Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    PfSense + Squid без NAT?

    Russian
    2
    3
    405
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      crywolf last edited by

      Привет всем!

      Я новичек в этом продукте, работал раньше с CheckPoint.
      Имеется две ноды pfSense версии 2.3.4, на все ключевые интерфейсы (коих три - WAN, LAN, DMZ) настроен CARP. На WAN приходит с пару десятков IPSec'ов, остальное - просто функции фаервола.
      Совсем недавно настроил прозрачный прокси и повесил Whitelist разрешенных сайтов в SquidGuard. Все работает ок.

      А теперь вопросы.
      Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.

      Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Доброе.

        @crywolf:

        Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.

        Внешние клиенты пользуют Ваш сквид через ipseс-туннели ? Если да, то попробуйте перевести сквид в непрозрачный режим и в его настройках разрешите его пользование сетям ipsec-клиентов.

        Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?

        Уличная магия http://www.google.com.ua/search?q=Policy-based+Routing+%28PBR%29+pfsense  И, похоже, что владеют ею только избранные вроде меня  8)

        1 Reply Last reply Reply Quote 0
        • C
          crywolf last edited by

          @werter:

          Внешние клиенты пользуют Ваш сквид через ipseс-туннели?

          Нет, немного не так. Я сумбурно написал. IPsec не при чем. 
          Существует следующая схема:
          Client -> Hardware NAT -> Internet
          pfsense существует сам по себе.

          В один момент вдруг понадобилося группе пользователей ограничить доступ в интернет. А я в свою очередь решил это сделать средствами уже существующей машины с работающим pfsense.
          Необходимо встроить url-filtering либо между клиентом и натом (в этом случае на pf будут приходить приватные адреса), либо между натом и выходом в интернет (тогда клиенты будут иметь публичные адреса для pf). Обязательные условия - прозрачность, а также отсутствие НАТа на фильтрующем оборудовании (необходимо сохранить только ip, порт не важен).
          При этом необходимо знать и собирать информацию, кто, куда ходил за продолжительное время и для большого количества клиентов. Все это уже реализовано средствами NAT, требуют только добавить фильтрацию url.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post

          Products

          • Platform Overview
          • TNSR
          • pfSense
          • Appliances

          Services

          • Training
          • Professional Services

          Support

          • Subscription Plans
          • Contact Support
          • Product Lifecycle
          • Documentation

          News

          • Media Coverage
          • Press
          • Events

          Resources

          • Blog
          • FAQ
          • Find a Partner
          • Resource Library
          • Security Information

          Company

          • About Us
          • Careers
          • Partners
          • Contact Us
          • Legal
          Our Mission

          We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

          Subscribe to our Newsletter

          Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

          © 2021 Rubicon Communications, LLC | Privacy Policy