Resolvido Squid liberando apenas https
-
O tcpdump não está normal. Tem um monte de tentativa de conexão e um reject no final.
-
O tcpdump não está normal. Tem um monte de tentativa de conexão e um reject no final.
Realmente… qual seria um possivel erro?
-
Opa, bom dia. Acho que encontrei uma possivel causa, mas gostaria de uma ajuda da comunidade.
Fiz uma instalação em nossa DMZ, diretamente de "cara pra internet" e funcionou 100%, então me passaram que esse pfsense que esta dando o erro na verdade esta saindo por um outro pfsense "Pai". Minha duvida. Sera que o porta 80 esta dando bloqueio por causa que o Pfsense (Pai) ja esta utilizando tal porta?
-
Mostra o dump para quem administra o pfSense da borda.
-
Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.
-
Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.
Coloca o ip do seu pfSense na mesma regra/alias que esses debians
-
Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.
Coloca o ip do seu pfSense na mesma regra/alias que esses debians
Já está, já tentei ate apontar o pfsense com problemas saindo por um servidor squid Debian e o mesmo erro ocorre. Já não sei mais o que fazer.
-
Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.
Coloca o ip do seu pfSense na mesma regra/alias que esses debians
Já está, já tentei ate apontar o pfsense com problemas saindo por um servidor squid Debian e o mesmo erro ocorre. Já não sei mais o que fazer.
Se o Debian não for Gateway, vai dar o mesmo problema.
O tcpdump mostra claramente que o pacote sai do proxy para o firewall e como a 443 conecta, seu problema é claramente regra no fw da ponta.
Repete os tcpdumps ouvindo na lan e na wan, cada um em uma console pra você ver em tempo real o tráfego.
-
Desculpa se estiver falando besteira, mas fiz alguns teste.
Fui na opcao de Proxy suporte e configurei o IP de um proxy que temos na rede 10.78.4.98
Entao acessei o proxy 10.78.4.98 e fiquei verificando o log do squid filtrando o ip do pfsense que tem apenas uma interface ip 10.78.4.189
Ex: tail -f /var/log/squid/access.log | grep 10.78.4.189
E nao aparece nada.
Entao acessei o pfsense via terminal e dei um tail -f no access.log do squid e a saida nao esta apontando para o 10.78.4.98 e sim diretamente para os ip dos sites acessados.So aparece no log do squid 10.78.4.98 os dados acessados pelo proprio pfsense, exemplo quando ele baixa algum complemento.
Ai ficou a pergunta, porque ele nao esta roteando?
![Captura de tela de 2017-07-01 17-14-29.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-29.png)
![Captura de tela de 2017-07-01 17-14-29.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-29.png_thumb)
![Captura de tela de 2017-07-01 17-13-38.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-13-38.png)
![Captura de tela de 2017-07-01 17-13-38.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-13-38.png_thumb)
![Captura de tela de 2017-07-01 17-14-09.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-09.png)
![Captura de tela de 2017-07-01 17-14-09.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-09.png_thumb)
![Captura de tela de 2017-07-01 17-15-28.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-15-28.png)
![Captura de tela de 2017-07-01 17-15-28.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-15-28.png_thumb) -
Continuando… no squid do pfsense nao tem a opcao de cache_peer? Seria possivel inserir manualmente essa regra na conf do squid do pfsense?
-
Muito obrigado a todos. Foi resolvido, acontece que não sei porque o remote cache estava vazio. E esse pfsense deveria apontar para "parent".
-
Ai ficou a pergunta, porque ele nao esta roteando?
Essa configuração que fez se não me engano é só para buscar atualizações, etc via proxy. tenho quase certeza que ela não interage com o squid.
Continuando… no squid do pfsense nao tem a opcao de cache_peer? Seria possivel inserir manualmente essa regra na conf do squid do pfsense?
tem sim. Aba remote cache
-
Continuando… no squid do pfsense nao tem a opcao de cache_peer? Seria possivel inserir manualmente essa regra na conf do squid do pfsense?
Você pode colocar a definição de cache_peer no campo custom_optoins before auth