Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Proxy trasparente con limiter e traffico HTTP

    Scheduled Pinned Locked Moved Italiano
    5 Posts 4 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pandafunk
      last edited by

      Salve a tutti,

      sto sperimentando un problema con il proxy trasparente ed il limiter. Si tratta di un pfSense 2.2 1WAN+1LAN con squid3. In LAN ci sono degli IP definiti in un alias che non dovrebbero superare 1 Mbit e che dovrebbero passare per il proxy trasparente.

      Se abilito SOLO il proxy trasparente il traffico sulla 80 viene filtrato correttamente.
      Se abilito SOLO il limiter (in/out) sulla LAN il traffico viene limitato correttamente.

      Se li abilito entrambi il limiter funziona per tutte le porte tranne la 80, nel senso che il traffico sulla porta 80 non passa proprio, non arriva a squid (che non logga nulla) ma il traffico HTTPS ad esempio passa e viene limitato come le altre porte. Le ho provate un po' tutte sempre più o meno con lo stesso risultato, anche con un pfSense di test appena installato.

      Sapreste dirmi se c'è bisogno di qualche regola particolare o aiutarmi a capire cosa accade alla porta 80 quando li attivo entrambi?

      grazie in anticipo!

      1 Reply Last reply Reply Quote 0
      • fabio.viganoF
        fabio.vigano
        last edited by

        Ciao,
        non ho mai provato ma credo che il problema stia nel fatto che entrambi i servizi cerchino di gestire i pacchetti in entrata sull'interfaccia LAN.

        Se non ricordo male, in presenza di un proxy, non è necessario applicare una regola sulla lan che permetta il traffico verso any porta 80 perchè questo lo fa implicitamente il proxy. Tu hai una regola simile? Immagino di si altrimenti non avresti modo di applicare il limiter.

        Io ti consiglierei di dare un occhiata a quest'articolo http://www.communig8.com/articles/64-open-source/137-pfsense-multi-wan-how-to-really-make-it-work
        Apparentemente non centra nulla ma spiega alcuni meccanismi di squid che ti permettono di capire meglio come agisce e di conseguenza sapere come gestire roules e interfacce per far funzionare tutto.

        Ciao fabio

        ===============================
        pfSenseItaly.com
        La risorsa italiana per pfSense

        Se il post o la risposta ti sono stati utili clicca su 👍

        1 Reply Last reply Reply Quote 0
        • P
          pandafunk
          last edited by

          Ciao e grazie per la risposta e per il link che ha un sacco di informazioni utili!

          @fabio.vigano:

          Se non ricordo male, in presenza di un proxy, non è necessario applicare una regola sulla lan che permetta il traffico verso any porta 80 perchè questo lo fa implicitamente il proxy. Tu hai una regola simile? Immagino di si altrimenti non avresti modo di applicare il limiter.

          Si, ho una regola con il limiter ma è generica, cioè "ipv4 proto any source gruppo_ip". Potrebbe essere li l'inghippo allora, posso fare una regola per il limiter UDP ed un'altra per il limiter TCP ! 80… ma il traffico sulla 80 girerebbe per squid e non verrebbe limitato, credo.

          proverò tra poco, intanto grazie!  ;)

          1 Reply Last reply Reply Quote 0
          • E
            epimeteo
            last edited by

            @pandafunk:

            Salve a tutti,

            sto sperimentando un problema con il proxy trasparente ed il limiter. Si tratta di un pfSense 2.2 1WAN+1LAN con squid3. In LAN ci sono degli IP definiti in un alias che non dovrebbero superare 1 Mbit e che dovrebbero passare per il proxy trasparente.

            Se abilito SOLO il proxy trasparente il traffico sulla 80 viene filtrato correttamente.
            Se abilito SOLO il limiter (in/out) sulla LAN il traffico viene limitato correttamente.

            Se li abilito entrambi il limiter funziona per tutte le porte tranne la 80, nel senso che il traffico sulla porta 80 non passa proprio, non arriva a squid (che non logga nulla) ma il traffico HTTPS ad esempio passa e viene limitato come le altre porte. Le ho provate un po' tutte sempre più o meno con lo stesso risultato, anche con un pfSense di test appena installato.

            Sapreste dirmi se c'è bisogno di qualche regola particolare o aiutarmi a capire cosa accade alla porta 80 quando li attivo entrambi?

            grazie in anticipo!

            Squid intercetta le connessioni verso la porta 80 quindi devi riferirti alla porta che usa effettivamente squid, la 80 non passera' mai per il limiter (la https si perche' non hai abilitato il men-in-the-middle)

            PfSense 2.2 64bit - AtomD2550 4GB w/ 4 NIC IntelPRO1000

            1 Reply Last reply Reply Quote 0
            • K
              keletk
              last edited by

              Salve a tutti,

              sto sperimentando un problema con il proxy trasparente ed il limiter. Si tratta di un pfSense 2.2 1WAN+1LAN con squid3. In LAN ci sono degli IP definiti in un alias che non dovrebbero superare 1 Mbit e che dovrebbero passare per il proxy trasparente.

              Se abilito SOLO il proxy trasparente il traffico sulla 80 viene filtrato correttamente.
              Se abilito SOLO il limiter (in/out) sulla LAN il traffico viene limitato correttamente.

              Se li abilito entrambi il limiter funziona ma non navigo sui siti http…per fare funzionare il tutto devo andare ad impostare il proxy manualmente nelle impostazioni del browser come mai?....soluzioni?

              grazie in anticipo!

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.