Непонятная дыра в pfsense. Трафик в обход правил.

deem73

Сеть MultiWan. Один Wan дефолтный, другой - резервный.
Потребовалось некоторые машинки пустить принудительно через резервный WAN.
В принципе это сделано,
https://forum.pfsense.org/index.php?topic=103854.0
результатом доволен, но есть маленькое но.

На виртуальной машине крутится специфичный браузер(на движке mozilla),  так вот он, всё равно лезет через дефолтный WAN. Он постоянно показывает внешний IP. Так вот, он как показывал, старый IP от дефолтного провайдера, так и сейчас показывает. Прямо чудеса какие-то.
Причем, если в обычном браузере(старая опера) заглянуть на 2ip.ru, то провайдер  резервный. И если из командой строки потрейсить - тоже провайдер правильный - резервный. И ipconfig /all указывает только на шлюз pfsense.

Этот хитросделанный браузер перегружал, и виртуальную машинку перегружал - нифига, всё равно каким-то образом показывается ip основного провайдера. Браузеру скинул настройки на дефолтные - потерев конфигурационные файлы!

Такое впечатление, что pfsense делает для этой вирт. машинки какую-то лазейку.
Где ещё порыть?

PbIXTOP

А случайно Squid в режиме прозрачного прокси не используется?

werter

2 deem73

Скрины всего, что настраивали покажите.

deem73

@PbIXTOP:

А случайно Squid в режиме прозрачного прокси не используется?

В режиме прозрачного. А что?

smils

на виртуальной машине выполнить

ipconfig /all
iproute print

результат сюда

PbIXTOP

@deem73:

@PbIXTOP:

А случайно Squid в режиме прозрачного прокси не используется?

В режиме прозрачного. А что?

В режиме прозрачного прокси все пакеты идущие на 80 порт передаются squid, и правила на интерфейсах уже не проверяются. А сервисы работающие внутри pfSense всегда используют маршрут по умолчанию.
Документация описывает данную проблему https://doc.pfsense.org/index.php/Multi-WAN#Local_Services
На форуме пытаются её решить, например https://forum.pfsense.org/index.php/topic,38882.0.html
Следует искать по ключевой фразе "pfSense squid multiwan"

deem73

@smils:

на виртуальной машине выполнить

ipconfig /all
iproute print

результат сюда

iproute - команда не найдена

deem73

@PbIXTOP:

В режиме прозрачного прокси все пакеты идущие на 80 порт передаются squid, и правила на интерфейсах уже не проверяются. А сервисы работающие внутри pfSense всегда используют маршрут по умолчанию.
Документация описывает данную проблему https://doc.pfsense.org/index.php/Multi-WAN#Local_Services
На форуме пытаются её решить, например https://forum.pfsense.org/index.php/topic,38882.0.html
Следует искать по ключевой фразе "pfSense squid multiwan"

Долго думал. Весьма похоже.
А как проверить, чтобы убедится, что это оно именно и есть. :)

smils

iproute - команда не найдена

пардон, не отсюда.
надо так :

route print

PbIXTOP

@deem73:

Долго думал. Весьма похоже.
А как проверить, чтобы убедится, что это оно именно и есть. :)

Для проверки можно просто добавить IP, проверяемого компьютера, в параметр "Bypass proxy for these source IPs" настроек проки

deem73

@smils:

iproute - команда не найдена

пардон, не отсюда.
надо так :

route print

Вот оно

deem73

@PbIXTOP:

@deem73:

Долго думал. Весьма похоже.
А как проверить, чтобы убедится, что это оно именно и есть. :)

Для проверки можно просто добавить IP, проверяемого компьютера, в параметр "Bypass proxy for these source IPs" настроек проки

Прописал и помогло!!!
Теперь этот специфичный браузер идёт в обход прокси, через нужный шлюз.

Services - > Proxy server: General settings -> Bypass proxy for these source IPs