Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Перенаправление трафика с помощью Port Forwarding

    Scheduled Pinned Locked Moved Russian
    15 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @_A_G_
      last edited by Konstanti

      @_a_g_

      Когда Вы настраиваете SQUID в прозрачном режиме , система сама создает правила перенаправления трафика приходящего на порты , которые Вы указали при настройке SQUID, на порт 3128 ( или тот который Вам нужен ) . Вы их просто не видите

      Для примера
      https://docs.netgate.com/pfsense/en/latest/recipes/http-client-proxy-transparent.html

      Нигде не указано , что надо создавать правила перенаправления графика самостоятельно для 80 порта

      можете в консоли набрать команду
      pfctl -sr
      pfctl -sn
      чтобы увидеть загруженные правила

      _ 1 Reply Last reply Reply Quote 0
      • _
        _A_G_ @Konstanti
        last edited by

        @konstanti
        я брал правила тут -> https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html#traffic-redirection-with-port-forwards
        С английским плохо дружу, но deepl.com перевёл как : "Пример перенаправления порта вперед, являются примером конфигурации, которая будет перенаправлять весь HTTP трафик, поступающий на LAN интерфейс, на Squid (порт 3128) на хосте 10.3.0.10"

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @_A_G_
          last edited by Konstanti

          @_a_g_
          Я не знаю , как у Вас все настроено , Вы ничего не показали . Но , по-моему
          1 система сама создает правила для перенаправления портов нужного трафика ( 80, 443 и тд и тп )
          Повторюсь - нигде в документации не написано , что это надо делать ‘ручками’

          2 судя по ошибкам , запрос доходит до squid , но почему-то url обрезается

          Это сделано ?

          f0679b6c-94d2-4265-884a-580e6485f923-image.png

          _ 1 Reply Last reply Reply Quote 0
          • werterW
            werter @_A_G_
            last edited by werter

            @_a_g_
            Не надо руками ничего заворачивать.
            Ранее дал ссылку КАК сделать с пом. dhcp и wpad-файла.
            Или делайте прозрачно и БЕЗ аутентификации - squid это может.

            Зы. И никогда не используйте сеть 192.168.1|0 в проде. Иначе нарветесь на пересекающуюся адресацию.

            1 Reply Last reply Reply Quote 0
            • _
              _A_G_ @Konstanti
              last edited by

              @konstanti
              скидываю мои насторйки, сейчас всё настроено на виртуалках, адресация в реали будет другая:
              squid_01.png
              Настройки squid:
              squid_02.png
              squid_03.png
              squid_04.png
              Правила Firewal:
              squid_05.png
              squid_06.png
              squid_07.png
              Ошибка при HTTP запросе:
              squid_08.png
              Ошибка при HTTPS запросе:
              squid_09.png
              в журнале:
              squid_10.png

              "Ручками" ни какие правила не прописыввал, всё только через WEB-морду
              Transparent HTTP Proxy - не подходит, трафик в дальнейшем, будет фильтроваться
              wpad - не подходит, на компах есть приложения которые игнорируют настройки браузера

              werterW 2 Replies Last reply Reply Quote 0
              • werterW
                werter @_A_G_
                last edited by werter

                Добрый
                @_a_g_ said in Перенаправление трафика с помощью Port Forwarding:

                wpad - не подходит, на компах есть приложения которые игнорируют настройки браузера

                wpad - это не настройки браузера, это настройки СИСТЕМНОГО прокси, к-ый влияет на всю ОС.
                Начните интересоваться темой.

                Зы. Вирт. машина с пф неправильно настроена. Cpu = host должно быть на ней, а не cpu=kvm, иначе hw aes не получите.
                И днс - это и tcp и udp. Правило кривое на скрине.

                _ 1 Reply Last reply Reply Quote 0
                • _
                  _A_G_ @werter
                  last edited by

                  @werter

                  @werter said in Перенаправление трафика с помощью Port Forwarding:

                  Зы. Вирт. машина с пф неправильно настроена. Cpu = host должно быть на ней, а не cpu=kvm, иначе hw aes не получите.
                  И днс - это и tcp и udp. Правило кривое на скрине.

                  Виртуалки были сделаны в основном для создания скринов, описании минимальных настроек, соответственно настойки cpu не скажуться на тестировании правил файрвола.
                  На счёт днс, спасибо, исправил.

                  @werter said in Перенаправление трафика с помощью Port Forwarding:

                  wpad - это не настройки браузера, это настройки СИСТЕМНОГО прокси, к-ый влияет на всю ОС.
                  Начните интересоваться темой.

                  я не понимаю, почему вы так продвигаете wpad, вопрос то не про него.
                  Вопрос можно ли завернуть приходящий трафик на lan интерфейс в squid или нет?
                  Цель, сделать "прозрачный прокси" (не Transparent HTTP Proxy) с авторизацией (kerberos)

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter @_A_G_
                    last edited by werter

                    @_a_g_

                    Цель, сделать "прозрачный прокси" (не Transparent HTTP Proxy) с авторизацией (kerberos)

                    Отлично.
                    А про kerberos мы должны КОНЕЧНО ЖЕ догадаться, да?

                    Тогда такая картинка. Последняя.
                    2023-04-08 15_23_16-transparent squid proxy kerberos authentication pfsense - Поиск в Google — Mozil.png

                    _ 1 Reply Last reply Reply Quote 0
                    • _
                      _A_G_ @werter
                      last edited by

                      @werter благодарю вас за ответ. Я хочу обьяснить, что я уже настроен не прозрачный прокси с авторизацией в AD, разбиением по группам пользователей, фильтрацией трафика, подменой сертификата и прочими настройками. Я убрал всё лишнее и максимально точно описал минимальные настройки для решения проблемы.
                      Мой вопрос был более конкретный и касался определенной проблемы. К сожалению, полученные ответы не были полезными и не отвечали на мой вопрос.
                      Я буду благодарен за дополнительную помощь, если у кого-то есть конструктивные и релевантные советы.

                      werterW 1 Reply Last reply Reply Quote 0
                      • werterW
                        werter @_A_G_
                        last edited by werter

                        Добрый
                        @_a_g_
                        В вашем случае при наличие AD остается только нарисовать отдельную политику в GPO по настройке системнего прокси на раб. местах.
                        https://winitpro.ru/index.php/2015/02/25/nastrojka-internet-explorer-s-pomoshhyu-gruppovyx-politik-v-windows-2012/
                        https://bobcares.com/blog/configure-proxy-settings-on-windows-using-group-policy/
                        https://theitbros.com/config-internet-explorer-11-proxy-settings-gpo/ (через впн)

                        Рисовать редирект на пф - это не то и не сработает. Для днс - да, для прокси - нет.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.