Visualizacion de pagina web

bellera

He puesto en marcha un pfSense 2.1.4 de pruebas que tengo con squid+squidGuard en modo transparente.

En consola he hecho lo siguiente:

cd /usr/local/www
mkdir prueba
cd prueba
echo Hola > index.html

Y yendo a 192.168.1.1/prueba

sale Hola sin problemas.

No tengo nada puesto en:

Bypass proxy for Private Address destination	 
Bypass proxy for these source IPs	 
Bypass proxy for these destination IPs

De hecho, para lo que quieres hacer esto no sirve, pues cuando se selecciona el modo transparente se envía todo al proxy EXCEPTO las peticiones que van a la interfase de pfSense. De esta forma la administración de pfSense no pasa NUNCA por el proxy.

bellera

@bellera:

Comprueba los rdr (redirect) para la interfase donde esté puesto el modo transparente…

pfctl -s nat

https://forum.pfsense.org/index.php?topic=78261.msg428941#msg428941

Insisto en esto, porque si sólo pasa cuando squid+squidGuard está funcionando… algo raro hay...

Puedes ejecutar el comando en Diagnostics: Command Prompt

Tiene que haber algo como:

rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.0.0.1 port 3128
rdr on em0 inet proto tcp from any to ! (em0) port = https -> 127.0.0.1 port 3129

donde se ve que el tráfico http/https es redireccionado al proxy, excepto para el tráfico con destino em0 (mi LAN).

huaressa

no nat proto carp all
nat-anchor "natearly/*" all
nat-anchor "natrules/*" all
nat on alc0_vlan38 inet from XXX.YYY.0.0/24 to any -> AAA.BBB.CCC.DDD port 1024:65535
nat on alc0_vlan38 inet from XXX.YYY.0.0/24 to any -> AAA.BBB.CCC.DDD port 1024:65535
nat on alc0_vlan38 inet from XXX.YYY.10.0/24 to any -> AAA.BBB.CCC.DDD port 1024:65535
nat on alc0_vlan38 inet from XXX.YYY.5.0/24 to any -> AAA.BBB.CCC.DDD port 1024:65535
nat on alc0_vlan38 inet from XXX.YYY.2.0/24 to any -> AAA.BBB.CCC.DDD port 1024:65535
nat on alc0_vlan38 inet from XXX.YYY.4.0/24 to any -> AAA.BBB.CCC.DDD port 1024:65535
nat on alc0_vlan38 inet from XXX.YYY.3.0/24 to any -> AAA.BBB.CCC.DDD port 1024:65535
no rdr proto carp all
rdr-anchor "relayd/*" all
rdr-anchor "tftp-proxy/*" all
rdr pass on re0 inet proto udp from any to any port = tftp -> 127.0.0.1 port 6969
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = http -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = http -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19000
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19000
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19000
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19000
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19000
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19000
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = smtp -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = smtp -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = smtp tag PFREFLECT -> 127.0.0.1 port 19001
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = smtp tag PFREFLECT -> 127.0.0.1 port 19001
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = smtp tag PFREFLECT -> 127.0.0.1 port 19001
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = smtp tag PFREFLECT -> 127.0.0.1 port 19001
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = smtp tag PFREFLECT -> 127.0.0.1 port 19001
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = smtp tag PFREFLECT -> 127.0.0.1 port 19001
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = pop3 -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = pop3 -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = pop3 tag PFREFLECT -> 127.0.0.1 port 19002
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = pop3 tag PFREFLECT -> 127.0.0.1 port 19002
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = pop3 tag PFREFLECT -> 127.0.0.1 port 19002
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = pop3 tag PFREFLECT -> 127.0.0.1 port 19002
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = pop3 tag PFREFLECT -> 127.0.0.1 port 19002
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = pop3 tag PFREFLECT -> 127.0.0.1 port 19002
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = imap -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = imap -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = imap tag PFREFLECT -> 127.0.0.1 port 19003
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = imap tag PFREFLECT -> 127.0.0.1 port 19003
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = imap tag PFREFLECT -> 127.0.0.1 port 19003
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = imap tag PFREFLECT -> 127.0.0.1 port 19003
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = imap tag PFREFLECT -> 127.0.0.1 port 19003
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = imap tag PFREFLECT -> 127.0.0.1 port 19003
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = domain -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = domain -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = domain tag PFREFLECT -> 127.0.0.1 port 19004
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = domain tag PFREFLECT -> 127.0.0.1 port 19004
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = domain tag PFREFLECT -> 127.0.0.1 port 19004
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = domain tag PFREFLECT -> 127.0.0.1 port 19004
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = domain tag PFREFLECT -> 127.0.0.1 port 19004
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = domain tag PFREFLECT -> 127.0.0.1 port 19004
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = imaps -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = imaps -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = imaps tag PFREFLECT -> 127.0.0.1 port 19005
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = imaps tag PFREFLECT -> 127.0.0.1 port 19005
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = imaps tag PFREFLECT -> 127.0.0.1 port 19005
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = imaps tag PFREFLECT -> 127.0.0.1 port 19005
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = imaps tag PFREFLECT -> 127.0.0.1 port 19005
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = imaps tag PFREFLECT -> 127.0.0.1 port 19005
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = pop3s -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = pop3s -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = pop3s tag PFREFLECT -> 127.0.0.1 port 19006
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = pop3s tag PFREFLECT -> 127.0.0.1 port 19006
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = pop3s tag PFREFLECT -> 127.0.0.1 port 19006
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = pop3s tag PFREFLECT -> 127.0.0.1 port 19006
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = pop3s tag PFREFLECT -> 127.0.0.1 port 19006
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = pop3s tag PFREFLECT -> 127.0.0.1 port 19006
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = smtps -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = smtps -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = smtps tag PFREFLECT -> 127.0.0.1 port 19007
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = smtps tag PFREFLECT -> 127.0.0.1 port 19007
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = smtps tag PFREFLECT -> 127.0.0.1 port 19007
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = smtps tag PFREFLECT -> 127.0.0.1 port 19007
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = smtps tag PFREFLECT -> 127.0.0.1 port 19007
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = smtps tag PFREFLECT -> 127.0.0.1 port 19007
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = https -> XXX.YYY.10.10
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = https -> XXX.YYY.10.10
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = https tag PFREFLECT -> 127.0.0.1 port 19008
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = https tag PFREFLECT -> 127.0.0.1 port 19008
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = https tag PFREFLECT -> 127.0.0.1 port 19008
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = https tag PFREFLECT -> 127.0.0.1 port 19008
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = https tag PFREFLECT -> 127.0.0.1 port 19008
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = https tag PFREFLECT -> 127.0.0.1 port 19008
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = 3389 -> XXX.YYY.2.11
rdr on alc0_vlan38 inet proto udp from any to AAA.BBB.CCC.DDD port = 3389 -> XXX.YYY.2.11
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = 3389 tag PFREFLECT -> 127.0.0.1 port 19009
rdr on re0 inet proto udp from any to AAA.BBB.CCC.DDD port = 3389 tag PFREFLECT -> 127.0.0.1 port 19009
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = 3389 tag PFREFLECT -> 127.0.0.1 port 19009
rdr on re1 inet proto udp from any to AAA.BBB.CCC.DDD port = 3389 tag PFREFLECT -> 127.0.0.1 port 19009
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = 3389 tag PFREFLECT -> 127.0.0.1 port 19009
rdr on openvpn inet proto udp from any to AAA.BBB.CCC.DDD port = 3389 tag PFREFLECT -> 127.0.0.1 port 19009
rdr on alc0_vlan38 inet proto tcp from any to AAA.BBB.CCC.DDD port = http -> XXX.YYY.0.241
rdr on re0 inet proto tcp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19010
rdr on re1 inet proto tcp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19010
rdr on openvpn inet proto tcp from any to AAA.BBB.CCC.DDD port = http tag PFREFLECT -> 127.0.0.1 port 19010
rdr-anchor "miniupnpd" all

Esto es lo que me sale al poner la consulta indicada.

Moderador
Cambié tu IP pública por AAA.BBB.CCC.DDD. Y tus rangos privados por XXX.YYY Hay que procurar no postear datos "sensibles"

bellera

Estás usando NAT Reflection. Pienso que deberías deshabilitarlo y emplear DNS Split.

https://forum.pfsense.org/index.php?topic=25326.msg131662#msg131662

En Documentación tenemos:

Ver (con el mismo nombre) servidores publicados en Internet
System - Advanced - Firewall/NAT - Disable NAT Reflection (no si se superan 500 puertos o se usa NAT 1:1)
Services - DNS Forwarder - Host Overrides (método recomendado, split DNS)
https://forum.pfsense.org/index.php/topic,43113.msg223228.html#msg223228
https://forum.pfsense.org/index.php/topic,33289.msg173400.html#msg173400

Siempre uso DNS Split… Me parece mucho más claro y coherente. Podría ser este tu problema.

bellera

Quita también UDP de todos los NAT que tienes hechos. http, pop3, pop3s, smtp, rdp, imap, imaps… van siempre por TCP. Permitir UDP no tiene sentido y es menos confiable.

El único servicio de los que veo que va siempre por UDP es el puerto 53 (DNS), domain.

bellera

@bellera:

Tiene que haber algo como:

rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.0.0.1 port 3128

donde se ve que el tráfico http es redireccionado al proxy, excepto para el tráfico con destino em0 (mi LAN).

No veo nada en tus NAT semejante a esto. Aparece cuando squid está en modo transparente. Para cada interfase donde está actuando squid.

huaressa

http://aa.aa.aa.aa/crawler.php?type=i&advKeywords=adv&aid=57573&l=http://hhh.com.py/wordpress/&r= Request(marketingbritam/in-addr/-) marketing GET REDIRECT

este es el log que me sale poner en la url la direccion de mi subcarpeta… que significa

bellera

in-addr sirve en squidGuard para denegar (o permitir) URLs basadas en IP de destino:

http://www.squidguard.org/Doc/Examples/06.conf

GET REDIRECT al final indica que squidGuard deniega el acceso. Encontré un par de páginas donde se explica en castellano (ver al final de cada página) :

http://tuxjm.net/docs/Manual_de_Instalacion_de_Servidor_Proxy_Web_con_Ubuntu_Server_y_Squid/html-multiples/ch05s08.html

https://gist.github.com/VTacius/eea9e38f65adece88c76

huaressa

Buenas:
[sg_redirector_base_url] Select redirector base url (301:http://www.vvv.com.py) alguien me puede ayudar que quiere decir esto, aun sigo sin poder ver mi pagina web cuando el usuario esta por el squidguard

[sg_redirector_base_url] Select redirector base url (http://mail.vvv.com.py/&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u) esto que significa.?

huaressa

Sera que me pueden orientar no se como hacer ya probe de todo… :'(

acriollo

pregunta, si intentas accesar via la ip local del servidor , digamos http://192.168.0.3/wordpress funciona ?

de esta manera no pasas por el squidguard.

Si esto te funciona,

podrias crear un dns overwrite directo en el pfsense y evitar el squid para el acceso local

huaressa

No funciona ingresando de la forma que me pusiste de ejemplo a travez de la ip local., como se seria el dns overwrite, ya que lo he intentado pero no se si lo hago bien, me puedes indicar tomando como ejemplo la ip 192.168.0.3? evidentemente el squidguard es el inconveniente que no encuentra el index o algo asi, por que sin el squidguard ingresa sin problema, el dominio no esta pudiendo encontrar sin embargo poniendo la ip del equipo ingresa pero tarda demasiado y muestra sin formato solo letras.
Sds.

acriollo

Puedes alcanzar localmente el servicio ?

El overwrite seria.
www.xxxx.yy  192.168.0.3
En DNS overwrites

Si eso no funciona , tienes problemas en la lan

huaressa

Buenas Tardes,
Antes que nada quiero agradecer a todos los que me ayudaron a tratar de resolver este incoveniente, pero el dia de hoy lo pude resolver, despues de leer todos los foros manuales detecte mi error, era que en el dns forwarder estaba mal escrito el nombre de mi host en la cual esta alojado mi web, corregido el error ya pude vizualizar mi pagina en mi red interna.

gersonofstone

Felicidades ahora colocalo como solucionado

Saludes

acriollo

;D

huaressa

como se coloca solucionado en que parte tengo la opcion

rocaembole

edita el primer thread del post.

huaressa

Solucionado