Контроллер AD+DNS на 192.168.0.1, на него настроены все клиенты. Адрес роутера LAN: 192.168.0.2, Внешняя карта имеет IP: 87.229.166.130 с маской 255.255.255.224. DNS провайдера Static. Иннет ходит через АДСЛ без всяких PPPoE. Раньше был поднят ДНС на роутере в связи с использованием проксика от мелкософта. ДНС на нем был настроен на передачу зон с провайдерским ДНС. Но есть одно "НО": иммется зарегенный домен вида xxx.ru.

давай по пунктом а не все в куче

у тебя dhcp кто раздает, ad? и как днс юзерам присваивается 192.168.0.2?

попробуй с этого сервера сделать tracert до любого паблик ДНС (например: 8.8.8.8, 208.67.222.222, 208.67.220.220)
а потом```
nslookup google.com 8.8.8.8

@dvserg:

Вот что я сделал:
Зашел в консоль pfSense и запустил /usr/local/libexec/squid/msnt_auth. Ввел

test 123 OK

Сделал то же самое в Событиях в домене в аудите входа пишет:

Имя журнала:  Security Подача:        Microsoft-Windows-Security-Auditing Дата:          20.01.2010 1:19:40 Код события:  4625 Категория задачи:Вход в систему Уровень:      Сведения Ключевые слова:Сбой аудита Пользователь:  Н/Д Компьютер:    RKSERVER.champion.loc Описание: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: puri Домен учетной записи: CHAMPION Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xc000006d Подсостояние: 0xc000006a Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: \\GATEWAY.CHAMPIO Сетевой адрес источника: 192.168.24.254 Порт источника: 4380 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0

Настроил дома домен на вертуалке: пдс 2003 сервер, шлюз и веркстейшн.
Поправил msntauth.conf  все заработало. Видимо на работе делов в 2008 серваке.. Может кто знает в чем разница может быть. К сожелению домен на работе настраивал не я:(

Удаляем правило, отключаем VPN.
pfctl -ss | grep 1194
должно что-то показывать.

Секунд через тридцать это что-то должно исчезнуть и подключиться будет невозможно.

В основном режиме PF работает просмотром всех правил. Может быть куча подходящих правил, которые последовательно применяются к пакету или срабатывает последнее дефолтное (deny all).

Но! Есть в правилах опция quick, которая приказывает немедленно примениться к пакету. Вот эта опция и используется в User-Level (пользовательских) правилах, которые вы задаете на Вэб интерфейсе. То есть вы должны проектировать ваши правила так, чтобы наиболее частные(для конкретных IP/port) находились вверху, а общие внизу. По умолчанию pfSense блокирует все.

Следующее Но. User-Level (пользовательские) правила расположены после правил системы и служб.
Вы не сможете заблокировать или как-то регулировать доступ к прокси squid правилами файрвола. Это-же относится и ко многим другим пакетам.
Единственно в HAVP можно выбрать соотв. режим и уже самому правилами файрвола настроить доступ и пересылку пакетов.

Я новичок, но насколько мне известно, то в версии 2.0 можно подключать несколько WAN соединений, в 1.2.3 этого нет. Ну а правилами фаервола можно заставить трафик ходить как надо.

Я настроил вроде все, в одной конторе стоит и все режется, так же стоит фильтр url. Проблема в том, что в одной конторе где все работает, ставилась версия pf 1.2.2 и обновлялась до 1.2.3, стоит ограничение на скачку и аплоуд 20 мб,, все работает, как фтп ссылки так и остальное. В другой конторе ставил сразу 1.2.3 настроил все также, тока в этой конторе, режется трафик на алоуд по хттп, ftp и другие не режутся, скачка тоже работает без ограничений как по скорости так и по объему как по хттп так и по фтп. В чем проблема?!

У меня не публичный ссш сервер.

если положительный результат, то kinst@yandex.ru
спс

нет, работает только с squidauth

@tamaki:

Проверено на практике. На x64 - pfSense-1.2.3-RELEASE работает быстро и стабильно.

быстро и стабильно - чем проверялось?

Вот у коллег решение для squid
http://forum.pfsense.org/index.php/topic,17012.0.html

Спасибо тебе добрый человек, терь буду знать что можно. Ок.

@mole:

домен opera-mini.net забаньте тоже

Есть сработало, только я прокси сервера еще и в squid guard запретил. Спасибо.