Pfsense 2.1+LDAP(AD авторизация) +squid3 в интернет пускает всех
-
Пускает в WEB? Куда угодно?
Запрещающими правилами для LAN.
Правило, созданное по умолчанию
- LAN net * * * * none Default allow LAN to any rule
наверняка осталось?
- LAN net * * * * none Default allow LAN to any rule
-
Пускает в WEB? Куда угодно?
Да, пускает всех и куда угодно
Правило, созданное по умолчанию
* LAN net * * * * none Default allow LAN to any rule
наверняка осталось?Осталось, если я его уберу, то тогда никого не пускает никуда
-
@lex:
Пускает в WEB? Куда угодно?
Да, пускает всех и куда угодно
Правило, созданное по умолчанию
* LAN net * * * * none Default allow LAN to any rule
наверняка осталось?Осталось, если я его уберу, то тогда никого не пускает никуда
Прокси - Сквид, если настроен правильно на pfSense и клиентах, должен пускать в WWW НЕ используя Default allow LAN to any rule, которое с настройками по умолчанию позволяет из LAN ходить куда угодно.
-
Подскажите, что я делаю неправильно? Вот выкладываю скриншоты настроек.
-
Вот еще
-
Ну а настройки клиентов что?
-
у клиентов прописан прокси в свойствах браузера
-
Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???
-
@lex:
Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???
Так у вас на fw есть разрешающее все правило. Удалите его.
Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.
-
-
@lex:
Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???
Так у вас на fw есть разрешающее все правило. Удалите его.
Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.
Да, на pfsense 2 сетевые карты, одна WAN в интернет, другая LAN внутрь. Разрешающее правило я удалял, тогда никуда никто не мог выйти
-
@lex:
Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???
Так у вас на fw есть разрешающее все правило. Удалите его.
- Добавьте правило для прохождения DNS
Сделал так как вы посоветовали, в результате те у кого в браузере прописан прокси, не могут выйти, а у кого нет, то выходят в интернет
-
1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.Upd:
Для начала в Squid уберите авторизацию. -
1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.Upd:
Для начала в Squid уберите авторизацию.1. Убрал правило, тоже самое, никто не может выходить.
2. В чем проблема, подскажите\покажите скриншот как надо и правильно настроить?! Прокси запущен и работает! -
А можно показать адекватные скриншоты Firewall rules, при данной связке SQUID + LDAP + AD? А так же настройки: Proxy server: General settings, Proxy server: Access control, Proxy server: Authentication.
-
Аутентификацию в None поставьте на первое время для проверки.
-
Аутентификацию в None поставьте на первое время для проверки.
Аутентификацию в None поставил, в интернет не пускает!
-
Все, разобрался, просто надо тупо было открыть порт 3128 и ….все!!!
![firewall LAN.jpg](/public/imported_attachments/1/firewall LAN.jpg)
![firewall LAN.jpg_thumb](/public/imported_attachments/1/firewall LAN.jpg_thumb) -
Дак вы порт во вне открыли. Причем здесь сквид?
-
Дак вы порт во вне открыли. Причем здесь сквид?
Ну теперь те у кого прокси не прописан в браузере, не смогут выйти в интернет, а те у кого прописан прокси, ходят через Squid. То что я и хотел….
Что-то неправильно? Как правильно, в плане безопасности сети, настроить правила фаервола при связке squid + LDAP(AD авторизация) ? Подскажите!!!