PFsense 2.0 + squid как transparent proxy.
-
Ставим pFsense локально на жесткий диск.
Настраиваем LAN и WAN интерфейсы.
Устанавливаем пакеты (System -> Packages).
cron (запуск заданий по расписанию, всегда полезно)
squid (собственно прокси).
lightsquid (какая никакая статистика).- Ищем как настроить SQUID. (Services -> Proxy server).
Для работы прозрачного кэша НЕ надо выбирать proxy interface.
Просто отмечаем галочку Transparent proxy.
Говорим в Log store directory /var/squid/log
Proxy port 3128 (это просто для порядку.)
Status -> Services видим сервис squid. статус Running. (если нет - запускаем)
-
Ищем как настроить отчеты lightsquid. (Status -> Proxy report)
Видим первый таб - настройки.
Тут все просто. Выбираем язык. цвет любой, схема Base.
Refresh sheduler - добавляет расписание в крон, как часто автоматически создавать отчеты. меня устраивает 60 минут.
Жмем Save
Жмем Refresh full
Пробуем посмотреть отчет на втором табе. а там Пусто.
При этом клиенты из LAN по сайтам лазают. -
Идем в Firewall -> Nat
нам нужен таб настроек "Port Forward"
создаем правило:
Interface LAN
Protocol TCP
Source any
Source port range from any to any
Destination any
Destination port range from HTTP to HTTP
Redirect target IP 127.0.0.1
Redirect target port HTTP
Description "SQUID transparent redirect"
жмем Saveсо всем соглашаемся, на всякий случай перезагружаемся.
- Ищем как настроить SQUID. (Services -> Proxy server).
-
3. Разве не достаточно сделать Rule на LAN интерфейсе?
Interface LAN
Protocol TCP
Destination 127.0.0.1
Destination port range from HTTP to HTTP -
3. Разве не достаточно сделать Rule на LAN интерфейсе?
Interface LAN
Protocol TCP
Destination 127.0.0.1
Destination port range from HTTP to HTTPУ тебя под такое правило ни один пакет не попадет.
-
Я так понимаю чтобы у пользователей работал HTTPS через прокси, все равно придется им прописать в настройки браузера IP адрес pfSense роутера и порт 3128? Ибо HTTPS через transparent proxy не работает.
Но я был бы безмерно счастлив если кто-нибудь меня убедил в обратном!Пока что сделал все через proxy.pac
-
https не пускает. Можно просто не заворачивать его на прокси.
-
Еще проблема осталась с QIP 2010-м… Конкретно как бы пробросить TCP 5190 и TCP 5222 через transparent proxy? т.е. не настраивая прокси у всех юзверей...
Еще интересно можно ли в SquidGuard > Groups ACL > Client (source) забить Aliases? Было бы просто здорово!
UPD: А воообще пошло оно все лесом… выпущу асю напрямую вместе с джаббером
-
Для работы прозрачного кэша НЕ надо выбирать proxy interface.
…
...
...
3) Идем в Firewall -> Nat
нам нужен таб настроек "Port Forward"создаем правило:
Interface LAN
Protocol TCP
Source any
Source port range from any to any
Destination any
Destination port range from HTTP to HTTP
Redirect target IP 127.0.0.1
Redirect target port HTTP
Description "SQUID transparent redirect"
жмем SaveКогда вы выбираете proxy interface, port forward создается автоматом:
rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.0.0.1 port 80
Так что вся ваша следующая часть инструкции - мартышкин труд. Никакие port forward'ы не нужны. -
Возникла проблема с tranparent proxy
Основной офис заворачивает на него
Другой офис подключен через OPENVPN - пробрасывается наскозь -
На последних бэтах сплошные проблемы со сквидом.
На версии 1.2 все работало отлично. А сейчас никак не могу заставить работать его с pppoe клиентами. И с портмапингом и без - все pppoe клиенты ходят без сквида. Ставим галочку "allow users on interface" - ходят пользователи с Lana, все нормально через сквид, логи пишутся, а pppoe идут напрямую, прописывание в Allowed subnets подсети pppoe ничего не дает, портмаппинги всякие делал (тут в форуме советов навалом) - pppoe в упор не видит, что сквид есть, прет напрямую. В старых бэтах тоже все работало, настройки все наизусть помню.