[Resolvido] Proxy Squid e NAT Outbound
-
@ivanildogalvao:
Olá Senhores, tem um pfSense e vários IP públicos da operadora, preciso que uma máquina saia sempre por um determinado IP publico, sei que crio uma VIP Proxy ARP com o IP publico que quero e depois um NAT Outbound com origem IPdaMáquina/32 traduzindo para o VIP, ok.
Só que o pfSense está com Squid + SquidGuard e com isso a máquina sai para a internet sempre com o IP do Proxy e não com o do NAT Outbound, claro que se tirar a máquina do Proxy, funciona, mas não quero fazer isso, por causa das políticas de Webfilter.
Como consigo resolver esta questão ?
Desde já, muito obrigado.
Se há uma regra de NAT Outbound, pode notar que tráfego diferente das portas 80 e 443, estão saindo corretamente pela regra.
Mas, o proxy joga tudo pro default gateway (navegação).
Para resolver, você precisa indicar no squid.conf que tal ip src deve sair pelo gateway Y. Esta configuração é feita em "Custom Options".
Procure pela TAG TCP_OUTGOING_ADDRESS do Squid. ;)
-
http://www.squid-cache.org/Doc/config/tcp_outgoing_address/
Aqui da uma idéia.
-
Certo. Mas no caso o Gateway é o mesmo, o que preciso é que a máquina se apresenta lá fora com o IP do VIP, que quando o usuário entrar no www.meuip.com.br por exemplo, não apareça o IP da WAN do pfSense, mas sim o do VIP que é outro IP publico do range.
Seria fazendo esta alteração mesmo no Squid.conf ?
Obrigado pelo apoio.
-
Se a regra de NAT Out estiver ativa, o tráfego já está passando pelo local desejado.
Porém, o tráfego passando pelo proxy, vai entregar no default gateway.
Acredito que, configurando a tag, com o ip do VIP, resolva o seu problema.
-
Boa tarde a todos do Forum! :D
Sou novo aqui mais pesquiso bastante…hehe
Ivanildo dê uma olhada nesse Link que vai resolver seus problemas...https://forum.pfsense.org/index.php?topic=52942.0
-
Bruno fiz esse senário do Ivanildo, porém não consegui exito! :-[
Como configura a tag, com o ip do VIP?
Como seria essa configuração? Pode dar mais detalhes
Posso por pra rede toda ou apenas pra alguns ips específicos? -
Basta adicionar as diretivas abaixo na custom options do squid. Observe que na ACL vc configura o ip da maquina que irá sair pelo IP VIP. Na segunda diretiva vc coloca o IP VIP configurado e o nome da acl (ip_maquina_local).
acl ip_maquina_local src 192.168.0.1/32 tcp_outgoing_address IP_VIP ip_maquina_local -
Pessoal, quero agradecer a todos os que se disporão a me ajudar, irei fazer os testes amanhã, pois me envolvi com várias outras atividades e acabei dando uma pausa neste assunto.
Postarei aqui o resultado em breve.
Abs a todos !
-
Eu não cheguei a testar com ip válido do VIP, mas tem esta tentativa também:
tcp_outgoing_address 127.0.0.1
E deixar o NAT_Outbound cuidar do resto.
-
Obrigado Kelsen e Brunok, mas nenhuma das opções deram certo. Continua saindo com o IP da Wan do Pfsense. Fiz outra configuração só que agora usando NAT 1:1, e Regras Wan; deu certo com sites http, ou seja na porta 80; só que, os sites https(443), continuam saindo com IP da Wan! :(
-
Olá amigos, consegui fazer essa configuração, mas de um modo diferente; não usando o NAT Outbound e sim o 1:1, VIP, regras na Wan e as diretivas citadas pelo nosso amigo Kelsen:
acl ip_maquina_local src 192.168.0.1/32
tcp_outgoing_address IP_VIP ip_maquina_localObrigado a todos que ajudaram!! ;) :D
-
Olá amigos do forum, sei que este tópico ja tá meio antigo, mas aproveitando as dicas postas nele, queria saber; e se eu quisesse colocar minha range de IPs inteira…tipo: 172.16....../24(Lan) para sair com a range de IPs 10.14....../24(Wan), IP Real? Como eu faria essa regra na ACL?