Как перенаправить трафик до определенных хостов на другой прокси



  • Пытаюсь перелезть с Sophos UTM 9 на PfSense. Пока болезненно.
    Итак, задача:

    Обычная домашняя сеть, PfSense в роли домашнего роутера. Как с помощью PfSense перенаправить часть трафика из локальной сети до определенных хостов (например amazon.com) через развернутый в этой же локальной сети прокси Privoxy?

    Есть вариант с NAT, но, на сколько я понимаю, он применим для прозрачного прокси, коим Privoxy не является. Есть вариант с WPAD, но он потребует ручной корректировки конфигурационных файлов WPAD и прописывания пути к конфигу на всех клиентах.

    На Sophos UTM это решалось очень просто. В настройках родительского прокси указывались хосты для которых этот прокси использовать. Никаких дополннительных действий на клиентах при этом не требовалось.



  • @Balaganov Из коробки в pfSense так не сделать. Есть в настройках Squid вкладка Remote cache для upstream proxy но селективно отправлять через него не получится, либо все, либо ничего. Можно в настройках Squid в Advanced options прописать cache_peer с соответствующим acl (гугл в помощь). Можно в wpad.dat прописать сайты, куда надо ходить через Privoxy, тогда и Squid на pfSense ставить не понадобится.
    Кстати, "A" в слове WPAD - это "Auto". Ничего на всех клиентах прописывать не надо, если все правильно настроить



  • @Balaganov
    Не пробовали пользовать тотже DoH от 1.1.1.1 (+ любой современ. браузер)? Возможно, что ваш пров-р пользует блокировку по именам (DNS). У меня работает ) И огород городить не прийдется.



  • @rubic На сколько я понимаю, для этого на клиентах и придется выбрать Auto. Или через опции DHCP это тоже можно передать? Я пока c WPAD не очень знаком.



  • @werter Да, мысль такая есть - проверить. Но пока также не знаком толком с DoH и не уверен, что он есть в Safari (desktop и mobile). Плюс речь не всегда про обход блокировки.



  • @Balaganov

    Но пока также не знаком толком с DoH и не уверен, что он есть в Safari (desktop и mobile).

    https://gist.github.com/soderlind/6a440cd3c8e017444097cf2c89cc301d
    Надо собственный DoH ? https://pi-hole.net/ или https://github.com/AdguardTeam/AdGuardHome/wiki
    https://kb.adguard.com/ru/general/dns-providers

    Или через опции DHCP это тоже можно передать?

    Option 252. Вот только современ. браузеры на эту опцию реагируют от слова никак. IE когда-то внимал ей.
    Так у вас смузи-ОСь Mac - там и хромого с лисой нечасто встретишь, а не то что IE.


Log in to reply