Proxy server kurulumu nasıl olmalı
-
Merhabalar,
Şirkette iki tane pfsense kurdum. Bunlardan birini proxy server olarak yapılandırmak işitiyorum. Mevcut yapı şu şekildedir.
1. Pfsense Firewall görevi görüyor aynı zamanda üzerinde 3 tane adsl hat mevcut bunlar ile loadbalancing yapıyorum. dhcp server bunun üzerinde. Bu sunucunun ip si. 10.60.0.1 dir.
2. bir pfsense kurdum bunun ip'sini 10.60.0.9larak atadım. Amacım şirket içierisinde ki kullanıcıların intertene çıkarken proxy server üzerinden çıkmaları. 10.60.0.9 üzerinden 3128 nolu port ile 2.kurduğum pfsense ye gelip buradan 10.60.0.1 olan ana pfsense üzerinden çıkmaları. Mevcutta bir nolu pfsense üzerinden çıkıyorlar. 10.60.0.1 3128 olarak.
Aşağıda görülen resimler iki nolu pfsenseye ait.
Dashboard ekranı aşağıda ki gibidir burada yanlış yapılan bir şey var mı acaba?
squid ve squidguard paketiini kurdum servisler çalışıyor blacklisti de indirdim ama common acl de ki targetlar gelmedi. Bir kaç kere paketleri kaldırıp kurdum düzelmedi. Neden olabilir acaba.
http://www.shallalist.de/Downloads/shallalist.tar.gz black liste yükledim.
ikinci pfsensenin system genel ayarları bu şekilde mi olmalı.
yüklü paketlerim aşağıda ki gibidir.
-
Selam,
Resimleri göremedim anlattıklarından anladığım kadarıyla;
Dhcp server üzerinde (resimleri göremeden söylediklerinden yola çıkarak) gateway/varsayılan ağ geçidi adresi 10.60.0.1 (bütün trafiğin 10.60.0.1e gittiğini varsayarak) olarak tanımlamışsın.
Bu durumda;
Eğer ki sen proxy (internet ve diğer uygulamalar) hariç bütün trafiğini 1 nolu fw üzerinden çıkartmak istiyorsan 1 nolu sunucu üzerinde proxy, squidguard gibi servisleri kurmamalısın. Fw rules tarafında da örneğin mail trafiğini 1 nolu sunucudan yapacaksan Firewall > Rules > Lan sekmesinde izin vermek istediğin portları/uygulamaları belirtmen gerekli.İntenet trafiğinin ikinci fw üzerinden çıkması için ortamda AD varsa GPO ile merkezden yapabilirsin yoksa da bütün bilgisayarları elle proxy bilgilerini girmelisin,
Ayrıca neden ikisini bir arada yapılandırmıyorsun ne gibi esktra uygulamaların var da böyle bir şeye ihtiyaç duydun?
SGTR
-
Hocam merhabalar,
Resimleri yüklemiştim ama kaldırılmış muhtemelen hızlıyükle sitesinden kaynaklı bir sorun sanırım. 10.60.0.1 ip li Ana pfsense üzerinde hocam aşağıda görülen paketler yüklüdür.
Aynı zamanda bu pf üzerinde dhcp sunucu, openvpn,proxyfilter, firewall mevcut.
Bu pfsense ye bağlı iki tane interface var. Bunlardan biri wan1 5/5Mbps metroethernet diğer ise TTNET 8/1 adsl hat. Şİrket içerisindeki personellerin bilgisayarlarına elle proxy tanımladım. 10.60.0.1:3128 şeklinde. Bu kullanıcılar internete çıkabiliyorlar, proxyfilterdan etkileniyorlar buraya kadar herşey iyi.
Kullanıcılar internete çıkarken wan1 üzerinden çıkıyorlar ben wan1 üzerinden değilde wan1 ve ttnet üzerinden çıkmalarını istiyorum bir nevi multiwan gibi.
Aşağıda ki resimde görüldüğü gibi multiwan kuralını oluşturdum.firewall lan rule tarafında ise aşağıda ki kuralı uyguladım.
proxyde olan kullanıcıların internete çıkarken ipbuldan aldığı ip ye baktığım zaman herzaman wan1 ip'sini aldığını görüyorum. refresh yaptığımda ise sonuç değişmiyor. Bazı kullanıcıları proxyden çıkarıyorum. ozamanda TTNET ten internete çıkyorlar. proxyde olanlar wan1 den olmayanlar ise TTNET internete çıkıyor.
Bunun dışında wan1 de bir sorun olduğu zaman TTNET bacağı çalışmıyor kullanıcılar internete TTNET ten çıkmaları gerekirken çıkamıyorlar.
Bu konu ile ilgili şu tavsiyeyi aldım. Multiwan kuralının sağlıklı çalışabilmesi için ayrı bir pfsense kurup ana pfsense üzerinde bulunan proxyi ikinci pfsenseye taşımam gerektiğini söyledi Bu şekilde daha kolay loadbalancing yapabilirmişim. ikinci pfsenseyi de kurdum ama sonuç değişmedi. Nerede hata yapıyorum anlamadım.
çok teşekkür ederim. -
-
Merhabalar ;
Aslına bakarsanız biraz mantık hatası var şöyleki.
multi wan yapıyorsunuz ama wan1 hattınız paket kaybı ugrarsa diğer hattınız devreye girer.
eğerki belli grupların wan1den diğer grupların ise örnek veriyorum wan2 den çıkmasınız istiyorsanız ozaman lan grubunuzu bölünve default GWlerini ona göre belirleyin. ozaman daha rahat edersiniz ve aynı ağ içinde olursunuz.