Gestionar Squid y Firewall?
-
Hola buenos dias!
Hace unos meses decidí instalar un Pfsense en mi red, sustituyendo a mi actual proxy. Instalación y configuración de las lans perfecto, ningún problema. Instalación de Squid también bien. He probado de filtrar contenidos, sublans.. y todo fantástico. Solo hay un pero..
Es posible que al instalar Squid las reglas del Firewall ya no tenga efecto? hago la prueba de capar todo el tráfico por cualquier puerto y teniendo el squid instalado navego por donde quiero, en cambio sin squid la regla hace su efecto y no navega nadie?Y si es así, como lo podría hacer para gestionar los puertos?
muchas gracias y felicidades por esta comunidad
tanrab
-
es extraño estas empleando proxy transparente?
Estas redirecionando todo el trafico del puerto 80 al puerto de squid por ejemplo? -
Hola, si, estoy en modo transparente y en principio no haria falta redireccionar nada, no? en teoria ya te lo hace, es asi? (o almenos es lo que pone en la opcion de transparente).
merci por contestar!
-
es correcto, podrias postear tus reglas de lan y la config de tu squid?
-
hago la prueba de capar todo el tráfico por cualquier puerto y teniendo el squid instalado navego por donde quiero
Interesante. Eso querría decir que el redireccionamiento que se hace para el squid en modo transparente pasa por delante de una regla que, por ejemplo, prohiba ir a una determinada IP de destino y puerto 80.
¿Es eso lo que ocurre?
Si es así, veo tres soluciones:
1. Preguntar a los diseñadores de pfSense si es un comportamiento "de diseño", una limitación o un bug.
2. Poner una tarjeta adicional para activar el squid transparente en ella y hacer un reenvío de las peticiones de navegación de la LAN hacia esa tarjeta/interfase. Alguna vez hemos hablado de esto y es un montaje que te permite tener un proxy transparente en LAN sin que en realidad lo sea en OPTx.
3. Mirar si con una regla en WAN pueden "pararse" las salidas indeseadas del proxy transparente. Recordar que las reglas se montan, en principio, para el tráfico entrante en la interfase. Vaya, como la llave para "entrar" en casa. En este caso sería una regla saliente, como un pestillo detrás de la puerta. -
Hola gracias por las respuestas y soluciones. Es correcto:
Tengo solamente una regla puesta (para probar) que lo deniega todo des de cualquier ip y p uerto y hacia cualquier sitio. Sin Squid evidentemente no navego. Con Squid (en modo transparente), y sin modificar esa reglalo hago. No hay mas..
Voy a probar alguna de las soluciones y os comento que tal.
Merci!
-
la regla que dices que tienes puesta esta sobre LAN?
Como dices solo para probar si fuera asi podrias modificar esa regla y hacer que permitiera todo? -
si, correcto es sobre LAN.
Haber, estoy haciendo pruebas, el objetivo es montar un pfsense con una serie de reglas definidas en el firewall (solo abrir los puertos específicos que se utilizan, 80, 443, 21 y alguno mas) y añadirle las funcionalidades de Squid (lista negra, acces.log …), eso si en modo transparente, que ningún usuario tenga que poner en el navegador la ip del proxy.
Y lo que me estoy encontrando es que puedo hacer o una cosa o la otra, no las dos juntas. Solo firewall perfecto capa puertos, solo Squid perfecto capa webs, me registra la navegacion y todo bien. Peró quando quiero las funcionalidades de Squid y a la vez capar ciertos puertos con el firewall aquí tengo el problema.
No se si me entiende.. :-\ -
mmm creo que si veamoss
por default el pfsense por defecto si no especificas reglas permitiendo bloquea todo el trafico.
ahora si creas una serie de reglas por ejemplo permitiendo los puertos 80, 443, 53, 21 smtp y pop y activas squid, segun entiendo si por ejemplo alguien en tu lan intenta acceder al puerto 81 que no estaria permitido en este caso si tiene acceso es esto correcto?
ok tambien me gustaria que postees tus reglas y config de squid creo que asi se nos facilitarian mucho mas las cosas. -
Es tan senzillo como que tengo esa regla que lo deniega todo, y sin squid efectivamente no navega nadie, i al instalarlo navegan todos, sin haber tocado la regla
Proto Source Port Destination Port Gateway Schedule Description
denegar TCP * * * * *La configuracion del Squid es la misma que por defecto, solo haciendolo transparente (aunque sin hacerlo me pasa lo mismo), y poniendo algo en la blacklist para provar que funciona, no hay mas.
gracias por la ayuda chicos!
-
Que puerto estas utilizando para squid?
evidentemente el problema de que no navegue nadie cuando desactivas el squid es que tu regla bloquea todo
Version de pfsense? yo estoy trabajando tu mismo escenario en la version 1.2.3 RC3 y funciona perfecto. -
Si claro sin squid y esa regla no navega nadie por la misma regla que lo deniega todo, mi objetivo es dominar las reglas y es squid a la vez, pero si asi no me funciona ya no empiezo a jugar con los puertos
de Squid el puerto por defecto el 3128, y la version es la "1.2.3-RELEASE"
-
Escribe a mi msn solucionemoslo y posteamos la solucion una vez terminado.
leo.alfa.09 en hotmail punto com -
He conseguido contactar con gente de Pfsense y he explicado el problema y la respuesta ha sido, sencillamente: "In short, yes, that's normal" así que tendré que hacer algún invento.
