Pfsense 2.1+LDAP(AD авторизация) +squid3 в интернет пускает всех

lex 0

@lex:

Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

Так у вас на fw есть разрешающее все правило. Удалите его.

Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.

Да, на pfsense 2 сетевые карты, одна WAN в интернет, другая LAN внутрь. Разрешающее правило я удалял, тогда никуда никто не мог выйти

lex 0

@dvserg:

@werter:

@lex:

Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

Так у вас на fw есть разрешающее все правило. Удалите его.

Добавьте правило для прохождения DNS

Сделал так как вы посоветовали, в результате те у кого в браузере прописан прокси, не могут выйти, а у кого нет, то выходят в интернет

2014-01-28_230031.png_thumb

dvserg

1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.

Upd:
Для начала в Squid уберите авторизацию.

lex 0

@dvserg:

1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.

Upd:
Для начала в Squid уберите авторизацию.

1. Убрал правило, тоже самое, никто не может выходить.
2. В чем проблема, подскажите\покажите скриншот как надо и правильно настроить?! Прокси запущен и работает!

lex 0

А можно показать адекватные скриншоты Firewall rules, при данной связке SQUID + LDAP + AD? А так же настройки: Proxy server: General settings, Proxy server: Access control, Proxy server: Authentication.

dvserg

Аутентификацию в None поставьте на первое время для проверки.

lex 0

@dvserg:

Аутентификацию в None поставьте на первое время для проверки.

Аутентификацию в None поставил, в интернет не пускает!

lex 0

Все, разобрался, просто надо тупо было открыть порт 3128 и ….все!!!

![firewall LAN.jpg](/public/imported_attachments/1/firewall LAN.jpg)
![firewall LAN.jpg_thumb](/public/imported_attachments/1/firewall LAN.jpg_thumb)

werter

Дак вы порт во вне открыли. Причем здесь сквид?

lex 0

@werter:

Дак вы порт во вне открыли. Причем здесь сквид?

Ну теперь те у кого прокси не прописан в браузере, не смогут выйти в интернет, а те у кого прописан прокси, ходят через Squid. То что я и хотел….
Что-то неправильно? Как правильно, в плане безопасности сети, настроить правила фаервола при связке squid + LDAP(AD авторизация) ? Подскажите!!!

werter

Тогда в последнем правиле добавьте в Destination - Lan address. Порт не трогайте. Иначе вы разрешаете всем доступ по порту 3128 куда-угодно во вне.