Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Firewall rules для пакетов

    Scheduled Pinned Locked Moved Russian
    24 Posts 2 Posters 9.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Mailer
      last edited by

      Вот полный squid.conf

      # Do not edit manually !
http_port 192.168.185.254:3128
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/Russian-1251
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/log/access.log
cache_log /var/squid/log/cache.log
cache_store_log none
logfile_rotate 30
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  192.168.185.0/255.255.255.0
forwarded_for off
uri_whitespace strip

cache_dir aufs /var/squid/cache 100 16 256
cache_mem 8 MB
maximum_object_size 10 KB
minimum_object_size 0 KB
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
offline_mode off

# No redirector configured

# Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
acl sslports port 443 563 
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin \?
acl allowed_subnets src 192.168.185.0/24 
cache deny dynamic
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

request_body_max_size 0 KB
reply_body_max_size 0 allow all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow all

# Allow local network(s) on interface(s)
http_access allow localnet
http_access allow allowed_subnets
# Custom options
http_port 192.168.186.190:8080
acl subnet1 src 192.168.185.0/255.255.255.0
tcp_outgoing_address 192.168.186.190 subnet1

# Default block all to be sure
http_access deny all

      1. WAN-интерфейс 192.168.187.190(шлюз 192.168.187.199)
      2. OPT1-интерфейс 192.168.187.190 (шлюз 192.168.186.199)

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        А теперь подробнее плиз про LAN У тебя получается LAN 185 подсеть, она одна и ты ее целиком хочешь зарулить на OPT - так?

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • M
          Mailer
          last edited by

          Да, LAN=192.168.185.0/24, она одна, хочу чтобы все запросы которые приходят из неё на шлюз(192.168.185.254) по порту 3128 заруливались СКВИДОМ на OPT1.

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            @Mailer:

            Да, LAN=192.168.185.0/24, она одна, хочу чтобы все запросы которые приходят из неё на шлюз(192.168.185.254) по порту 3128 заруливались СКВИДОМ на OPT1.

            Вот так тогда

            # Allow local network(s) on interface(s)
acl localnet src  192.168.185.0/255.255.255.0
tcp_outgoing_address 192.168.186.190 localnet

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • M
              Mailer
              last edited by

              Не работает. Вообще в смысле не работает. А вот если сделать так

              acl localnet src  192.168.185.0/255.255.255.0
tcp_outgoing_address 192.168.187.190 localnet

              то работает на ура через первый интерфейс.
              :'( Куда еще можно глядеть? Какой из логов сквида?

              1 Reply Last reply Reply Quote 0
              • D
                dvserg
                last edited by

                А через OPT вообще работает? Правила там какие нужны - сделаны?

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • M
                  Mailer
                  last edited by

                  Э…. а какие правила там должны быть? Через первый-то интерфейс без всяких правил сквозит ведь.

                  Вот делаю для LAN правило -  TCP * *  => DEST * PORT 80 (HTTP) GW192.168.186.199
                  После этого из любого компа в сети напрямую инет шпарит через OPT1, если в браузере включить направление через прокси - нихрена не работает.

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg
                    last edited by

                    @Mailer:

                    Э…. а какие правила там должны быть? Через первый-то интерфейс без всяких правил сквозит ведь.

                    Вот делаю для LAN правило -   TCP * *  => DEST * PORT 80 (HTTP) GW192.168.186.199
                    После этого из любого компа в сети напрямую инет шпарит через OPT1, если в браузере включить направление через прокси - нихрена не работает.

                    Тогда ой… хотя по идее все для работы есть

                    Вот только что проверил на squidNT и тачке с несколькими IP на одном интерфейсе - все замечательно работает, скорее всего дело в правилах фаера

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • M
                      Mailer
                      last edited by

                      Ну так я тоже на Убунте запускал - всё прекрасно работало. Если бы на мой взгляд дело в сквиде было, я бы на форуме сквида спросил. Но тут явно чего-то не то с pfsense. Возможно на уровне ядра. Возможно я просто не могу сконфигурировать правильное правило.

                      1 Reply Last reply Reply Quote 0
                      • D
                        dvserg
                        last edited by

                        @Mailer:

                        Ну так я тоже на Убунте запускал - всё прекрасно работало. Если бы на мой взгляд дело в сквиде было, я бы на форуме сквида спросил. Но тут явно чего-то не то с pfsense. Возможно на уровне ядра. Возможно я просто не могу сконфигурировать правильное правило.

                        Ну это как раз легко проверить правилом *************** на OPT

                        SquidGuardDoc EN  RU Tutorial
                        Localization ru_PFSense

                        1 Reply Last reply Reply Quote 0
                        • M
                          Mailer
                          last edited by

                          Болт.  >:(
                          Надо заценить freesco. На первый взгляд - облегченный pfsense.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.