SquidGuard режет подсети с авторизацией мимо прокс&



  • Добрый день! Подскажите пожалуйста, видимо я что то упустил. На предприятии в качестве прокси работает pfSense. Соцсети фильтруются по средством правила в SquidGuard. Имеется пара админских учеток, которые внесены в группу манагеров и ей разрешен доступ во вне по всем портам без ограничений. Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит. Подскажите, пожалуйста, как им дать доступ к соцсетям без фильтрации сквидгвардом? Заранее благодарен.



  • Какая версия pfsense, прокси прозрачный или нет? Если прозрачный, добавьте ип пользователей в обход прокси, если конечно логи по ним не нужны. Скрины бы правил. Ип манагеров не записаны случаем в двух правилах одновременно?



  • @pavvap:

    Какая версия pfsense, прокси прозрачный или нет? Если прозрачный, добавьте ип пользователей в обход прокси, если конечно логи по ним не нужны. Скрины бы правил. Ип манагеров не записаны случаем в двух правилах одновременно?

    Версия 2.3.2-RELEASE-p1. Прокси не прозрачный, авторизация. Похоже, что проблема в диапазоне IP, указанных в Groups ACL свидгварда. Тобишь там имеется диапазон, для которго установлен запрет - IP-Range: 192.168.1.1-192.168.1.254, в который как раз входят 2 админских ip. Как мне правильно исправть эту проблему? Или как исключить определенные айпи из пула, указанного в сквидгварде?



  • Прописать диапазоны, исключая те два ип. Например 192.168.1.1-192.168.1.100 192.168.1.103-192.168.1.254



  • @pavvap:

    Прописать диапазоны, исключая те два ип. Например 192.168.1.1-192.168.1.100 192.168.1.103-192.168.1.254

    Благодарю. Попробую



  • Прописал  IP-Range: 192.168.1.1-192.168.1.76 192.168.1.78-192.168.1.176 192.168.1.178-192.168.1.254 (нужные айпи 192.168.1.77 и 192.168.1.177). Верно? По-прежнему фильтрует. Не заходит в соц сети с этих айпи. Если пул прописан верно, то что еще может препятствовать?



  • У вас только одно правило на запрет? Нужные ip не пересекаются в других правилах?



  • @pavvap:

    У вас только одно правило на запрет? Нужные ip не пересекаются в других правилах?

    В группах доступа в сквидгварде указаны диапазоны айпи (скрин). В каждом пуле указаны адреса по типу "users_0 IP-Range: 192.168.0.1-192.168.0.254" и т.д. Соответственно нужные айпи 1.77 и 1.177 попадают только в 1й пул, который редактировал выше. Больше, вроде, и негде им светиться.




  • @IStandAlone:

    Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит.

    Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси?
    За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера.



  • @PbIXTOP:

    @IStandAlone:

    Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит.

    Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси?
    За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера.

    Я, видимо, не совсем верно выразился. pfSense используется в качестве прокси и в инет лезут все через него, но этим 2м компам разрешен выход во вне по всем портам и настройки прокси в браузере у них не стоит. Остальные юзеры фильтруются фаерволом и соответственно в браузере у них выставлены настройки "прокси".



  • @IStandAlone:

    @PbIXTOP:

    @IStandAlone:

    Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит.

    Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси?
    За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера.

    Я, видимо, не совсем верно выразился. pfSense используется в качестве прокси и в инет лезут все через него, но этим 2м компам разрешен выход во вне по всем портам и настройки прокси в браузере у них не стоит. Остальные юзеры фильтруются фаерволом и соответственно в браузере у них выставлены настройки "прокси".

    Так если они ходят напрямую — зачем вы мучаете Squid?



  • @PbIXTOP:

    @IStandAlone:

    @PbIXTOP:

    @IStandAlone:

    Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит.

    Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси?
    За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера.

    Я, видимо, не совсем верно выразился. pfSense используется в качестве прокси и в инет лезут все через него, но этим 2м компам разрешен выход во вне по всем портам и настройки прокси в браузере у них не стоит. Остальные юзеры фильтруются фаерволом и соответственно в браузере у них выставлены настройки "прокси".

    Так если они ходят напрямую — зачем вы мучаете Squid?

    Потому что, если я ставлю на этих 2х компах авторизацию в браузере(тобишь работать через прокси), то тогда соц сети открываются без проблем, но в этом случае у них фильтруются порты. А напрямую без авторизации в браузере с открытыми портами, соц сети почему то не открываются.