Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SquidGuard режет подсети с авторизацией мимо прокс&

    Scheduled Pinned Locked Moved Russian
    12 Posts 3 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      IStandAlone
      last edited by

      Добрый день! Подскажите пожалуйста, видимо я что то упустил. На предприятии в качестве прокси работает pfSense. Соцсети фильтруются по средством правила в SquidGuard. Имеется пара админских учеток, которые внесены в группу манагеров и ей разрешен доступ во вне по всем портам без ограничений. Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит. Подскажите, пожалуйста, как им дать доступ к соцсетям без фильтрации сквидгвардом? Заранее благодарен.

      1 Reply Last reply Reply Quote 0
      • P
        pavvap
        last edited by

        Какая версия pfsense, прокси прозрачный или нет? Если прозрачный, добавьте ип пользователей в обход прокси, если конечно логи по ним не нужны. Скрины бы правил. Ип манагеров не записаны случаем в двух правилах одновременно?

        1 Reply Last reply Reply Quote 0
        • I
          IStandAlone
          last edited by

          @pavvap:

          Какая версия pfsense, прокси прозрачный или нет? Если прозрачный, добавьте ип пользователей в обход прокси, если конечно логи по ним не нужны. Скрины бы правил. Ип манагеров не записаны случаем в двух правилах одновременно?

          Версия 2.3.2-RELEASE-p1. Прокси не прозрачный, авторизация. Похоже, что проблема в диапазоне IP, указанных в Groups ACL свидгварда. Тобишь там имеется диапазон, для которго установлен запрет - IP-Range: 192.168.1.1-192.168.1.254, в который как раз входят 2 админских ip. Как мне правильно исправть эту проблему? Или как исключить определенные айпи из пула, указанного в сквидгварде?

          1 Reply Last reply Reply Quote 0
          • P
            pavvap
            last edited by

            Прописать диапазоны, исключая те два ип. Например 192.168.1.1-192.168.1.100 192.168.1.103-192.168.1.254

            1 Reply Last reply Reply Quote 0
            • I
              IStandAlone
              last edited by

              @pavvap:

              Прописать диапазоны, исключая те два ип. Например 192.168.1.1-192.168.1.100 192.168.1.103-192.168.1.254

              Благодарю. Попробую

              1 Reply Last reply Reply Quote 0
              • I
                IStandAlone
                last edited by

                Прописал  IP-Range: 192.168.1.1-192.168.1.76 192.168.1.78-192.168.1.176 192.168.1.178-192.168.1.254 (нужные айпи 192.168.1.77 и 192.168.1.177). Верно? По-прежнему фильтрует. Не заходит в соц сети с этих айпи. Если пул прописан верно, то что еще может препятствовать?

                1 Reply Last reply Reply Quote 0
                • P
                  pavvap
                  last edited by

                  У вас только одно правило на запрет? Нужные ip не пересекаются в других правилах?

                  1 Reply Last reply Reply Quote 0
                  • I
                    IStandAlone
                    last edited by

                    @pavvap:

                    У вас только одно правило на запрет? Нужные ip не пересекаются в других правилах?

                    В группах доступа в сквидгварде указаны диапазоны айпи (скрин). В каждом пуле указаны адреса по типу "users_0 IP-Range: 192.168.0.1-192.168.0.254" и т.д. Соответственно нужные айпи 1.77 и 1.177 попадают только в 1й пул, который редактировал выше. Больше, вроде, и негде им светиться.

                    ruls.jpg
                    ruls.jpg_thumb

                    1 Reply Last reply Reply Quote 0
                    • P
                      PbIXTOP
                      last edited by

                      @IStandAlone:

                      Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит.

                      Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси?
                      За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера.

                      1 Reply Last reply Reply Quote 0
                      • I
                        IStandAlone
                        last edited by

                        @PbIXTOP:

                        @IStandAlone:

                        Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит.

                        Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси?
                        За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера.

                        Я, видимо, не совсем верно выразился. pfSense используется в качестве прокси и в инет лезут все через него, но этим 2м компам разрешен выход во вне по всем портам и настройки прокси в браузере у них не стоит. Остальные юзеры фильтруются фаерволом и соответственно в браузере у них выставлены настройки "прокси".

                        1 Reply Last reply Reply Quote 0
                        • P
                          PbIXTOP
                          last edited by

                          @IStandAlone:

                          @PbIXTOP:

                          @IStandAlone:

                          Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит.

                          Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси?
                          За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера.

                          Я, видимо, не совсем верно выразился. pfSense используется в качестве прокси и в инет лезут все через него, но этим 2м компам разрешен выход во вне по всем портам и настройки прокси в браузере у них не стоит. Остальные юзеры фильтруются фаерволом и соответственно в браузере у них выставлены настройки "прокси".

                          Так если они ходят напрямую — зачем вы мучаете Squid?

                          1 Reply Last reply Reply Quote 0
                          • I
                            IStandAlone
                            last edited by

                            @PbIXTOP:

                            @IStandAlone:

                            @PbIXTOP:

                            @IStandAlone:

                            Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит.

                            Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси?
                            За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера.

                            Я, видимо, не совсем верно выразился. pfSense используется в качестве прокси и в инет лезут все через него, но этим 2м компам разрешен выход во вне по всем портам и настройки прокси в браузере у них не стоит. Остальные юзеры фильтруются фаерволом и соответственно в браузере у них выставлены настройки "прокси".

                            Так если они ходят напрямую — зачем вы мучаете Squid?

                            Потому что, если я ставлю на этих 2х компах авторизацию в браузере(тобишь работать через прокси), то тогда соц сети открываются без проблем, но в этом случае у них фильтруются порты. А напрямую без авторизации в браузере с открытыми портами, соц сети почему то не открываются.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.