pfSense 2.2.6 MultiWAN + Squid proxy



  • Ребят, всем привет. Так и не разобрался с проксей на двух ISP. Кто-то писал, что это работать не будет, а кто-то писал, что работает. Как сейчас дела с этим обстоят? У кого получалось подружить проксю с failover'ом?



  • Добрый.

    У вас оч. старый пф. Там точно не заработает (

    P.s. squid pfsense multiwan -> гугл



  • @electricshock said in pfSense 2.2.6 MultiWAN + Squid proxy:

    Ребят, всем привет. Так и не разобрался с проксей на двух ISP. Кто-то писал, что это работать не будет, а кто-то писал, что работает. Как сейчас дела с этим обстоят? У кого получалось подружить проксю с failover'ом?

    С Squid с failover'ом все пока очень тоскливо и уныло == не будет работать и с новым ПФ
    Точнее Squid работать будет а балансировка нет



  • @oleg1969 Тогда интересно, как люди решали этот вопрос? Есть два ISP, нужен failover, неужели голый NAT для локалки без прокси?



  • @electricshock said in pfSense 2.2.6 MultiWAN + Squid proxy:

    @oleg1969 Тогда интересно, как люди решали этот вопрос? Есть два ISP, нужен failover, неужели голый NAT для локалки без прокси?

    А решали ли они ? и разве решили ?
    Где примеры ? Если и разрабы пишут что пока вопрос не решен,

    P.S
    Я пробовал все ссылки и на буржуйских сайтах тоже и они не работают ,на них тоже встречается много словестного поноса ☺

    IMXO

    Я лично не использую SQUID и считаю его лишним



  • @oleg1969 Хм, интересное мнение. А как отчёты собираете по пользователям, кто где лазил? Как доступ ограничиваете юзверям?



  • @electricshock

    А как вы собираете отчеты по пользователям? ради интереса?



  • @oleg1969 Ну в основном - да, по большей части эта инфа для меня, администратора, кто где лазил и когда. Но иногда нужно ограничивать доступ определенной группе лиц к какому-либо ресурсу, как вы это делаете или не делаете вовсе?



  • @electricshock said in pfSense 2.2.6 MultiWAN + Squid proxy:

    @oleg1969 Ну в основном - да, по большей части эта инфа для меня, администратора, кто где лазил и когда. Но иногда нужно ограничивать доступ определенной группе лиц к какому-либо ресурсу, как вы это делаете или не делаете вовсе?

    На сколько я помню SQUID очень криво работает с SSL(HTTPS) с самоподпистными сертификатами
    И если следить за Юзерами в Lightsquid по мне это извращение

    Когда мне нужно ограничивать доступ к какому-либо ресурсу я использую pfBlockerNG



  • Добрый.

    @oleg1969

    На сколько я помню SQUID очень криво работает с SSL(HTTPS) с
    самоподпистными сертификатами

    Это не так. И достаточно давно.
    Работает. Даже в прозрачном режиме. Без принудительной установки каждому сертификата. Достаточно создать CA на пф для сквида и использовать Splice all в настройках сквида.

    https://www.youtube.com/watch?v=5FeEwVx6qUs
    https://forum.it-monkey.net/index.php?topic=23.0

    https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3

    UPDATE
    You can try setting up MITM by setting the SSL/MITM Mode to splice all, that way you do not need to create a certificate for each device on the network. (you still need to create a main certificate though)

    @Electricshock

    Но иногда нужно ограничивать доступ определенной группе лиц к какому-либо ресурсу, как вы это делаете или не делаете вовсе?

    Pfblocker. Действительно удобно.
    Или правилами fw на ЛАН. Создаются алиасы c адресами, напр. youtube.com, ok.ru etc, к-ые и исп-ся в reject-правилах fw на ЛАН. Ес-но, что они стоят выше разрешающих. Можно поместить их и во floating rules. Тогда они будут выполняться ранее всех правил fw на отдельн. интерфейсах.



  • @werter

    1 Подобную ссылку я давал еше пол года назад Так что ничего нового☺
    https://forum.netgate.com/topic/128912/не-могу-войти-на-192-168-1-1-ошибка-сертификата/4
    Все равно SQUID работает не совсем корректно (а особенно с поисковиком Google.com)

    2 правилами fw на ЛАН youtube.com не блокируются и не помогут ни какие алиасы c адресами
    OK,RU правилами fw на ЛАН блокируется

    А pfBlockerNG блокирует все что душа пожелает☺



  • @oleg1969

    1 Подобную ссылку я давал еше пол года назад Так что ничего нового

    В вашем комментарии (https://forum.netgate.com/topic/128912/не-могу-войти-на-192-168-1-1-ошибка-сертификата/4) речь шла про сертификат. Он там не нужен. Нужен только CA. Плюс человек делал апдейты в своем посте. За год многое могло измениться.

    2 правилами fw на ЛАН youtube.com не блокируются и не помогут ни какие алиасы c адресами OK,RU правилами fw на ЛАН блокируется

    Это не так. И это работает. Стоит только завернуть принудительно все dns-запросы из ЛАН на адрес пф (надеюсь, что вы не разрешаете доступ по tcp\udp 53 во вне беcконтрольно из ЛАН, да?)

    3_1535726027233_4.png 2_1535726027233_3.png 1_1535726027231_2.png 0_1535726027229_1.png

    Каждые 5 минут у меня адреса в алиасе social_network обновляются.

    А pfBlockerNG блокирует все что душа пожелает

    Не поверите. Он также принудительно заворачивает днс-запросы на лок. адрес пф, блокируя доступ к ресурсам из выбранных в нем категорий на уровне DNS.
    Не зря же использование dns resolver в нем обязательно.



  • This post is deleted!


  • @werter said in pfSense 2.2.6 MultiWAN + Squid proxy:

    В вашем комментарии (https://forum.netgate.com/topic/128912/не-могу-войти-на-192-168-1-1-ошибка-сертификата/4) речь шла про сертификат. Он там не нужен. Нужен только CA. Плюс человек делал апдейты в своем посте. За год многое могло измениться.

    Это не комментарий о сертификате ,а ссылка по настройке SQUID где и указано что нужен только CA, и эта ссылка актуальна и сейчас (читайте внимательно)

    ================================================================================

    Зачем так извращатся с правилами на LAN когда pfBlockerNG одной записью типа youtube.com
    решает быстро и сердито
    @werter said in pfSense 2.2.6 MultiWAN + Squid proxy:

    Не поверите. Он также принудительно заворачивает днс-запросы на лок. адрес пф, блокируя доступ к ресурсам из выбранных в нем категорий на уровне DNS.
    Не зря же использование dns resolver в нем обязательно.
    

    Эту фигню я тоже описывал в своем посте еще год назад ,так что это тоже не ново.
    https://forum.netgate.com/topic/112943/блокировка-порно
    И тоже давал ссылку на заворот ДНС https://doc.pfsense.org/index.php/Redirecting_all_DNS_Requests_to_pfSense



  • Добрый.
    @oleg1969

    Это не комментарий о сертификате ,а ссылка по настройке SQUID где и указано что нужен только CA, и эта ссылка актуальна и сейчас (читайте внимательно)

    Один я там (https://forum.netgate.com/topic/128912/не-могу-войти-на-192-168-1-1-ошибка-сертификата) вижу?

    0_1535890259759_balabol.png

    Эээ..Как бы Вам объяснить? Не травмируя ранимую психику. CA - это Certificate Authority. Не сертификат.

    В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

    Все объяснил, привел ссылки выше. То, что возможно блокировать ресурсы, не используя доп. пакеты - также.
    Перенимайте опыт.



  • @werter said in pfSense 2.2.6 MultiWAN + Squid proxy:

    Добрый.
    @oleg1969

    Все объяснил, привел ссылки выше. То, что возможно блокировать ресурсы, не используя доп. пакеты - также.
    Перенимайте опыт.

    Всё Это мы уже проходили ООчень давно ,так что незачем перенимать такой опыт ☺ ☺ разве что поизвращаться

    Так что не надо обяснять Шпэцыалыст(с травмированной психикой)


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy