Resolvido Squid liberando apenas https
-
Mostra o dump para quem administra o pfSense da borda.
-
Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.
-
Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.
Coloca o ip do seu pfSense na mesma regra/alias que esses debians
-
Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.
Coloca o ip do seu pfSense na mesma regra/alias que esses debians
Já está, já tentei ate apontar o pfsense com problemas saindo por um servidor squid Debian e o mesmo erro ocorre. Já não sei mais o que fazer.
-
Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.
Coloca o ip do seu pfSense na mesma regra/alias que esses debians
Já está, já tentei ate apontar o pfsense com problemas saindo por um servidor squid Debian e o mesmo erro ocorre. Já não sei mais o que fazer.
Se o Debian não for Gateway, vai dar o mesmo problema.
O tcpdump mostra claramente que o pacote sai do proxy para o firewall e como a 443 conecta, seu problema é claramente regra no fw da ponta.
Repete os tcpdumps ouvindo na lan e na wan, cada um em uma console pra você ver em tempo real o tráfego.
-
Desculpa se estiver falando besteira, mas fiz alguns teste.
Fui na opcao de Proxy suporte e configurei o IP de um proxy que temos na rede 10.78.4.98
Entao acessei o proxy 10.78.4.98 e fiquei verificando o log do squid filtrando o ip do pfsense que tem apenas uma interface ip 10.78.4.189
Ex: tail -f /var/log/squid/access.log | grep 10.78.4.189
E nao aparece nada.
Entao acessei o pfsense via terminal e dei um tail -f no access.log do squid e a saida nao esta apontando para o 10.78.4.98 e sim diretamente para os ip dos sites acessados.So aparece no log do squid 10.78.4.98 os dados acessados pelo proprio pfsense, exemplo quando ele baixa algum complemento.
Ai ficou a pergunta, porque ele nao esta roteando?
![Captura de tela de 2017-07-01 17-14-29.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-29.png)
![Captura de tela de 2017-07-01 17-14-29.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-29.png_thumb)
![Captura de tela de 2017-07-01 17-13-38.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-13-38.png)
![Captura de tela de 2017-07-01 17-13-38.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-13-38.png_thumb)
![Captura de tela de 2017-07-01 17-14-09.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-09.png)
![Captura de tela de 2017-07-01 17-14-09.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-09.png_thumb)
![Captura de tela de 2017-07-01 17-15-28.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-15-28.png)
![Captura de tela de 2017-07-01 17-15-28.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-15-28.png_thumb) -
Continuando… no squid do pfsense nao tem a opcao de cache_peer? Seria possivel inserir manualmente essa regra na conf do squid do pfsense?
-
Muito obrigado a todos. Foi resolvido, acontece que não sei porque o remote cache estava vazio. E esse pfsense deveria apontar para "parent".
-
Ai ficou a pergunta, porque ele nao esta roteando?
Essa configuração que fez se não me engano é só para buscar atualizações, etc via proxy. tenho quase certeza que ela não interage com o squid.
Continuando… no squid do pfsense nao tem a opcao de cache_peer? Seria possivel inserir manualmente essa regra na conf do squid do pfsense?
tem sim. Aba remote cache
-
Continuando… no squid do pfsense nao tem a opcao de cache_peer? Seria possivel inserir manualmente essa regra na conf do squid do pfsense?
Você pode colocar a definição de cache_peer no campo custom_optoins before auth