Squid на 1 интерфейсе. Проблема с firewall
-
На приведенном скриншоте файрволом блокируется (за исключением одного IP) HTTPS-трафик, с которым Сквид работать не может. HTTPS-трафик надо, если нужно, выпускать используя NAT.
Есть разрешающее правило для всего трафика по IPv4,
Запрещение\разрешения доступа к порту 443 задается правилами на LAN. Отсутствие разрешающего правила на LAN равносильно запрету. На приведенном скриншоте LAN-интерфейс отсутствует.
-
Меня больше интересует как оставить фаервол включенным(для заворачивания веб-трафика на сквид), разрешив при этом весь трафик, проходящий в обе стороны. Сейчас же в веб-морде есть разрешающее правило на всё, но траф продолжает блокироваться
-
Где ваш LAN-интерфейс?!
-
На приведенном скриншоте файрволом блокируется (за исключением одного IP) HTTPS-трафик, с которым Сквид работать не может. HTTPS-трафик надо, если нужно, выпускать используя NAT.
Есть разрешающее правило для всего трафика по IPv4,
Запрещение\разрешения доступа к порту 443 задается правилами на LAN. Отсутствие разрешающего правила на LAN равносильно запрету. На приведенном скриншоте LAN-интерфейс отсутствует.
А если wan=lan? LAN я не настраивал при установке. Что-то не охота городить 2 интерфейса с 2мя разными ip в одной сети
Сейчас на боевом шлюзе попробовал сделать разрешающие правила на всех интерфейсах. Не помогло. По факту там работает только VIPNET, остальные не подключены кабелем. Скрины с работающего шлюза в аттаче. Есть вариант конфиг подправить так, чтобы при изменениях с веб-морды он не затирался? И где, вообще, находится конфиг pf? В etc нет…
Цель у всего этого такая: раздавать по DHCP пользователям шлюз, на котором будет происходить фильтрация веб-трафика и отправляться во внешку без нужды прописывать прокси на каждом ПК. Вариант "поставить pfsense на выходе из сети"-плохой вариант. Топология не позволяет. Юзать хочется именно этот дистрибутив. Есть пара вещей, которые реализовать очень удобно именно на базе pfSense
-
А если wan=lan? LAN я не настраивал при установке. Что-то не охота городить 2 интерфейса с 2мя разными ip в одной сети
Вы шутите? На Pfsense должно быть миниум ДВА интерфейса (или один в разных vlan). Это же роутер.
-
А если wan=lan? LAN я не настраивал при установке. Что-то не охота городить 2 интерфейса с 2мя разными ip в одной сети
Вы шутите? На Pfsense должно быть миниум ДВА интерфейса (или один в разных vlan). Это же роутер.
То, что он отлично пропускает через себя весь трафик с выключенным фаерволом Вас не смущает? Повторю ещё раз: нужно выяснить откуда берутся запрещающие правила в pfctl и разрешить всё, не отключая при этом pfctl, потому что мне нужен редирект трафика с одного порта на другой порт.
-
То, что он отлично пропускает через себя весь трафик с выключенным фаерволом Вас не смущает?
А разве не должен? У вас адреса и LAN и WAN и VIPNET из одного сегмента ?
потому что мне нужен редирект трафика с одного порта на другой порт.
Порт - физический ? Редирект - это у вас перенаправление (чего и куда ?)
Рисуйте схему вашей сети с адресацией ибо много неясного. И укажите на ней чего хотите добиться.
-
Подтверждаю неправильную работу фаервола с Squid. У меня есть разрешающие правила на порты TCP 25, 80, 110, 443, 995, 2041, 2042, 993, 587, 9443 и на UDP DNS ICMP NTP. Пытаюсь ограничить скорость лимитерами - пофиг. Как только сквид начинает с инета качать, его не остановишь!…
-
2 NetWiz
Сквид - прозрачный? Если - да , то что вы хотели? Т.к. все что идет на 80-ый порт вовне будет перехватываться им.
И правило fw в таком случае работать для HTTP не будет. Для всего остального трафика - все ок. И лимитер тоже , если он правильнро настроен, конечно.P.s. В настройках сквида можно и его трафик резать.
-
Да, прозрачный. Т.е. никак не получится регулировать скорость?
Тогда удивлен. На одном из интерфейсов есть правило FW разрешающее ВСЁ. Лимитер отрабатывает на отлично… Может быть конечно до http не доходит, забивается разрешенная полоса более наглыми протоколами.
Еще одно замечание. В самом низу правил FW, если разместить блокирующее правило "всё-всем", то перестает идти http трафик, т.е. работа squid нарушается.
-
2 NetWiz
Попробуйте разместить правила limitera-a во Floating Rules, а не на конкретном интерфейсе. И Reset States сделать.
В самом низу правил FW, если разместить блокирующее правило "всё-всем"
Это лишнее ибо запрещено всё что не разрешено явно.
P.s. Покажите скрин правил fw на LAN, WAN.
-
Wan2811 это на спутниковый модем, в этой же сети vlan30.
-
Интересно, а зачем обычные физ. интерфейсы вы VLAN-ами обозвали ? Не боитесь запутаться ?
-
обозвал чтобы коллегам было понятно. у нас десяток вланов разного назначения. рабочие, развлекательные, технологические, безопасность ну и т.п.
по em2 приходит в vmware (esx 4.2 к сожалению) транк, в сети там часть вланов разрешена только. что безопасно подключать к интернету.
-
прилагаю вывод правил.
кстати, у меня ругается при старте на Unknown modifier '-' in /usr/local/pkg/squidguard_configurator.inc on line 1848
[pfctl -s rules.txt](/public/imported_attachments/1/pfctl -s rules.txt)
-
esx 4.2 к сожалению
В чем проблема проапгрейдится до esxi 5-ой ветки ?
-
Про esxi - нет возможности пока, осенью перейдем. Крутится много всего, остановить нет возможности.
Отключил пока прозрачный режим сквида. Сразу на графиках видно работу лимитеров стало. Сквид падает после старта через несколько секунд, ушел смотреть логи.
-
Сквид не останавливается никак. Постоянно рестартует.
После удаления пакета, после перезапуска системы, пытаюсь удалить кеш-директорию командой
rm -f -r "cache"Папка 45 гигабайт, уже пару часов удаляет. Мне кажется проблема с рейдом5. Ранее у нас помер рейд1 на этой же машине.
-
Рисуйте схему вашей сети с адресацией ибо много неясного. И укажите на ней чего хотите добиться.
Локальная сеть(10.74.59.0/24) => pfSense (10.74.59.90/24) => роутер(10.74.59.1/24) => интернет
Есть один работающий Ethernet порт, к которому подключен кабель. Есть ещё 2 свободных. Шлюзом по умолчанию для всей сети указан pfSense(10.74.59.90/24). Трафик должен ходить через него, чтобы squid мог прозрачно обрабатывать трафик, шлюз в интернет находится в той же сети(10.74.59.1/24), что и pfSense с настроенным squid+squidguard+lightsquid. Мне нужно, чтобы squid работал как надо. Если выключить firewall, трафик перестаёт блокироваться сквидом(пускает везде). Если включить firewall, блокируется куча трафика уже фаерволом(при настроенных разрешающих правилах на всё), что делает невозможным нормальное использование интернета. Нужно выяснить почему так происходит и как это исправить. Скрины настроек и вывод pfctl -s rules уже выкладывал в прошлых постах этой темы.
-
Локальная сеть(10.74.59.0/24) => pfSense (10.74.59.90/24) => роутер(10.74.59.1/24) => интернет
У вас асимметричная маршрутизация в этой схеме.
Прямой трафик: Локальная сеть => pfSense => роутер => интернет
Обратный трафик: интернет => роутер => Локальная сеть, т. е. pfSense выпадает, т. к. "роутер" сам находится в "Локальной сети" и шлет ответы в нее непосредственно.Т. к. pfSense - это SPI-брандмауэр, и часть пакетов идет через него, а другая - в обход него, он не может правильно создать state для сессии, а все, для чего нет state, режется на корню.
Простейший выход - в System: Advanced: Firewall and NAT установить флажок Static route filtering [V] Bypass firewall rules for traffic on the same interface
Альтернативный - настроить NAT
