Transparenter squid überschreibt Block-Regel



  • Habe hier folgendes Phänomen:
    Es sind nur Port 80 und 443 von LAN ins WAN freigegeben.
    Eine Schedulerregel legt dafür einen bestimmten Zeitraum fest.
    Squid läuft transparent. CP ist aktiv.
    Wenn die Schedulerregel sperrt, läuft jedoch der HTTP-Traffic über Post 80 weiter, Port 443 nicht.
    In der Verbindungstabelle sehe ich, das diese Verbindungen über den Port 3128 (squid) des localhost in das WAN weiter geleitet werden.
    Wie kriege ich das in den Griff?

    Karl



  • Hallo Karl,

    beschäftige mich erst seit kurzem mit der pfsense, daher alles andere als ein Profi aber vielleicht hab ich einen Tipp für dich:

    Services –> Squid Proxy Server --> Bypass Proxy for Private Address Destination --> aktivieren

    Bei den Rules habe ich erst die Blockregeln und dann die Allow-Regeln angelegt, scheint bei mir zu funktionieren...

    Poste doch mal ein paar Screenshots, falls das o.g. Häkchen keine Besserung bringt.

    Grüße M.



  • @Micky008:

    Hallo Karl,

    beschäftige mich erst seit kurzem mit der pfsense, daher alles andere als ein Profi aber vielleicht hab ich einen Tipp für dich:

    Services –> Squid Proxy Server --> Bypass Proxy for Private Address Destination --> aktivieren

    Bei den Rules habe ich erst die Blockregeln und dann die Allow-Regeln angelegt, scheint bei mir zu funktionieren...

    Poste doch mal ein paar Screenshots, falls das o.g. Häkchen keine Besserung bringt.

    Grüße M.

    Danke für den Tipp!
    Diese Einstellung ist bei mir aktiviert.
    Offenbar greift sich der squid den ausgehenden Traffic auf Port 80 noch vor allen für mich in der GUI sichtbaren Firewallregeln.
    Wenn der squid-Dienst gestoppt wird, dann greifen die Regeln wieder.



  • @Karl:

    @Micky008:

    Hallo Karl,

    beschäftige mich erst seit kurzem mit der pfsense, daher alles andere als ein Profi aber vielleicht hab ich einen Tipp für dich:

    Services –> Squid Proxy Server --> Bypass Proxy for Private Address Destination --> aktivieren

    Bei den Rules habe ich erst die Blockregeln und dann die Allow-Regeln angelegt, scheint bei mir zu funktionieren...

    Poste doch mal ein paar Screenshots, falls das o.g. Häkchen keine Besserung bringt.

    Grüße M.

    Danke für den Tipp!
    Diese Einstellung ist bei mir aktiviert.
    Offenbar greift sich der squid den ausgehenden Traffic auf Port 80 noch vor allen für mich in der GUI sichtbaren Firewallregeln.
    Wenn der squid-Dienst gestoppt wird, dann greifen die Regeln wieder.

    Ich habe noch einmal im englischen Teil des Forums nachgesucht und folgenden Thread gefunden:
    https://forum.pfsense.org/index.php?topic=129983.0

    Die Antwort #3 https://forum.pfsense.org/index.php?topic=129983.msg716361#msg716361 ist die Quelle

    "… Read /tmp/rules.debug to see the complete ruleset. None of the package-created or default pfSense rules are shown in the GUI."

    In der betreffenden Datei befinden sich (bei mir in Zeile 75)  folgende Einträge:

    Setup Squid proxy redirect

    no rdr on rl0 proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 } port 80
    rdr pass on rl0 proto tcp from any to !(rl0) port 80 -> 127.0.0.1 port 3128

    Die Benutzerregeln fangen erst 100 Zeilen später an.

    In der GUI kann man irgendeine Regel für Port 80 definieren. Sie wird jedoch nicht funktionieren, weil der squid sich die entsprechenden Pakete schon weit vorher geschnappt hat.

    Wenn ich in der GUI squid deaktiviere, fehlen die Einträge in der /tmp/rules.debug und die GUI-Regeln für Port 80 funktionieren wieder.