Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Configurar acceso a Internet a través de IP secundaria via Squid?

    Español
    4
    8
    1217
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cesargdmi last edited by

      Hola Comunidad, buenas tardes.

      mi cliente me ha solicitado algo que la verdad no he logrado dar con la solucion

      Actualmente mi cliente tiene multiples subredes en su organización, una en particular desea que salga por una direccion IP diferente, esto debido a que dichos portales requieren que el origen de la conexion sea a traves de una IP previamente especificada, logre solucionar parcialmente a traves de NAT outbound y Virtual IPs sin embargo esto obliga a que tengan que navegar directamente, ya que desde squid siempre va a navegar por la IP por defecto de la WAN y no logro encontrar la forma de separar dicha subred para que navegue por dicha Ip virtual.

      alguno conoce algun procedmiento o me puede dar una pista de como podria configurar el squid para que dicha subred salga hacia internet a traves de una IP diferente.

      Agradezco mucho de antemano cualquier ayuda o sugerencia.

      Saludos Cordiales.

      1 Reply Last reply Reply Quote 0
      • bellera
        bellera last edited by

        A ver…

        ¿En esa subred tienen que emplear o no el proxy?

        Porque si no tienen que emplearlo basta con deshabilitar el uso de squid sólo en esa subred.

        1 Reply Last reply Reply Quote 0
        • C
          cesargdmi last edited by

          Buenas Tardes

          Muchas gracias por tu ayuda.

          si, debo usarl el proxy, debido a que a esa subred necesito realizarle filtrado de contenido para pornografia y demas.

          en este momento esta como indicas, estan navegando sin proxy, pero esto hace de que no pueda filtrarles los accesos a sitios no permitodos.

          tu sabes de que forma puedo hacer esto con proxy activo?

          Gracias
          Saludos Cordiales

          1 Reply Last reply Reply Quote 0
          • bellera
            bellera last edited by

            Si añades squidGuard a tu squid puedes hacer grupos por IPs de origen y aplicar las categorías de filtros que desees a cada grupo.

            1 Reply Last reply Reply Quote 0
            • C
              cesargdmi last edited by

              Hola bellera

              Muchsimas gracias por tu aporte.

              esta opcion tambien la probe y funciona correctamente, el problema es que funcionaria para todas las subredes de mi cliente.

              lo que se desea es que solo dicha subred pueda acceder desde esa IP en WAN, esto es por un requerimiento del departamento de seguridad informatica, ya que desde esa subred se realizan transacciones de dinero, y solo esa IP WAN es la autorizada para ello y solo deben usarla dicha subred LAN, si lo hago como me aconsejas, todas las subredes podrian acceder a esos destinos con dicha IP y se perderia la garantia que solo ese grupo de trabajadores ingresen a estos sitios.

              De nuevo agradezco muchisimo la guia que me han brindado, por ahora la mas viable que tengo es dejandolos sin proxy. estoy pensando como solucion alternativa un segundo PfSense solo para esta subred, pero esto obligaria a tener que pasar todo el trafico por este PfSense para las demas subredes LAN de mi cliente. (no me quiero imaginar el monton de reglas q tendria q crear).

              Saludos Cordiales

              Saludos Cordiales

              1 Reply Last reply Reply Quote 0
              • J
                javcasta last edited by

                Hola

                Una manera que se me ocurre, es deshabilitar el proxy para la subred, y efectuar el filtrado de contenido (lo que hace squidGuard) con pfBlockerNG (sé por el desarrollador BBcan177 que va a poner en próximos lanzamientos bloquear CATEGORIAS, porno, publicidas, etc,). Pero mientras tanto podrias usar un script mio para importar las categorias de shallalist a pfBlockerNG (Debes habilitar y configurar DNSBL en pfBlockerNG)

                shallalist2pfBlockerNG.php – script para importar categorias shallalist a pfBlockerNG
                http://www.javcasta.com/shallalist2pfblockerng-php-script-para-importar-categorias-shallalist-a-pfblockerng/

                Salu2

                Javier Castañón
                Técnico de comunicaciones, soporte y sistemas.

                Mi web: https://javcasta.com/

                Soporte scripting/pfSense https://javcasta.com/soporte/

                1 Reply Last reply Reply Quote 0
                • bellera
                  bellera last edited by

                  @cesargdmi:

                  lo que se desea es que solo dicha subred pueda acceder desde esa IP en WAN, esto es por un requerimiento del departamento de seguridad informatica, ya que desde esa subred se realizan transacciones de dinero, y solo esa IP WAN es la autorizada para ello y solo deben usarla dicha subred LAN, si lo hago como me aconsejas, todas las subredes podrian acceder a esos destinos con dicha IP y se perderia la garantia que solo ese grupo de trabajadores ingresen a estos sitios.

                  Si el proxy no está en modo transparente un fichero proxy.pac en los navegadores puede decir que para un destino en concreto no se emplee el proxy, se vaya directo.

                  Pero lo que no termino de entender es si tienes más de una WAN o no. Por lo que dices, parece que sí.

                  Uf, ya veo. Hablas de una IP virtual i ajuste de NAT Outbound. El proxy.pac puede servir (si no estás en modo transparente).

                  1 Reply Last reply Reply Quote 0
                  • A
                    amnarl last edited by

                    Saludos maestro bellera es correcto esto ultimo indicado por usted…

                    Yo al leer dicho post solo pense que la alternativa es asignacion de proxys distinto segun gestion o ubicacion bien sea WPA (Mas acertado, efectivo y rapido) o manual.

                    En todo caso seria bueno el compañero analice si realmente es necesario realizar la gestion como la indica y que tanto estan dispuesto a invertir (tiempo, recursos) para hacer esto efectivo....

                    Ya que solucion al caso hay y son varias dependiendo de lo ya mencionado

                    Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                    http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post