Proxy trasparente con limiter e traffico HTTP
-
Salve a tutti,
sto sperimentando un problema con il proxy trasparente ed il limiter. Si tratta di un pfSense 2.2 1WAN+1LAN con squid3. In LAN ci sono degli IP definiti in un alias che non dovrebbero superare 1 Mbit e che dovrebbero passare per il proxy trasparente.
Se abilito SOLO il proxy trasparente il traffico sulla 80 viene filtrato correttamente.
Se abilito SOLO il limiter (in/out) sulla LAN il traffico viene limitato correttamente.Se li abilito entrambi il limiter funziona per tutte le porte tranne la 80, nel senso che il traffico sulla porta 80 non passa proprio, non arriva a squid (che non logga nulla) ma il traffico HTTPS ad esempio passa e viene limitato come le altre porte. Le ho provate un po' tutte sempre più o meno con lo stesso risultato, anche con un pfSense di test appena installato.
Sapreste dirmi se c'è bisogno di qualche regola particolare o aiutarmi a capire cosa accade alla porta 80 quando li attivo entrambi?
grazie in anticipo!
-
Ciao,
non ho mai provato ma credo che il problema stia nel fatto che entrambi i servizi cerchino di gestire i pacchetti in entrata sull'interfaccia LAN.Se non ricordo male, in presenza di un proxy, non è necessario applicare una regola sulla lan che permetta il traffico verso any porta 80 perchè questo lo fa implicitamente il proxy. Tu hai una regola simile? Immagino di si altrimenti non avresti modo di applicare il limiter.
Io ti consiglierei di dare un occhiata a quest'articolo http://www.communig8.com/articles/64-open-source/137-pfsense-multi-wan-how-to-really-make-it-work
Apparentemente non centra nulla ma spiega alcuni meccanismi di squid che ti permettono di capire meglio come agisce e di conseguenza sapere come gestire roules e interfacce per far funzionare tutto.Ciao fabio
-
Ciao e grazie per la risposta e per il link che ha un sacco di informazioni utili!
Se non ricordo male, in presenza di un proxy, non è necessario applicare una regola sulla lan che permetta il traffico verso any porta 80 perchè questo lo fa implicitamente il proxy. Tu hai una regola simile? Immagino di si altrimenti non avresti modo di applicare il limiter.
Si, ho una regola con il limiter ma è generica, cioè "ipv4 proto any source gruppo_ip". Potrebbe essere li l'inghippo allora, posso fare una regola per il limiter UDP ed un'altra per il limiter TCP ! 80… ma il traffico sulla 80 girerebbe per squid e non verrebbe limitato, credo.
proverò tra poco, intanto grazie! ;)
-
Salve a tutti,
sto sperimentando un problema con il proxy trasparente ed il limiter. Si tratta di un pfSense 2.2 1WAN+1LAN con squid3. In LAN ci sono degli IP definiti in un alias che non dovrebbero superare 1 Mbit e che dovrebbero passare per il proxy trasparente.
Se abilito SOLO il proxy trasparente il traffico sulla 80 viene filtrato correttamente.
Se abilito SOLO il limiter (in/out) sulla LAN il traffico viene limitato correttamente.Se li abilito entrambi il limiter funziona per tutte le porte tranne la 80, nel senso che il traffico sulla porta 80 non passa proprio, non arriva a squid (che non logga nulla) ma il traffico HTTPS ad esempio passa e viene limitato come le altre porte. Le ho provate un po' tutte sempre più o meno con lo stesso risultato, anche con un pfSense di test appena installato.
Sapreste dirmi se c'è bisogno di qualche regola particolare o aiutarmi a capire cosa accade alla porta 80 quando li attivo entrambi?
grazie in anticipo!
Squid intercetta le connessioni verso la porta 80 quindi devi riferirti alla porta che usa effettivamente squid, la 80 non passera' mai per il limiter (la https si perche' non hai abilitato il men-in-the-middle)
-
Salve a tutti,
sto sperimentando un problema con il proxy trasparente ed il limiter. Si tratta di un pfSense 2.2 1WAN+1LAN con squid3. In LAN ci sono degli IP definiti in un alias che non dovrebbero superare 1 Mbit e che dovrebbero passare per il proxy trasparente.
Se abilito SOLO il proxy trasparente il traffico sulla 80 viene filtrato correttamente.
Se abilito SOLO il limiter (in/out) sulla LAN il traffico viene limitato correttamente.Se li abilito entrambi il limiter funziona ma non navigo sui siti http…per fare funzionare il tutto devo andare ad impostare il proxy manualmente nelle impostazioni del browser come mai?....soluzioni?
grazie in anticipo!