Ошибка при загрузке Blacklist
-
1. Common ACL - Target Rules List разверните.
2. По правилам fw на LAN кратко - бред:-
второе правило сверху - зачем оно на LAN ?
-
остальные правила - объясните их суть, т.е. для чего они?
Делаете так - грохаете ВСЕ правила на LAN (кроме первого , к-ое серое, т.с. неактивное). Оставляете одно - второе снизу. Работаете пока с ним - настраиваете сквид etc.
Усиленно ищИте книги по pfsense и сетям в гугле. Советую цикл статей на Хабре - "Сети для самых маленьких". И вникаем, вникаем, вникаем.
-
-
Target rules list
-
Делаете так - грохаете ВСЕ правила на LAN (кроме первого , к-ое серое, т.с. неактивное). Оставляете одно - второе снизу. Работаете пока с ним - настраиваете сквид etc.
Это сделали?
И покажите правила NAT. Вы там ничего не трогали?
-
Пока правила на LAN не трогал - боюсь интернет у пользователей пропадет, у нас сегодня рабочий день.
правила NAT - там тоже ничего не менял.
-
ты как проверяешь? набираешь http:\vk.com или https:\vk.com если набрать https:\vk.com то squidguard пропустит, https закрывается целой кучей ip 87.240.128.0/18 в фаерволе
-
проверял и http://vk.com, и https://vk.com. Оба не блокирует
-
Пока правила на LAN не трогал - боюсь интернет у пользователей пропадет, у нас сегодня рабочий день.
правила NAT - там тоже ничего не менял.А что этим правилом портфорварда попытались сделать?
1. У пользователей в браузере должен быть прописан прокси (если нет задачи делать прозрачно)
2. На LAN необходимо явно запретить доступ из LAN на * HTTP/HTTPS
3. Убрать это правило портфорварда http://forum.pfsense.org/index.php/topic,70801.msg388629.html#msg388629 -
Пока правила на LAN не трогал - боюсь интернет у пользователей пропадет, у нас сегодня рабочий день.
правила NAT - там тоже ничего не менял.Ув. Artur !
Прислушайтесь к советам, пож-та. Ничего ни у кого не пропадет, а вот то безобразие, к-ое вы накрутили в правилах и рождает ваши проблемы с вероятностью близкой к 100 %.В Port forward - все удаляем. На LAN - одно правило разрешающее всё всем (хотя бы временно).
Покажите правила на WAN и NAT (Outbound) (второй раз прошу, да) . Боюсь и там у вас не все в порядке :(
P.s. В вашем случае я бы перевел сквид в "прозрачный" режим и удалил у пользователей явное задание настройки прокси . Пока не разберетесь как всё работает.
-
скрины
-
Хорошо хоть NAT не трогали :)
По WAN - опять несовсем верно. Объясните ваше первое правило? Да pf WAN ip ваш - если думаете о том , что и я , то он там и так есть - это WAN address. Не надо для него алиас выдумывать.
Короче так - выполняйте те требования что были даны. Потом будем с остальным разбираться.
-
Извините за долгое отсутствие. :)
что сделал: 1) убрал "галки" - "Strip NT domain name", "Enable LDAP Filter", "Block bogon networks"
2) исправил правила, как было указано @werter:… грохаете ВСЕ правила на LAN (кроме первого , к-ое серое, т.с. неактивное). Оставляете одно - второе снизу.
И сайты определенные в squidguard стали недоступны. (vk, facebook, ok)
но blacklist update - ошибка осталась. -
Пришлось вернуть настройки обратно, т.к. перестал работать microsoft Lync
-
перестал работать microsoft Lync
Он у вас внутри сети находится? И вы на него через локальную же проксю ходите?!
-
Он у вас внутри сети находится? И вы на него через локальную же проксю ходите?!
Да.
Связь с другими участниками за пределами локальной сети через интернет -
Туманный ответ на вопрос, однако. Т.е. он не в вашей сети находится ? Добавьте его IP в исключения squid (Bypass proxy for these destination IPs).
