не работает ICQ и https

remark

Основные шлюзы: 172.16.8.5, 172.16.8.8

Исключите у клиентов упоминание ip-адреса, на котором стоит UserGate – не должно быть его ни в шлюзах, ни в прокси-серверах.

teslaadm

Вы говорите если с аськи убрать авторизацию должно работать но при настройки прокси я же там что-то ставлю и инет у всех вырубает и включает только для разрешенных подсетей
а точто вы говорите убрать второй который usergate пока что нет возможности отчет у бухов хотя
могу смоделировать сеть и несколько клиентов на виртуалке

dr.gopher

@teslaadm:

в основном qip

Qip ходит по 80 му порту
Ищите причину в структурe сети, днс.

remark

@teslaadm:

Вы говорите если с аськи убрать авторизацию должно работать но при настройки прокси я же там что-то ставлю и инет у всех вырубает и включает только для разрешенных подсетей
а точто вы говорите убрать второй который usergate пока что нет возможности отчет у бухов хотя
могу смоделировать сеть и несколько клиентов на виртуалке

Наверное, вам стоит пояснить, хотя бы в общих словах, как работает http-клиент.
Если в клиенте прописано, что надо использовать прокси, он шлёт http-запросы именно на него. Прокси-сервер, в зависимости от выставленных правил, либо получает для клиента объект по запрошенному адресу и отдает его, либо, если стоит запрет, не получает объект и сообщает о запрете клиенту клиенту (ошибка http 403). При этом клиент может не использовать ни DNS, ни шлюз по умолчанию, так как все операции по определению ip по имени хоста и отправку запроса на удаленный http-сервер берёт на себя прокси.
Если клиенту не указано, что надо использовать прокси, клиент шлёт http-запросы непосредственно на хост, указанный в URL, через шлюз по умолчанию, самостоятельно определяя адрес по имени хоста, делая запрос к серверу DNS. Прокси в данной ситуации вообще не при чём, все http-запросы идут мимо него. Потому и не действуют ограничения, которые вы указали в прокси.
В связи с этим я и предлагал отключить использование прокси в клиентах, чтобы выявить звено, в котором возникает проблема.

teslaadm

Спасибо огромное всем за помощь лучшее во всем деле оказывается выспаться как-то после 2х суток мозг отключен видимо напрочь
Нарисовал на виртуалке новую сетку завернул ее на pfsense без параллельных гейтов все заработало
Глюк был из-за параллельно стоящего usergate
Пока не совсем разобрался с правилами фаэрвола
Я их немного подправил
Не могу запустить  чтобы с ftp качало через 3128
Вопросик насколько актуально антивирус на шлюзе скорость инета итак не айс

remark

Squid - http-прокси, следовательно в вашем ftp-клиенте это и надо указать.
К примеру, в Total Commander можно явно указать в настройках ftp-соединения, что используемый прокси имеет тип http.

teslaadm

это все так
аську я запустил через 3128 заработала
к примеру берем Internet Explorer в нем написано использовать прокси ip 172.16.8.8:3128
Инет работает
ftp не хочет
ставлю ну к примеру адрес 192.168.1.55 втыкаюсь в хаб после модема
напрямую с модема все качается с ftp итд
переходим под сквид ставлю себе на лан к примеру адрес 172.16.8.240 либо получаю от DHCP какой нибудь там 172.16.10.48 не дает скачать с ftp ресурсов говорит ошибка

сайт произвольный
ОШИБКА
Запрошенный URL не может быть доставлен
–------------------------------------------------------------------------------
Во время доставки URL: ftp://ftp2.nix.ru/download/price/Nix3.ZIP
Произошла следующая ошибка:
Превышено время ожидания ответа.
Система сообщила:
    [No Error]Превышено время ожидания ответа во время чтения данных из сети. Сеть или сервер не работают либо перегружены. Пожалуйста, повторите запрос.
–------------------------------------------------------------------------------
Generated Fri, 03 Feb 2012 06:00:28 GMT by (squid)

либо вот так
К сожалению, Google Chrome не может открыть страницу ftp2.nix.ru.
Попробуйте:
Перейдите на страницу nix.­ru
Снова откройте страницу: ftp:­/­/­ftp2.­nix.­ru/­download/­price/­Nix3.­ZIP

remark

Во время доставки URL: http://ftp://ftp2.nix.ru/download/price/Nix3.ZIP

Так вы посмотрите на URL, он у вас некорректный. Префикс должен быть один, либо "http://", либо, как в вашем случе, "ftp://"

dvserg

@remark:

Во время доставки URL: http://ftp://ftp2.nix.ru/download/price/Nix3.ZIP

Так вы посмотрите на URL, он у вас некорректный. Префикс должен быть один, либо "http://", либо, как в вашем случе, "ftp://"

Это форум добавил. Нужно писать с префиксом _..

remark

Тогда надо посмотреть вывод команды tail -f /var/squid/log/access.log

Проделал то же самое у себя, в логе появляется запись:

1328525035.994   1394 192.168.40.9 TCP_MISS/200 735269 GET ftp://ftp2.nix.ru/download/price/Nix3.ZIP remark DIRECT/195.128.95.131 application/zip

192.168.40.9 - мой локальный IP; браузер Firefox 10.0/Win32, стоит галочка "один прокси-сервер для всех протоколов", прокси прописан явно (не прозрачный).

teslaadm

Я надеюсь тему еще не закрыли а то приболел малость

1329101823.920    296 172.16.8.220 TCP_MISS/200 636 GET http://e.mail.ru/cgi-bin/checknew? galka DIRECT/94.100.184.15 text/html
1329101824.182    255 172.16.8.220 TCP_MISS/200 433 GET http://mail.radar.imgsmail.ru/update? galka DIRECT/128.140.168.92 image/gif

вот это мое я так понимаю пробовал эксплорер, гугл, оперу, мозилу

1329101828.653    17 172.16.8.50 TCP_MISS/404 0 CONNECT 117.79.92.44:443 fish DIRECT/- -
1329101828.700    17 172.16.8.50 TCP_MISS/404 0 CONNECT 130.117.190.216:443 fish DIRECT/- -
1329101828.702      0 172.16.8.50 TCP_MISS/404 0 CONNECT 202.177.216.233:443 fish DIRECT/- -
1329101830.745      0 172.16.8.50 TCP_MISS/404 0 CONNECT 79.141.216.13:443 fish DIRECT/- -

1329101839.190      2 172.16.8.25 TCP_DENIED/407 1706 CONNECT autoupdate.opera.com:443 - NONE/- text/html
1329101840.991      0 172.16.8.23 TCP_DENIED/403 1285 CONNECT 217.69.129.211:2042 - NONE/- text/html

жамкнул тут отчет по трафику там появилась надпись “пользователи превысившие квоту в 10 мег” откуда это и где это ставится ума не приложу и почему не отключает тогда пользователей раз они превысили

заметно увеличилось время при отправке почты если прицеплен фаил очень долго хотя фаил весит килобайты большой пока непробовал отправить

dvserg

жамкнул тут отчет по трафику там появилась надпись “пользователи превысившие квоту в 10 мег” откуда это и где это ставится ума не приложу и почему не отключает тогда пользователей раз они превысили

Это из отчета формируется. Отключать не должно, так как нет такого функционала в пакетах.

teslaadm

да это я понимаю может чегонить прикрутить к нему чтоб отключало юзеров

хотя я уже пытался http://forum.pfsense.org/index.php/topic,43926.0.html  сделать вот это
работает тока по ip похоже по логинам не отключает а жаль очень бы хотел особо назойливых

еще столкнулся с такой бедой не уходит почта более 5 мегов 2-3 свободно а 6 уже не идет пишет что по завершено по таймауту

werter

@teslaadm:

еще столкнулся с такой бедой не уходит почта более 5 мегов 2-3 свободно а 6 уже не идет пишет что по завершено по таймауту

Это может быть ограничением на почтовом сервере .