Problema con Squidguard y Redireccionamiento de puertos RC3
-
Saludos a todos, espero me puedan ayudar.
Tengo el siguiente escenario (las direcciones son ficticias).
192.168.1.0/24 <–---LAN-----> PFSENSE <-----WAN1----->189.XX.YY.ZZ
El pfsense tiene 2 interfaces WAN una con IP fija (189.XX.YY.ZZ) y la otra PPPoE (dinamica) pero creo eso no interfiere con mi problema.
Desde dentro de la LAN puedo acceder bien a los puertos redireccionados en la WAN1
Ej. si tengo un servidor en http://189.XX.YY.ZZ:8080/Aplicacion , puedo entrar desde afuera y desde adentro, habilitando NAT Reflection.
Mi problema viene cuando uso el proxy (squid + squidguard) instalados en el pfsense, en modo no transparente con autenticacion local.
He creado 2 grupos de ACL GROUPS (TIER1 y TIER2), ambos funcionan a la hora de bloquear por categoria (shallalist) si uso REDIRECT MODE = ext url redirect, todos los modos int y none me arrojan timeout.
Si deseo entrar a mi aplicacion http://189.XX.YY.ZZ:8080/Aplicacion , por alguna razon esta cae dentro del COMMON ACL, donde tengo un deny all, y redirect a otra pagina web (asi me di cuenta).
Me pueden ayudar a saber por que al intentar entrar a mi aplicacion, el acceso a la IP cae dentro del COMMON ACL?
Otra cosa que sucede es que si habilito un TARGET CATEGORY con la IP de mi aplicacion, no funciona ni el ALLOW ni el WHITELIST, solo funciona el DENY con el redirect.Aqui un extracto de la configuracion del filtro
logdir /var/squidGuard/log
dbhome /var/db/squidGuardACL FOR COMMON USERS
src TIER2 {
user lipu
log block.log
}FOR ADMINS
src TIER1 {
user rmelendez
log block.log
}dest blk_BL_adv {
domainlist blk_BL_adv/domains
urllist blk_BL_adv/urls
log block.log
}
...
....
....
...
dest TARGET {
domainlist TARGET/domains
log block.log
}rew safesearch {
s@(google../search?.q=.)@&safe=active@i
s@(google../images.q=.)@&safe=active@i
s@(google../groups.q=.)@&safe=active@i
s@(google../news.q=.)@&safe=active@i
s@(yandex../yandsearch?.text=.)@&fyandex=1@i
s@(search.yahoo../search.p=.)@&vm=r&v=1@i
s@(search.live../.q=.)@&adlt=strict@i
s@(search.msn../.q=.)@&adlt=strict@i
s@(.bing..*/.q=.)@&adlt=strict@i
log block.log
}acl {
ACL FOR COMMON USERS
TIER2 {
pass !blk_BL_porn TARGET all
redirect http://192.168.1.30/cacti
log block.log
}FOR GODS
TIER1 {
pass !blk_BL_webmail TARGET all
redirect http://192.168.1.27
log block.log
}default {
pass TARGET none
redirect http://192.168.1.30/nagios
log block.log
}
}Como pueden ver hay un pass de TARGET y un deny all, pero me manda timeout si deseo acceder a la aplicacion. si le pongo un deny TARGET me funciona el redirect.
Alguna guia?
atte.
Ricardo