Configurar acceso a Internet a través de IP secundaria via Squid?



  • Hola Comunidad, buenas tardes.

    mi cliente me ha solicitado algo que la verdad no he logrado dar con la solucion

    Actualmente mi cliente tiene multiples subredes en su organización, una en particular desea que salga por una direccion IP diferente, esto debido a que dichos portales requieren que el origen de la conexion sea a traves de una IP previamente especificada, logre solucionar parcialmente a traves de NAT outbound y Virtual IPs sin embargo esto obliga a que tengan que navegar directamente, ya que desde squid siempre va a navegar por la IP por defecto de la WAN y no logro encontrar la forma de separar dicha subred para que navegue por dicha Ip virtual.

    alguno conoce algun procedmiento o me puede dar una pista de como podria configurar el squid para que dicha subred salga hacia internet a traves de una IP diferente.

    Agradezco mucho de antemano cualquier ayuda o sugerencia.

    Saludos Cordiales.



  • A ver…

    ¿En esa subred tienen que emplear o no el proxy?

    Porque si no tienen que emplearlo basta con deshabilitar el uso de squid sólo en esa subred.



  • Buenas Tardes

    Muchas gracias por tu ayuda.

    si, debo usarl el proxy, debido a que a esa subred necesito realizarle filtrado de contenido para pornografia y demas.

    en este momento esta como indicas, estan navegando sin proxy, pero esto hace de que no pueda filtrarles los accesos a sitios no permitodos.

    tu sabes de que forma puedo hacer esto con proxy activo?

    Gracias
    Saludos Cordiales



  • Si añades squidGuard a tu squid puedes hacer grupos por IPs de origen y aplicar las categorías de filtros que desees a cada grupo.



  • Hola bellera

    Muchsimas gracias por tu aporte.

    esta opcion tambien la probe y funciona correctamente, el problema es que funcionaria para todas las subredes de mi cliente.

    lo que se desea es que solo dicha subred pueda acceder desde esa IP en WAN, esto es por un requerimiento del departamento de seguridad informatica, ya que desde esa subred se realizan transacciones de dinero, y solo esa IP WAN es la autorizada para ello y solo deben usarla dicha subred LAN, si lo hago como me aconsejas, todas las subredes podrian acceder a esos destinos con dicha IP y se perderia la garantia que solo ese grupo de trabajadores ingresen a estos sitios.

    De nuevo agradezco muchisimo la guia que me han brindado, por ahora la mas viable que tengo es dejandolos sin proxy. estoy pensando como solucion alternativa un segundo PfSense solo para esta subred, pero esto obligaria a tener que pasar todo el trafico por este PfSense para las demas subredes LAN de mi cliente. (no me quiero imaginar el monton de reglas q tendria q crear).

    Saludos Cordiales

    Saludos Cordiales



  • Hola

    Una manera que se me ocurre, es deshabilitar el proxy para la subred, y efectuar el filtrado de contenido (lo que hace squidGuard) con pfBlockerNG (sé por el desarrollador BBcan177 que va a poner en próximos lanzamientos bloquear CATEGORIAS, porno, publicidas, etc,). Pero mientras tanto podrias usar un script mio para importar las categorias de shallalist a pfBlockerNG (Debes habilitar y configurar DNSBL en pfBlockerNG)

    shallalist2pfBlockerNG.php – script para importar categorias shallalist a pfBlockerNG
    http://www.javcasta.com/shallalist2pfblockerng-php-script-para-importar-categorias-shallalist-a-pfblockerng/

    Salu2



  • @cesargdmi:

    lo que se desea es que solo dicha subred pueda acceder desde esa IP en WAN, esto es por un requerimiento del departamento de seguridad informatica, ya que desde esa subred se realizan transacciones de dinero, y solo esa IP WAN es la autorizada para ello y solo deben usarla dicha subred LAN, si lo hago como me aconsejas, todas las subredes podrian acceder a esos destinos con dicha IP y se perderia la garantia que solo ese grupo de trabajadores ingresen a estos sitios.

    Si el proxy no está en modo transparente un fichero proxy.pac en los navegadores puede decir que para un destino en concreto no se emplee el proxy, se vaya directo.

    Pero lo que no termino de entender es si tienes más de una WAN o no. Por lo que dices, parece que sí.

    Uf, ya veo. Hablas de una IP virtual i ajuste de NAT Outbound. El proxy.pac puede servir (si no estás en modo transparente).



  • Saludos maestro bellera es correcto esto ultimo indicado por usted…

    Yo al leer dicho post solo pense que la alternativa es asignacion de proxys distinto segun gestion o ubicacion bien sea WPA (Mas acertado, efectivo y rapido) o manual.

    En todo caso seria bueno el compañero analice si realmente es necesario realizar la gestion como la indica y que tanto estan dispuesto a invertir (tiempo, recursos) para hacer esto efectivo....

    Ya que solucion al caso hay y son varias dependiendo de lo ya mencionado