Pfsense 2.1+LDAP(AD авторизация) +squid3 в интернет пускает всех

dvserg

Ну а настройки клиентов что?

lex 0

у клиентов прописан прокси в свойствах браузера

lex 0

Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

werter

@lex:

Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

Так у вас на fw есть разрешающее все правило. Удалите его.

Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.

dvserg

@werter:

@lex:

Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

Так у вас на fw есть разрешающее все правило. Удалите его.

• Добавьте правило для прохождения DNS

lex 0

@werter:

@lex:

Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

Так у вас на fw есть разрешающее все правило. Удалите его.

Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.

Да, на pfsense 2 сетевые карты, одна WAN в интернет, другая LAN внутрь. Разрешающее правило я удалял, тогда никуда никто не мог выйти

lex 0

@dvserg:

@werter:

@lex:

Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

Так у вас на fw есть разрешающее все правило. Удалите его.

• Добавьте правило для прохождения DNS

Сделал так как вы посоветовали, в результате те у кого в браузере прописан прокси, не могут выйти, а у кого нет, то выходят в интернет

dvserg

1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.

Upd:
Для начала в Squid уберите авторизацию.

lex 0

@dvserg:

1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.

Upd:
Для начала в Squid уберите авторизацию.

1. Убрал правило, тоже самое, никто не может выходить.
2. В чем проблема, подскажите\покажите скриншот как надо и правильно настроить?! Прокси запущен и работает!

lex 0

А можно показать адекватные скриншоты Firewall rules, при данной связке SQUID + LDAP + AD? А так же настройки: Proxy server: General settings, Proxy server: Access control, Proxy server: Authentication.

dvserg

Аутентификацию в None поставьте на первое время для проверки.

lex 0

@dvserg:

Аутентификацию в None поставьте на первое время для проверки.

Аутентификацию в None поставил, в интернет не пускает!

lex 0

Все, разобрался, просто надо тупо было открыть порт 3128 и ….все!!!


werter

Дак вы порт во вне открыли. Причем здесь сквид?

lex 0

@werter:

Дак вы порт во вне открыли. Причем здесь сквид?

Ну теперь те у кого прокси не прописан в браузере, не смогут выйти в интернет, а те у кого прописан прокси, ходят через Squid. То что я и хотел….
Что-то неправильно? Как правильно, в плане безопасности сети, настроить правила фаервола при связке squid + LDAP(AD авторизация) ? Подскажите!!!

werter

Тогда в последнем правиле добавьте в Destination - Lan address. Порт не трогайте. Иначе вы разрешаете всем доступ по порту 3128 куда-угодно во вне.