No puedo ver equipos de dmz a lan cuando activo proxy transparente

esagredo

Hola:

En mi dmz tengo el servidor web y de correo, cuando habilito como proxy transparente para que tambien me funcionen los filtros, no me deja ver el correo ni la web desde la red LAN. Es decir, no puedo ver los equipos de la DMZ.

Cual es la regla para que los equipos de la LAN accedan a los servicios de la DMZ? Web, correo, filserver y otros.

Saludos y desde ya, gracias

bellera

¿Probaste con la casilla justo de debajo de la que activa la función transparente?

Más una regla en LAN que permita ir a los http/https que tengas en DMZ.

Ver imagen…

Saludos,

Josep Pujadas

services_proxy_general_bypass_private_addresses.jpg_thumb

esagredo

hasta ahi todo bien, pero apenas tickeo "Allow users on interface" ya no puedo ver las paginas web ni el correo en los servidores ubicados en la DMZ….

Esto solo locamente en la empresa, fuera no hay problemas

bellera

Allow users on interface sirve para indicar al proxy qué subred puede emplearlo.

¿Tienes puesto LAN o loopback?

¿Qué pones para acceder al servidor web? ¿IP o nombre?

Si es nombre, ¿qué nombre? ¿Cómo resuelves los nombres?

esagredo

Hola:

Esta puesto en LAN
Para acceder a las web tanto externa como interna ingresamos con nombre web
Tenemos un dns interno para las webs y el nombre de correo, la dns esta justamente en el server web hecha por BIND
Al poner Allow users sigo teniendo ping a los servidores pero no asi puedo entrar a las paginas ni por nombre ni por IP

Debo asumir que no estoy viendo las paginas por la dns que obviamente esta bloqueada por estar en DMZ

He creado reglas para aceptar todos puertos y todos los protocolos desde la LAN a la DMZ y viceversa, pero aun asi no puedo entrar localmente a la web ni correo, pero si puedo hacerlo desde fuera.

Saludos

esagredo

Por cierto, si tengo internet y filtro de contenidos, pero solo no puedo entrar a las paginas internas.

bellera

Creo que el problema tiene que estar en la resolución DNS.

En Services - Proxy server - General settings tienes Use alternate DNS-servers for the proxy-server para forzar el uso de los servidores DNS que desees para el servicio proxy (squid).

¿Cuando dices que intentas acceder por IP lo haces con la IP privada (la de la DMZ) o con la pública?

Mira en la consola los logs de squid. Están en /var/squid/logs

Saludos,

Josep Pujadas

bellera

Autoriza en la DMZ el tráfico procedente de 127.0.0.1 (localhost) hacia tus servidores web. Igual falta esto. ¡Lo olvidé!

esagredo

No he podido conseguir, el proxy me entrega un error:

Mientras se intentaba traer el URL: http://www.helpnet.cl/

Ha ocurrido el siguiente problema:

Conexión fallida.

El sistema ha devuelto el siguiente mensaje:

(64) Host is down

El equipo remoto o la red pueden estar fuera de servicio. Por favor, intente de nuevo la petición.
Generated Fri, 20 Jan 2012 15:34:18 GMT by proxy.helpnet.cl (squid/2.7.STABLE9)

La configuracion basica es:

WAN 200.111.144.xxx
LAN 192.168.1.xx
DMZ 192.168.2.xx

El proxy tiene la IP 192.168.1.1

Tengo IP, entro por las IP locales pero al escribir el nombre del host (por ejemplo www.helpnet.cl) me entrega esos errores, ya he habilitado puertos, el localhost, incluso NAT pero nada, sigue sin funcionar.

bellera

Entro por las IP locales pero al escribir el nombre del host (por ejemplo www.helpnet.cl)

Porque tu estación y/o proxy están resolviendo con la IP pública www.helpnet.cl y no puedes ir y volver desde dentro. Eso, a veces, depende de cómo opera el equipo de conexión a Internet.

¿Quién resuelve en tu instalación?

¿Services - DNS Forwarder está activo?

¿Tienes puestos tus nombres de Internet en ¿Services - DNS Forwarder - Domain Overrides con sus IPs privadas?

¿Probaste?

En Services - Proxy server - General settings tienes Use alternate DNS-servers for the proxy-server para forzar el uso de los servidores DNS que desees para el servicio proxy (squid).

¿Probaste?

Autoriza en la DMZ el tráfico procedente de 127.0.0.1 (localhost) hacia tus servidores web. Igual falta esto. ¡Lo olvidé!

Otra solución…

En algunas instalaciones puede solucionarse el problema desmarcando la casilla System - Advanced - Firewall/NAT - Disable NAT Reflection. Con esto si tu pfSense tiene WAN pública o tu equipo de conexión a Internet lo permite podrás acceder por IP pública.

Libro de pfSense

7.5 NAT Reflection (página 143)
7.5.2. Split DNS (página 144) -> Lo que te dije antes de la resolución y lo más recomendable.

Algunos post sobre este mismo tema

http://forum.pfsense.org/index.php/topic,43113.msg223228.html#msg223228
http://forum.pfsense.org/index.php/topic,33289.msg173400.html#msg173400

Saludos,

Josep Pujadas