Squid não respeita failover



  • Prezados!
    Tenho o pfsense ver. 2.4.0, com 2 links de internet, failover, squid e squidguard habilitados.
    A Wan1 é a default nas regras de roteamento, porém nas regras do firewall deixei o failover colocando como 1º o link da Wan2. O failover funciona normalmente fora do proxy, mas na porta 3128 do proxy, o PF não está respeitando essa regra e só navega pelo gateway default do PFSense.

    Esse problema aconteceu após a queda da Wan2 na tarde de ontem e desde então não consigo fazer com que o PFSense respeite as regras de LAN no firewall.

    Desde já agradeço a ajuda!

    Paulo



  • As regras da lan são para trafego que passam pelo firewall entrando pela lan e saindo pela wan/wan2.

    O trafego do squid é da lan para um daemon local e sua saida é do daemon local para a wan/wan2. A unica regra da lan que vai dar match para o squid é a que libera acesso a porta 3128 local.



  • @marcelloc Boa tarde Marcelo!
    Sim, concordo sobre a aplicação da regra do firewall sobre a porta do Squid (3128), porém desde ontem após a queda do link, o Squid não está mais respeitando essa regra.
    Existe alguma forma de forçar o Squid a obedecer essa regra novamente?

    Grato!



  • Paulo, se a regra está habilitada o firewall "respeita" ela. Mas como disse, regra na lan para o squid não tem como aplicar balanceamento de link.

    O que exatamente parou de funcionar depois da queda de energia?



  • @marcelloc Antes da queda da Wan2, o gateway default era a Wan1 e no firewall a porta 3128 estava configurada para usar a Wan2. As conexões com proxy saiam pela Wan2 sem problema.

    Depois da queda da Wan2, o squid começou a usar o gateway default (Wan1).
    Mesmo com o firewall apontando a porta 3128 para a Wan2 o Squid no obedece.
    Fiz o teste de mudar o gateway default para a Wan2 e a regra no firewall da porta 3128 para a Wan1. O squid mudou navegação para a Wan2 e desconsiderou novamente a regra do firewall.



  • Paulo, acredito que o gateway da regra do Squid (porta 3128) deva ser "*".
    O gateway group do failover deve ser usado apenas na(s) regra(s) de saída para a internet.
    Podes testar e dizer se funcionou?



  • @marcos-lang Marcos!

    Continua não respeitando a regra do firewall, somente o gateway definido como padrão no PF.



  • Considerando que o gateway está definido corretamente nas regras, por favor, verifique se funciona marcando a seguinte opção:
    System > Advanced > Miscellaneous > Default gateway switching > marque Enable default gateway switching > Save.



  • Este é o ponto. A regra que permite o acesso das maquinas para o squid, não pode ter gateway definido porque o destino é a propria máquina.
    Sua regra está dizendo para o firewall encaminhar a requisição para a wan2 no lugar de encaminhar para o squid.



  • Reforçando o que o @marcelloc disse, em tese, terias que ter em Rules > LAN, minimamente, as seguintes regras:
    Protocol IPv4 TCP
    Source (rede interna)
    Port * (todas)
    Destination This Firewall
    Port 3128
    Gateway *

    E, mais abaixo, uma regra para sair para a internet:
    Protocol IPv4 *
    Source (rede interna ou, caso queiras limitar a saída para a internet apenas pelo proxy, IP do proxy)
    Port * (todas)
    Destination *
    Port 80 e 443 (ou * caso queiras todas)
    Gateway (failover gateway group)

    @marcelloc, por favor, me corrija se eu estiver errado!


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy