Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense + Squid без NAT?

    Scheduled Pinned Locked Moved Russian
    3 Posts 2 Posters 707 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      crywolf
      last edited by

      Привет всем!

      Я новичек в этом продукте, работал раньше с CheckPoint.
      Имеется две ноды pfSense версии 2.3.4, на все ключевые интерфейсы (коих три - WAN, LAN, DMZ) настроен CARP. На WAN приходит с пару десятков IPSec'ов, остальное - просто функции фаервола.
      Совсем недавно настроил прозрачный прокси и повесил Whitelist разрешенных сайтов в SquidGuard. Все работает ок.

      А теперь вопросы.
      Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.

      Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.

        @crywolf:

        Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.

        Внешние клиенты пользуют Ваш сквид через ipseс-туннели ? Если да, то попробуйте перевести сквид в непрозрачный режим и в его настройках разрешите его пользование сетям ipsec-клиентов.

        Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?

        Уличная магия http://www.google.com.ua/search?q=Policy-based+Routing+%28PBR%29+pfsense  И, похоже, что владеют ею только избранные вроде меня  8)

        1 Reply Last reply Reply Quote 0
        • C
          crywolf
          last edited by

          @werter:

          Внешние клиенты пользуют Ваш сквид через ipseс-туннели?

          Нет, немного не так. Я сумбурно написал. IPsec не при чем. 
          Существует следующая схема:
          Client -> Hardware NAT -> Internet
          pfsense существует сам по себе.

          В один момент вдруг понадобилося группе пользователей ограничить доступ в интернет. А я в свою очередь решил это сделать средствами уже существующей машины с работающим pfsense.
          Необходимо встроить url-filtering либо между клиентом и натом (в этом случае на pf будут приходить приватные адреса), либо между натом и выходом в интернет (тогда клиенты будут иметь публичные адреса для pf). Обязательные условия - прозрачность, а также отсутствие НАТа на фильтрующем оборудовании (необходимо сохранить только ip, порт не важен).
          При этом необходимо знать и собирать информацию, кто, куда ходил за продолжительное время и для большого количества клиентов. Все это уже реализовано средствами NAT, требуют только добавить фильтрацию url.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.