No accedo a una url en particular

bellera

¿Puedes explicar tu topología con más detalle?

No es como http://forum.pfsense.org/index.php/topic,21083.msg108436.html#msg108436 por lo que no entiendo para qué haces los NAT, que además no afectan al 451.

¿Qué rangos de redes tienes? ¿Cuantas interfases? …

Guest

te explico bellera:

tengo dos tarjetas de red, la wan con la ip 192.168.1.2/24 y la lan con la ip 192.168.0.1/16

los NAT los hago simplemente por si algun usuario desea quitar la opción de usar proxy, directamente que no navegue.

he realizado una prueba mas, pfsense con firewall… navego en esa url.
pfsense con squid recien instalado, no naveguo...

el squidguard ya no hizo falta instalarlo ya que el fallo ya está identeficado.

Gracias!

bellera

Tengo dos tarjetas de red, la wan con la ip 192.168.1.2/24 y la lan con la ip 192.168.0.1/16

¡Horror!

LAN -> 192.168.0.0 - 192.168.255.255
WAN -> 192.168.1.0 - 192.168.1.255

No son subredes distintas. ¡LAN engloba WAN y esto no puede ser!

http://www.subnet-calculator.com/cidr.php

Tienes que corregir esto. Puede pasar cualquier cosa… Estás con un router y sus propias rutas (automáticas) no están bien.

Los NAT los hago simplemente por si algun usuario desea quitar la opción de usar proxy, directamente que no navegue.

Esta no es la forma de prohibir la navegación directa. Esto sirve para redirigir las peticiones a un proxy externo, que no es tu caso.

Con NO tener (en LAN) una regla que permita salir por TCP 80, 443 ya es suficiente para que no puedan navegar directamente. También se puede hacer con una regla que deniegue (Block) como destino TCP 80, 443…

Prueba sin los NAT porque me temo que son los que están liando el tema.

Guest

Gracias nuevamente,

En realidad en el cliente lo tengo montado asi:

ROUTER 10.0.0.1/16
WAN 10.0.0.2/16
LAN 192.168.0.253/24

lo anterior expuesto ha sido una prueba mía en otro equipo.
En el cliente también he probado sin nat y nada..

Tal como te he expuesto en la configuración del cliente esta bien verdad?
Caso contrario, me podrías poner un ejemplo con esos datos de como serían?
gracias, un saludo

bellera

Ok, no veo problema alguno con estos rangos de IP.

A ver, suponiendo que tienes indicado en los navegadores el uso de proxy para http y https yo probaría dos cosas:

1. Ver si el configurador web de squid en pfSense admite tocar los puertos de destino "confiables". Me temo que el 451 no debe estar en la lista. De hecho, en un squid este puerto no está autorizado por defecto como salida para navegar. En un FreeBSD con squid:

cat /usr/local/etc/squid/squid.conf.default | grep _ports

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Creo que te falta acl SSL_ports port 451 en tu squid.conf

2. Utilización de un archivo proxy.pac para indicar si se usa o no proxy. Ejemplo:

function FindProxyForURL(url, host) {
  if (shExpMatch(url,"www.finconsum.c")) {return "DIRECT";}
  if (shExpMatch(url,"//finconsum.c")) {return "DIRECT";}
  return "PROXY 192.168.XXX.YYY:3128; DIRECT";
}

Esto es muy útil porque permite parametrar el uso del proxy en determinados casos. Donde estoy accedemos a una aplicación web que no permite el paso por proxy. No sé porque pero no lo admite.

En este caso tendrás que emplear una regla en LAN para autorizar como destino el puerto TCP 451.

Guest

Puf, bellera.. no tengo palabras por el tiempo que pierdes en ayudar..

tengo http y https en los navegadores y no navego, yo se que es el squid, por lo que voy a probar con lo que dices, de introducir ese puerto en el squid.
Por otro lado, ese proxy.pac que hablas, si no me funciona lo del puerto, ¿donde lo creo?

Gracias!!!

bellera

Por otro lado, ese proxy.pac que hablas, si no me funciona lo del puerto, ¿donde lo creo?

Tiene que estar en un servidor web accesible sin el proxy. Lo ideal es que ser interno.

Guest

Hola Bellera,

he logrado acceder a la url editando/guardando el ficher de configuración /usr/local/etc/squid/squid.conf
al reiniciar el pfsense se pierde la configuración.
He leido que para guardarlo y que no se pierda, tengo que tocar el fichero squid.inc
¿tienes idea de esto?

bellera

No tengo a squid en pfSense pero…

http://forum.pfsense.org/index.php?topic=31216.0

parece ser que sí, que modificando el archivo INC para PHP que afecta a squid puede modificarse/añadir valores por defecto.

¡Suerte!

Guest

Gracias bellera,

te comento como lo he solucionado, he agregado en Custom Options del Proxy server en General settings estos dos parametros:

acl safeports port 451;acl sslports port 451

Muchisimas gracias, un saludo!

bellera

¡Fantástico!

Esto quiere decir que con Custom options se pueden hacer muchas cosas.

¡De nada!