PfSense + Squid без NAT?



  • Привет всем!

    Я новичек в этом продукте, работал раньше с CheckPoint.
    Имеется две ноды pfSense версии 2.3.4, на все ключевые интерфейсы (коих три - WAN, LAN, DMZ) настроен CARP. На WAN приходит с пару десятков IPSec'ов, остальное - просто функции фаервола.
    Совсем недавно настроил прозрачный прокси и повесил Whitelist разрешенных сайтов в SquidGuard. Все работает ок.

    А теперь вопросы.
    Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.

    Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?



  • Доброе.

    @crywolf:

    Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.

    Внешние клиенты пользуют Ваш сквид через ipseс-туннели ? Если да, то попробуйте перевести сквид в непрозрачный режим и в его настройках разрешите его пользование сетям ipsec-клиентов.

    Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?

    Уличная магия http://www.google.com.ua/search?q=Policy-based+Routing+(PBR)+pfsense  И, похоже, что владеют ею только избранные вроде меня  8)



  • @werter:

    Внешние клиенты пользуют Ваш сквид через ipseс-туннели?

    Нет, немного не так. Я сумбурно написал. IPsec не при чем. 
    Существует следующая схема:
    Client -> Hardware NAT -> Internet
    pfsense существует сам по себе.

    В один момент вдруг понадобилося группе пользователей ограничить доступ в интернет. А я в свою очередь решил это сделать средствами уже существующей машины с работающим pfsense.
    Необходимо встроить url-filtering либо между клиентом и натом (в этом случае на pf будут приходить приватные адреса), либо между натом и выходом в интернет (тогда клиенты будут иметь публичные адреса для pf). Обязательные условия - прозрачность, а также отсутствие НАТа на фильтрующем оборудовании (необходимо сохранить только ip, порт не важен).
    При этом необходимо знать и собирать информацию, кто, куда ходил за продолжительное время и для большого количества клиентов. Все это уже реализовано средствами NAT, требуют только добавить фильтрацию url.