PfSense + Squid без NAT?
-
Привет всем!
Я новичек в этом продукте, работал раньше с CheckPoint.
Имеется две ноды pfSense версии 2.3.4, на все ключевые интерфейсы (коих три - WAN, LAN, DMZ) настроен CARP. На WAN приходит с пару десятков IPSec'ов, остальное - просто функции фаервола.
Совсем недавно настроил прозрачный прокси и повесил Whitelist разрешенных сайтов в SquidGuard. Все работает ок.А теперь вопросы.
Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?
-
Доброе.
Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.
Внешние клиенты пользуют Ваш сквид через ipseс-туннели ? Если да, то попробуйте перевести сквид в непрозрачный режим и в его настройках разрешите его пользование сетям ipsec-клиентов.
Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?
Уличная магия http://www.google.com.ua/search?q=Policy-based+Routing+%28PBR%29+pfsense И, похоже, что владеют ею только избранные вроде меня 8)
-
Внешние клиенты пользуют Ваш сквид через ipseс-туннели?
Нет, немного не так. Я сумбурно написал. IPsec не при чем.
Существует следующая схема:
Client -> Hardware NAT -> Internet
pfsense существует сам по себе.В один момент вдруг понадобилося группе пользователей ограничить доступ в интернет. А я в свою очередь решил это сделать средствами уже существующей машины с работающим pfsense.
Необходимо встроить url-filtering либо между клиентом и натом (в этом случае на pf будут приходить приватные адреса), либо между натом и выходом в интернет (тогда клиенты будут иметь публичные адреса для pf). Обязательные условия - прозрачность, а также отсутствие НАТа на фильтрующем оборудовании (необходимо сохранить только ip, порт не важен).
При этом необходимо знать и собирать информацию, кто, куда ходил за продолжительное время и для большого количества клиентов. Все это уже реализовано средствами NAT, требуют только добавить фильтрацию url.