4. PfSense + Squid без NAT?

PfSense + Squid без NAT?

  • C

    Привет всем!

    Я новичек в этом продукте, работал раньше с CheckPoint.
    Имеется две ноды pfSense версии 2.3.4, на все ключевые интерфейсы (коих три - WAN, LAN, DMZ) настроен CARP. На WAN приходит с пару десятков IPSec'ов, остальное - просто функции фаервола.
    Совсем недавно настроил прозрачный прокси и повесил Whitelist разрешенных сайтов в SquidGuard. Все работает ок.

    А теперь вопросы.
    Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.

    Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?

    0

  • Доброе.

    @crywolf:

    Первый и самый важный: необходимо каким-либо образом отключить NAT на Squid'е, так как клиенты на Squid приходят уже с публичными адресами, и необходимо, чтобы к внешним ресурсам они они ходили со своих IP, а не с WAN IP. Если кто знает, как это делается, поделитесь, пожалуйста. Вопрос почти что жизни и смерти.

    Внешние клиенты пользуют Ваш сквид через ipseс-туннели ? Если да, то попробуйте перевести сквид в непрозрачный режим и в его настройках разрешите его пользование сетям ipsec-клиентов.

    Второй вопрос не так важен, но интересен. Поддерживает ли pfSense PBR и есть ли у кого готовая работающая конфигурация для примера?

    Уличная магия http://www.google.com.ua/search?q=Policy-based+Routing+(PBR)+pfsense  И, похоже, что владеют ею только избранные вроде меня  8)

    0
  • C

    @werter:

    Внешние клиенты пользуют Ваш сквид через ipseс-туннели?

    Нет, немного не так. Я сумбурно написал. IPsec не при чем. 
    Существует следующая схема:
    Client -> Hardware NAT -> Internet
    pfsense существует сам по себе.

    В один момент вдруг понадобилося группе пользователей ограничить доступ в интернет. А я в свою очередь решил это сделать средствами уже существующей машины с работающим pfsense.
    Необходимо встроить url-filtering либо между клиентом и натом (в этом случае на pf будут приходить приватные адреса), либо между натом и выходом в интернет (тогда клиенты будут иметь публичные адреса для pf). Обязательные условия - прозрачность, а также отсутствие НАТа на фильтрующем оборудовании (необходимо сохранить только ip, порт не важен).
    При этом необходимо знать и собирать информацию, кто, куда ходил за продолжительное время и для большого количества клиентов. Все это уже реализовано средствами NAT, требуют только добавить фильтрацию url.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2019 Rubicon Communications, LLC | Privacy Policy