настройка firewall pfsense 2.1.5 если локальные сети за пров
-
на WAN статика
Какая статика - серая или белая ?
как объясняет провайдер: "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"
Так вы определитесь - есть ли у вас VLANы или нет?
вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24
Правило отключили на WAN (блокирование серых сетей)?
Без указания шлюза ?ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….
на всякий случай приложу скрины лога и настройки rules для LANВыкладывайте\прикладывайте.
И на WAN-е тоже. -
итак, статика на WAN белая (это на боевом шлюзе в данный момент, ещё раз повторюсь что я делаю сейчас тестовую схему, расположенную за этим боевым шлюзом, то есть типа имитация провайдерской сети, где мой боевой шлюз выполняет роль провайдера и даёт только интернет)
далее по поводу VLAN - в нашей сети вланы не используются, почему изначально я про них говорил, потому что провайдер так обозвал создание связи между удалёнными точками (то есть объединил все порты, связанные с нами, в один VLAN я так думаю, а от нас ничего по части настроек VLAN не требуется (так сказал пров))
вот настройки правил для WAN ещё раз
![Firewall Rules.png_thumb](/public/imported_attachments/1/Firewall Rules.png_thumb)
![Firewall Rules.png](/public/imported_attachments/1/Firewall Rules.png) -
вот с дебиана iptables (все комментарии в скрипте - это уже было написано до меня), этот шлюз в данный момент работает, и связь с филиалами есть, я же хочу разобраться со всеми правилами и причесать всё на pfsense
###Описание сети #описание инета INET_IP="87.0.0.0" (это пример) INET_IP_10="10.0.105.204" # ИП адрес приватной сети , вида 10.0.105.х для доступа из локальной сети, сделан в виде алиаса для внешней сетевухи INET_IP_dacha="192.168.2.9" INET_IFACE="eth0" #описание локалки LAN_IP="192.168.0.9" LAN_IP_0_0="192.168.0.0/24" LAN_IP_10="10.0.105.0/24" LAN_IP_dacha="192.168.2.0/24" LAN_IFACE="eth2" LO_IFACE="lo" LO_IP="127.0.0.1" #путь iptables IPTABLES="/sbin/iptables" #загрузка модулей /sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state echo "1" > /proc/sys/net/ipv4/ip_forward #Назначение политик по-умолчанию для системных цепочек. $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP #создаются все пользовательские цепочки, которые мы будем использовать позже в пределах этой таблицы. $IPTABLES -N bad_tcp_packets $IPTABLES -N allowed $IPTABLES -N tcp_packets $IPTABLES -N udp_packets $IPTABLES -N icmp_packets #Эта цепочка предназначена для отфильтровывания пакетов с "неправильными" заголовками и решения ряда других проблем. $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP #TCP пакет, следуя с интерфейса $INET_IFACE, попадает в цепочку tcp_packets, если пакет следует на разрешенный порт, то после этого проводится дополнительная проверка в цепочке allowed. $IPTABLES -A allowed -p TCP --syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP ###Здесь мы указываем, какие порты могут быть доступны из Internet. #разрешаем и перекидываем в цепочку allowed для дополнительной проверки пакетов $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed #разрешаем $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT #разрешаем $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT #всё что приходит по tcp перекидывается в цепочку bad_tcp_packets для отсеивания "плохих" пакетов $IPTABLES -A INPUT -p tcp -j bad_tcp_packets $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_0_0 -j ACCEPT $IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_10 -j ACCEPT $IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_dacha -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_10 -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_dacha -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_10 -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_dacha -j ACCEPT $IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT $IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -p ALL -d $INET_IP_10 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -p ALL -d $INET_IP_dacha -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets $IPTABLES -A INPUT -p ICMP -i $LAN_IFACE -j icmp_packets $IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_0_0 --dport 3128 -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: " $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -s $LAN_IP_10 -d $LAN_IP_0_0 -j ACCEPT $IPTABLES -A FORWARD -s $LAN_IP_dacha -d $LAN_IP_0_0 -j ACCEPT $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: " $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT $IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_0_0 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED $IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED $IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: " # Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128 $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_0_0 ! -d $LAN_IP_0_0 --dport 80 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128 #$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Включаем NAT, чтобы пропускать SSL, DNS, NTP и т.д. запросы: #$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_IP_RANGE ! -d $LAN_IP_RANGE -j SNAT --to 1.1.1.1 $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP # NAT для сети 10.0.105.x $IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_10 -j SNAT --to-source $INET_IP_10 $IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_dacha -j SNAT --to-source $INET_IP_dacha # Разрешаем squid'у выходить в инет $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_0_0 --dport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_0_0 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_10 --dport 80 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_dacha --dport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_10 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED $IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_dacha --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED # И делаем проход для SSL, DNS, NTP: $IPTABLES -A FORWARD -p tcp -m tcp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123,443 -j ACCEPT $IPTABLES -A FORWARD -p tcp -m tcp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123,443 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED $IPTABLES -A FORWARD -p udp -m udp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123 -j ACCEPT $IPTABLES -A FORWARD -p udp -m udp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED # $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 110 -j ACCEPT $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 25 -j ACCEPT $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 995 -j ACCEPT $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 465 -j ACCEPT $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 4800 -j ACCEPT $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 1029 -j ACCEPT
-
1. Удаляете 1-е и 2 последних правила на WAN
2. Создаете два Vitrual IP для WAN (тип IP alias) - 10.0.105.204/24 и 192.168.2.9/24
3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination - 10.0.105.0/24, NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9
И ставите эти правила выше всех. -
Сегодня утром сделал по Вашим пунктам, сбросил pfsense по дефолту всё, заново интерфейсы настроил, на сети 192.168.0.0/24 интернет был, но не было связи с филиалами (10.0.105.0/24 и 192.168.2.0/24)
Может я где то не правильно указал, или надо было ещё прописать что-то (машину ребутал после настроек)ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"
![Firewall Rules WAN.png](/public/imported_attachments/1/Firewall Rules WAN.png)
![Firewall Rules WAN.png_thumb](/public/imported_attachments/1/Firewall Rules WAN.png_thumb)
![Firewall Rules LAN.png](/public/imported_attachments/1/Firewall Rules LAN.png)
![Firewall Rules LAN.png_thumb](/public/imported_attachments/1/Firewall Rules LAN.png_thumb)
![Firewall Virtual IP Addresses.png](/public/imported_attachments/1/Firewall Virtual IP Addresses.png)
![Firewall Virtual IP Addresses.png_thumb](/public/imported_attachments/1/Firewall Virtual IP Addresses.png_thumb)
![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb)
![Status System logs Firewall.png](/public/imported_attachments/1/Status System logs Firewall.png)
![Status System logs Firewall.png_thumb](/public/imported_attachments/1/Status System logs Firewall.png_thumb) -
ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"
3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination - 10.0.105.0/24, NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9И ставите эти правила выше всех.
Посмотрите что я выделил жирным.
Внимательнее впредь.![2014-12-11 16_18_13-наÑтройка firewall pfsense 2.1.5 - Opera.jpg](/public/imported_attachments/1/2014-12-11 16_18_13-наÑтройка firewall pfsense 2.1.5 - Opera.jpg)
![2014-12-11 16_18_13-наÑтройка firewall pfsense 2.1.5 - Opera.jpg_thumb](/public/imported_attachments/1/2014-12-11 16_18_13-наÑтройка firewall pfsense 2.1.5 - Opera.jpg_thumb)
![2014-12-11 16_23_23-наÑтройка firewall pfsense 2.1.5.jpg](/public/imported_attachments/1/2014-12-11 16_23_23-наÑтройка firewall pfsense 2.1.5.jpg)
![2014-12-11 16_23_23-наÑтройка firewall pfsense 2.1.5.jpg_thumb](/public/imported_attachments/1/2014-12-11 16_23_23-наÑтройка firewall pfsense 2.1.5.jpg_thumb) -
нуууу, про дестинейшн изначально не было… (ну или неужели я так пропустил, ибо просматривал сообщение несколько раз), завтра попробую, спасибо за ответ
![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb) -
И я бы все же 3-е правило на WAN в самый низ поставил.
-
ну чтож, связь с объектами появилась, но на сетях 10.0.105.0/24 и 192.168.2.0/24 нет интернета (в логах было видно что блокирует fw)
в rules на WAN добавлял правило "source 192.168.2.0/24 destination all" (хотя так не правильно вроде как) - в логах сообщения о блокировании пропали, но инета так и не появилось, чую снова в NAT дописать надо что то?ПыСы: и на будущее хочу спросить, проблем с настройкой сквида в pfsense не должно возникнуть при такой организации сети? потыкался в веб-интерфейсе настроек
![Proxy server General settings.png_thumb](/public/imported_attachments/1/Proxy server General settings.png_thumb)
![Proxy server General settings.png](/public/imported_attachments/1/Proxy server General settings.png)
![Proxy server Access control.png](/public/imported_attachments/1/Proxy server Access control.png)
![Proxy server Access control.png_thumb](/public/imported_attachments/1/Proxy server Access control.png_thumb) -
Последний скрин - выберите и WAN интерфейс в Proxy Interface
-
ок, отмечу, но сквид пока особо не смотрю, хочу для начала просто получить инет на подсетях за WAN, где завернуть бы трафик для инета?
-
Попробуйте добавить в Outbond NAT на WAN правила, где в Source будут ваши 10.0.105.0/24 и 192.168.2.0/24,
Destination - * , а NAT-ся будет на WAN address. Выкладывайте скрин правил Outbond NAT и смотрите логи fw. -
нет, так не получилось… =( а, нет, получилось после добавления правила в fw (первые две строки на скрине)
Итак, спасибо большое за помощь в настройке, хочу узнать с точки зрения "правильности" - всё ли хорошо написано? И, вопрос - если я хочу запретить "всё", кроме необходимых портов, то нужно в fw удалить разрешающие правила на "всё" и добавить на определённые порты, так?
![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb)
![Firewall Rules.png](/public/imported_attachments/1/Firewall Rules.png)
![Firewall Rules.png_thumb](/public/imported_attachments/1/Firewall Rules.png_thumb)
![Firewall Rules LAN.png](/public/imported_attachments/1/Firewall Rules LAN.png)
![Firewall Rules LAN.png_thumb](/public/imported_attachments/1/Firewall Rules LAN.png_thumb) -
Блин, только вот между подсетями 10.0.105.0 и 192.168.2.0 связи нет, (пинги с 10.0.105.207 до 192.168.2.9 проходят, а до других хостов нет. Опять нат что-то похоже, ибо fw пропускает)… вот лог с fw
Всё, сделал связь между ними, в нате добавил правила, аналогичные из 192.168.0.0
![Status System logs Firewall.png](/public/imported_attachments/1/Status System logs Firewall.png)
![Status System logs Firewall.png_thumb](/public/imported_attachments/1/Status System logs Firewall.png_thumb) -
Как бы так .
![2014-12-15 16_09_51.jpg](/public/imported_attachments/1/2014-12-15 16_09_51.jpg)
![2014-12-15 16_09_51.jpg_thumb](/public/imported_attachments/1/2014-12-15 16_09_51.jpg_thumb)
![2014-12-15 16_11_44.jpg](/public/imported_attachments/1/2014-12-15 16_11_44.jpg)
![2014-12-15 16_11_44.jpg_thumb](/public/imported_attachments/1/2014-12-15 16_11_44.jpg_thumb) -
ну да, это я понял, к красивому виду приведу, сейчас вот столкнулся, что сбербанк бизнес онлайн не работает (который с флешки запускается, если кто в курсе про них, изначально с ними проблема была что через прокси не хотели работать, напрямую прокидывались в iptables), хотя интернет есть… в логах пока ничего не заметил, но толком ещё и не смотрел, вопчем буду разбираться пока что
-
что через прокси не хотели работать
Добавьте их адреса\подсети в исключения squid-а (destination addresses)
P.s. А разве клиент сбера не по https работает?
-
да хттпс, просто оказалось в самом клиенте стояла галка прокси-сервера (а службу сквида пока остановил), ну и потом когда запустил сквид и стояла галка на прозрачный прокси - почему то не работала прозрачность, надо было указывать на хостах прокси (настройки выкладывал выше)… возможно в нате надо заворачивать вручную 80 порт на 3128 чтоли... времени не было пока разбираться, пока что переустановил сквид, кстати настройки подтянулись, а хотел я чистую установку пакета... кто-нибудь знает как настройки сквида скинуть в дефолт? и ещё, быстрое гугление показало, что отдельного файлика squid.conf в pfsense нет, это так да?