Непонятная дыра в pfsense. Трафик в обход правил.

werter

2 deem73

Скрины всего, что настраивали покажите.

deem73

@PbIXTOP:

А случайно Squid в режиме прозрачного прокси не используется?

В режиме прозрачного. А что?

smils

на виртуальной машине выполнить

ipconfig /all
iproute print

результат сюда

PbIXTOP

@deem73:

@PbIXTOP:

А случайно Squid в режиме прозрачного прокси не используется?

В режиме прозрачного. А что?

В режиме прозрачного прокси все пакеты идущие на 80 порт передаются squid, и правила на интерфейсах уже не проверяются. А сервисы работающие внутри pfSense всегда используют маршрут по умолчанию.
Документация описывает данную проблему https://doc.pfsense.org/index.php/Multi-WAN#Local_Services
На форуме пытаются её решить, например https://forum.pfsense.org/index.php/topic,38882.0.html
Следует искать по ключевой фразе "pfSense squid multiwan"

deem73

@smils:

на виртуальной машине выполнить

ipconfig /all
iproute print

результат сюда

iproute - команда не найдена

deem73

@PbIXTOP:

В режиме прозрачного прокси все пакеты идущие на 80 порт передаются squid, и правила на интерфейсах уже не проверяются. А сервисы работающие внутри pfSense всегда используют маршрут по умолчанию.
Документация описывает данную проблему https://doc.pfsense.org/index.php/Multi-WAN#Local_Services
На форуме пытаются её решить, например https://forum.pfsense.org/index.php/topic,38882.0.html
Следует искать по ключевой фразе "pfSense squid multiwan"

Долго думал. Весьма похоже.
А как проверить, чтобы убедится, что это оно именно и есть. :)

smils

iproute - команда не найдена

пардон, не отсюда.
надо так :

route print

PbIXTOP

@deem73:

Долго думал. Весьма похоже.
А как проверить, чтобы убедится, что это оно именно и есть. :)

Для проверки можно просто добавить IP, проверяемого компьютера, в параметр "Bypass proxy for these source IPs" настроек проки

deem73

@smils:

iproute - команда не найдена

пардон, не отсюда.
надо так :

route print

Вот оно

deem73

@PbIXTOP:

@deem73:

Долго думал. Весьма похоже.
А как проверить, чтобы убедится, что это оно именно и есть. :)

Для проверки можно просто добавить IP, проверяемого компьютера, в параметр "Bypass proxy for these source IPs" настроек проки

Прописал и помогло!!!
Теперь этот специфичный браузер идёт в обход прокси, через нужный шлюз.

Services - > Proxy server: General settings -> Bypass proxy for these source IPs