Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Перенаправление трафика с помощью Port Forwarding

    Scheduled Pinned Locked Moved Russian
    15 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • _
      _A_G_
      last edited by

      Есть pfSense 2.6.0 (с коробки)
      Два интерфейса: WAN по DHSP, LAN - 192.168.1.181
      Установлен sguid, с авторизацией из локальной базы, слушает LAN и loopback.
      Если у пользователя в настройках браузера прописать прокси то всё работает.
      Надо сделать прозрачный прокси с авторизацией, чтобы не прописывать в настройках браузера.
      Прописал правила из: https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html#traffic-redirection-with-port-forwards
      при запросе: http://www.consultant.ru/about/software/ (первый попавшийся сайт с http)
      squid выдает ошибку (даже не пытаясь авторизоваться):
      The following error was encountered while trying to retrieve the URL: /about/software/
      Invalid URL
      Some aspect of the requested URL is incorrect.
      Some possible problems are:
      Missing or incorrect access protocol (should be "http://" or similar)
      Missing hostname
      Illegal double-escape in the URL-Path
      Illegal character in hostname; underscores are not allowed.
      Your cache administrator is admin@localhost.

      werterW 1 Reply Last reply Reply Quote 0
      • werterW
        werter @_A_G_
        last edited by werter

        @_a_g_
        wpad.png

        https://nguvu.org/pfsense/pfSense-WPAD-PAC-proxy-configuration/

        Есть pfSense 2.6.0 (с коробки)

        Из коробки

        Установлен sguid

        squid

        _ 1 Reply Last reply Reply Quote 0
        • _
          _A_G_ @werter
          last edited by

          @werter said in Перенаправление трафика с помощью Port Forwarding:

          Из коробки

          Установлен sguid

          squid

          Пытался обьяснить порядок действий: установил pfSense, потом и т.д.
          Вариант с атоматической настройкой proxy не подходит, pfSense будет за роутером
          Диаграмма1.jpeg
          как-то так.
          Поэтому надо завернуть весь трафик с LAN интерфейса в squid

          K werterW 2 Replies Last reply Reply Quote 0
          • K
            Konstanti @_A_G_
            last edited by

            @_a_g_

            Здравствуйте
            Не совсем понял из Вашего текста
            1 LAN - 192.168.1.181 (PF) - как это соотносится с Вашей картинкой ?
            2 Трафик какого устройства Lan интерфейса Вы хотите завернуть ?

            1 Reply Last reply Reply Quote 0
            • _
              _A_G_
              last edited by

              на картинке накидал что хотелось бы получить (IP не соответствует реальности)
              сейчас есть тестовая железка с IP -192.168.1.181 (LAN) Это разве принципиально, какой адрес его же можно поменять

              в документации приведен пример как перенаправить весь входящий трафик на squid, но у меня не работает, я не пойму что не так

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @_A_G_
                last edited by Konstanti

                @_a_g_

                Когда Вы настраиваете SQUID в прозрачном режиме , система сама создает правила перенаправления трафика приходящего на порты , которые Вы указали при настройке SQUID, на порт 3128 ( или тот который Вам нужен ) . Вы их просто не видите

                Для примера
                https://docs.netgate.com/pfsense/en/latest/recipes/http-client-proxy-transparent.html

                Нигде не указано , что надо создавать правила перенаправления графика самостоятельно для 80 порта

                можете в консоли набрать команду
                pfctl -sr
                pfctl -sn
                чтобы увидеть загруженные правила

                _ 1 Reply Last reply Reply Quote 0
                • _
                  _A_G_ @Konstanti
                  last edited by

                  @konstanti
                  я брал правила тут -> https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html#traffic-redirection-with-port-forwards
                  С английским плохо дружу, но deepl.com перевёл как : "Пример перенаправления порта вперед, являются примером конфигурации, которая будет перенаправлять весь HTTP трафик, поступающий на LAN интерфейс, на Squid (порт 3128) на хосте 10.3.0.10"

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @_A_G_
                    last edited by Konstanti

                    @_a_g_
                    Я не знаю , как у Вас все настроено , Вы ничего не показали . Но , по-моему
                    1 система сама создает правила для перенаправления портов нужного трафика ( 80, 443 и тд и тп )
                    Повторюсь - нигде в документации не написано , что это надо делать ‘ручками’

                    2 судя по ошибкам , запрос доходит до squid , но почему-то url обрезается

                    Это сделано ?

                    f0679b6c-94d2-4265-884a-580e6485f923-image.png

                    _ 1 Reply Last reply Reply Quote 0
                    • werterW
                      werter @_A_G_
                      last edited by werter

                      @_a_g_
                      Не надо руками ничего заворачивать.
                      Ранее дал ссылку КАК сделать с пом. dhcp и wpad-файла.
                      Или делайте прозрачно и БЕЗ аутентификации - squid это может.

                      Зы. И никогда не используйте сеть 192.168.1|0 в проде. Иначе нарветесь на пересекающуюся адресацию.

                      1 Reply Last reply Reply Quote 0
                      • _
                        _A_G_ @Konstanti
                        last edited by

                        @konstanti
                        скидываю мои насторйки, сейчас всё настроено на виртуалках, адресация в реали будет другая:
                        squid_01.png
                        Настройки squid:
                        squid_02.png
                        squid_03.png
                        squid_04.png
                        Правила Firewal:
                        squid_05.png
                        squid_06.png
                        squid_07.png
                        Ошибка при HTTP запросе:
                        squid_08.png
                        Ошибка при HTTPS запросе:
                        squid_09.png
                        в журнале:
                        squid_10.png

                        "Ручками" ни какие правила не прописыввал, всё только через WEB-морду
                        Transparent HTTP Proxy - не подходит, трафик в дальнейшем, будет фильтроваться
                        wpad - не подходит, на компах есть приложения которые игнорируют настройки браузера

                        werterW 2 Replies Last reply Reply Quote 0
                        • werterW
                          werter @_A_G_
                          last edited by werter

                          Добрый
                          @_a_g_ said in Перенаправление трафика с помощью Port Forwarding:

                          wpad - не подходит, на компах есть приложения которые игнорируют настройки браузера

                          wpad - это не настройки браузера, это настройки СИСТЕМНОГО прокси, к-ый влияет на всю ОС.
                          Начните интересоваться темой.

                          Зы. Вирт. машина с пф неправильно настроена. Cpu = host должно быть на ней, а не cpu=kvm, иначе hw aes не получите.
                          И днс - это и tcp и udp. Правило кривое на скрине.

                          _ 1 Reply Last reply Reply Quote 0
                          • _
                            _A_G_ @werter
                            last edited by

                            @werter

                            @werter said in Перенаправление трафика с помощью Port Forwarding:

                            Зы. Вирт. машина с пф неправильно настроена. Cpu = host должно быть на ней, а не cpu=kvm, иначе hw aes не получите.
                            И днс - это и tcp и udp. Правило кривое на скрине.

                            Виртуалки были сделаны в основном для создания скринов, описании минимальных настроек, соответственно настойки cpu не скажуться на тестировании правил файрвола.
                            На счёт днс, спасибо, исправил.

                            @werter said in Перенаправление трафика с помощью Port Forwarding:

                            wpad - это не настройки браузера, это настройки СИСТЕМНОГО прокси, к-ый влияет на всю ОС.
                            Начните интересоваться темой.

                            я не понимаю, почему вы так продвигаете wpad, вопрос то не про него.
                            Вопрос можно ли завернуть приходящий трафик на lan интерфейс в squid или нет?
                            Цель, сделать "прозрачный прокси" (не Transparent HTTP Proxy) с авторизацией (kerberos)

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter @_A_G_
                              last edited by werter

                              @_a_g_

                              Цель, сделать "прозрачный прокси" (не Transparent HTTP Proxy) с авторизацией (kerberos)

                              Отлично.
                              А про kerberos мы должны КОНЕЧНО ЖЕ догадаться, да?

                              Тогда такая картинка. Последняя.
                              2023-04-08 15_23_16-transparent squid proxy kerberos authentication pfsense - Поиск в Google — Mozil.png

                              _ 1 Reply Last reply Reply Quote 0
                              • _
                                _A_G_ @werter
                                last edited by

                                @werter благодарю вас за ответ. Я хочу обьяснить, что я уже настроен не прозрачный прокси с авторизацией в AD, разбиением по группам пользователей, фильтрацией трафика, подменой сертификата и прочими настройками. Я убрал всё лишнее и максимально точно описал минимальные настройки для решения проблемы.
                                Мой вопрос был более конкретный и касался определенной проблемы. К сожалению, полученные ответы не были полезными и не отвечали на мой вопрос.
                                Я буду благодарен за дополнительную помощь, если у кого-то есть конструктивные и релевантные советы.

                                werterW 1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter @_A_G_
                                  last edited by werter

                                  Добрый
                                  @_a_g_
                                  В вашем случае при наличие AD остается только нарисовать отдельную политику в GPO по настройке системнего прокси на раб. местах.
                                  https://winitpro.ru/index.php/2015/02/25/nastrojka-internet-explorer-s-pomoshhyu-gruppovyx-politik-v-windows-2012/
                                  https://bobcares.com/blog/configure-proxy-settings-on-windows-using-group-policy/
                                  https://theitbros.com/config-internet-explorer-11-proxy-settings-gpo/ (через впн)

                                  Рисовать редирект на пф - это не то и не сработает. Для днс - да, для прокси - нет.

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.