PF 2.0 + LoadBalancing + Squid + Havp

Polosaty

Настроил балансировку трафика на pfsense 2.0 вместе со сквидом. Установил Havp. Proxy mode - Parent to squid. порт 3125. В сквиде стояло Custom Options - tcp_outgoing_address 127.0.0.1.
Как вкл. havp Proxy mode - Parent to squid, в Custom Options появилось - never_direct allow all;cache_peer 127.0.0.1 parent 3125 0 name=havp no-query no-digest no-netdb-exchange default;tcp_outgoing_address 127.0.0.1 И страницы перестают грузиться. Помогите плз советом. Пока нашел только http://forum.pfsense.org/index.php?topic=48547.0.

nomeron

Попробуйте порт поменять. У меня вроде строка такая же.
never_direct allow all;cache_peer 127.0.0.1 parent 3131 0 name=havp no-query no-digest no-netdb-exchange default;tcp_outgoing_address 127.0.0.1

На странице Antivirus: General page должен быть запущен прокси - HTTP Antivirus Proxy ( Started )
В вашем случае он похоже остановлен
У меня прокси не стартует если на странице Antivirus: HTTP proxy (havp + clamav) включена галочка Enable Forwarded IP

Polosaty

Пробовал тоже самое. А у вас squid или squid3?

nomeron

У меня squid 2.7.9 pkg v.4.3.1 + havp 0.91_1  +squidGuard  + Lightsquid  + captivportal

Polosaty

Переустановил squid, все заработало. nomeron вы в squidguard делали блокировку по группам (Groups ACL)? У меня с этим проблемка. Squid у меня не в прозрачном режиме. havp в прозрачном режиме, parent proxy: 192.168.0.1:3128 ну и стоит галочка Enable Forwarded IP - все работает. В squidguard я создал категории для блокировки (Proxy filter SquidGuard: Target categories) и разные группы (Proxy filter SquidGuard: Groups Access Control List (ACL)). Так вот проблема в том что работает только 1 правило, там где в Client (source) стоит Ip 192.168.0.1 и в браузере на люом компьтере Client address: 192.168.0.1
и + в Lightsquid только 192.168.0.1

nomeron

Подсчет трафика я сделал как в статье
http://ru.doc.pfsense.org/index.php/%D0%9F%D0%BE%D0%B4%D1%81%D1%87%D0%B5%D1%82_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_Squid_%D0%B8_ipcad_%D0%B2_pfSense_2.0
Только я не отключал дублирование на порт прокси, а на оборот, отключил полностью лог сквида и собираю статистику только при помощи ipcad.
Прозрачный режим я не использую (не знаю как в пф, но раньше стоял другой программный  роутер и у него были проблемы с авторизацией как раз в прозрачном режиме )

Groups ACL я пока не использую.
Но появление описанной проблемы со статистикой и правилами вполне логично.
Если сам прокси висит на lo интерфейсе с адресом 127.0.0.1, а SquidGuard висит на внешнем адресе интерфейсе - то все запросы к сквиду будут только с одного адреса интерфейса пф.
Плюс в эту схему вносят изменения прозрачный режим (который тоже изменяет адреса) и havp c галоччкой Enable Forwarded IP (который тоже пытается выцепить исходный адрес клиента)

dvserg

Если сам прокси висит на lo интерфейсе с адресом 127.0.0.1, а SquidGuard висит на внешнем адресе интерфейсе - то все запросы к сквиду будут только с одного адреса интерфейса пф.

SquidGuard нигде не может висеть. Это всего-лишь фильтр, вызываемый в squid.