Ошибка при загрузке Blacklist
-
:oнет
поставил - также не блокирует
-
А Apply нажали ? А точно сквид не в транспаренте работает?
Скрин настроек самого сквида покажите.
-
Apply нажимал.
второй вопрос не понял.
-
Хм, интерсует скрин настроек Squid - не Squidquard.
Далее, зачем стоят галки на Enable LDAP filter и Strip NT domain ? Вы используете LDAP?
-
Эти галки сам не ставил, не могу ответить.
.jpg)
.jpg_thumb)
.jpg)
.jpg_thumb) -
… еще скрин
.jpg)
.jpg_thumb) -
Ок. А теперь скрин Common ACL Сквидгварда. И правил fw на LAN.
P.s. Зачем вам ГОД хранить логи сквида?! 60-90 дней вполне достаточно. И да, для просмотра логов необходимо установить и настроить Lightsquid - это сделано?
-
Common ACL
LightSquid установлен - просматриваю постоянно "Отчет по использованию интернета, …"
-
1. Common ACL - Target Rules List разверните.
2. По правилам fw на LAN кратко - бред:-
второе правило сверху - зачем оно на LAN ?
-
остальные правила - объясните их суть, т.е. для чего они?
Делаете так - грохаете ВСЕ правила на LAN (кроме первого , к-ое серое, т.с. неактивное). Оставляете одно - второе снизу. Работаете пока с ним - настраиваете сквид etc.
Усиленно ищИте книги по pfsense и сетям в гугле. Советую цикл статей на Хабре - "Сети для самых маленьких". И вникаем, вникаем, вникаем.
-
-
Target rules list
-
Делаете так - грохаете ВСЕ правила на LAN (кроме первого , к-ое серое, т.с. неактивное). Оставляете одно - второе снизу. Работаете пока с ним - настраиваете сквид etc.
Это сделали?
И покажите правила NAT. Вы там ничего не трогали?
-
Пока правила на LAN не трогал - боюсь интернет у пользователей пропадет, у нас сегодня рабочий день.
правила NAT - там тоже ничего не менял.
-
ты как проверяешь? набираешь http:\vk.com или https:\vk.com если набрать https:\vk.com то squidguard пропустит, https закрывается целой кучей ip 87.240.128.0/18 в фаерволе
-
проверял и http://vk.com, и https://vk.com. Оба не блокирует
-
Пока правила на LAN не трогал - боюсь интернет у пользователей пропадет, у нас сегодня рабочий день.
правила NAT - там тоже ничего не менял.А что этим правилом портфорварда попытались сделать?
1. У пользователей в браузере должен быть прописан прокси (если нет задачи делать прозрачно)
2. На LAN необходимо явно запретить доступ из LAN на * HTTP/HTTPS
3. Убрать это правило портфорварда http://forum.pfsense.org/index.php/topic,70801.msg388629.html#msg388629 -
Пока правила на LAN не трогал - боюсь интернет у пользователей пропадет, у нас сегодня рабочий день.
правила NAT - там тоже ничего не менял.Ув. Artur !
Прислушайтесь к советам, пож-та. Ничего ни у кого не пропадет, а вот то безобразие, к-ое вы накрутили в правилах и рождает ваши проблемы с вероятностью близкой к 100 %.В Port forward - все удаляем. На LAN - одно правило разрешающее всё всем (хотя бы временно).
Покажите правила на WAN и NAT (Outbound) (второй раз прошу, да) . Боюсь и там у вас не все в порядке :(
P.s. В вашем случае я бы перевел сквид в "прозрачный" режим и удалил у пользователей явное задание настройки прокси . Пока не разберетесь как всё работает.
-
скрины
-
Хорошо хоть NAT не трогали :)
По WAN - опять несовсем верно. Объясните ваше первое правило? Да pf WAN ip ваш - если думаете о том , что и я , то он там и так есть - это WAN address. Не надо для него алиас выдумывать.
Короче так - выполняйте те требования что были даны. Потом будем с остальным разбираться.
-
Извините за долгое отсутствие. :)
что сделал: 1) убрал "галки" - "Strip NT domain name", "Enable LDAP Filter", "Block bogon networks"
2) исправил правила, как было указано @werter:… грохаете ВСЕ правила на LAN (кроме первого , к-ое серое, т.с. неактивное). Оставляете одно - второе снизу.
И сайты определенные в squidguard стали недоступны. (vk, facebook, ok)
но blacklist update - ошибка осталась. -
Пришлось вернуть настройки обратно, т.к. перестал работать microsoft Lync
