Перенаправление трафика с помощью Port Forwarding
-
Есть pfSense 2.6.0 (с коробки)
Два интерфейса: WAN по DHSP, LAN - 192.168.1.181
Установлен sguid, с авторизацией из локальной базы, слушает LAN и loopback.
Если у пользователя в настройках браузера прописать прокси то всё работает.
Надо сделать прозрачный прокси с авторизацией, чтобы не прописывать в настройках браузера.
Прописал правила из: https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html#traffic-redirection-with-port-forwards
при запросе: http://www.consultant.ru/about/software/ (первый попавшийся сайт с http)
squid выдает ошибку (даже не пытаясь авторизоваться):
The following error was encountered while trying to retrieve the URL: /about/software/
Invalid URL
Some aspect of the requested URL is incorrect.
Some possible problems are:
Missing or incorrect access protocol (should be "http://" or similar)
Missing hostname
Illegal double-escape in the URL-Path
Illegal character in hostname; underscores are not allowed.
Your cache administrator is admin@localhost. -
https://nguvu.org/pfsense/pfSense-WPAD-PAC-proxy-configuration/
Есть pfSense 2.6.0 (с коробки)
Из коробки
Установлен sguid
squid
-
@werter said in Перенаправление трафика с помощью Port Forwarding:
Из коробки
Установлен sguid
squid
Пытался обьяснить порядок действий: установил pfSense, потом и т.д.
Вариант с атоматической настройкой proxy не подходит, pfSense будет за роутером
как-то так.
Поэтому надо завернуть весь трафик с LAN интерфейса в squid -
Здравствуйте
Не совсем понял из Вашего текста
1 LAN - 192.168.1.181 (PF) - как это соотносится с Вашей картинкой ?
2 Трафик какого устройства Lan интерфейса Вы хотите завернуть ? -
на картинке накидал что хотелось бы получить (IP не соответствует реальности)
сейчас есть тестовая железка с IP -192.168.1.181 (LAN) Это разве принципиально, какой адрес его же можно поменятьв документации приведен пример как перенаправить весь входящий трафик на squid, но у меня не работает, я не пойму что не так
-
Когда Вы настраиваете SQUID в прозрачном режиме , система сама создает правила перенаправления трафика приходящего на порты , которые Вы указали при настройке SQUID, на порт 3128 ( или тот который Вам нужен ) . Вы их просто не видите
Для примера
https://docs.netgate.com/pfsense/en/latest/recipes/http-client-proxy-transparent.htmlНигде не указано , что надо создавать правила перенаправления графика самостоятельно для 80 порта
можете в консоли набрать команду
pfctl -sr
pfctl -sn
чтобы увидеть загруженные правила -
@konstanti
я брал правила тут -> https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html#traffic-redirection-with-port-forwards
С английским плохо дружу, но deepl.com перевёл как : "Пример перенаправления порта вперед, являются примером конфигурации, которая будет перенаправлять весь HTTP трафик, поступающий на LAN интерфейс, на Squid (порт 3128) на хосте 10.3.0.10" -
@_a_g_
Я не знаю , как у Вас все настроено , Вы ничего не показали . Но , по-моему
1 система сама создает правила для перенаправления портов нужного трафика ( 80, 443 и тд и тп )
Повторюсь - нигде в документации не написано , что это надо делать ‘ручками’2 судя по ошибкам , запрос доходит до squid , но почему-то url обрезается
Это сделано ?
-
@_a_g_
Не надо руками ничего заворачивать.
Ранее дал ссылку КАК сделать с пом. dhcp и wpad-файла.
Или делайте прозрачно и БЕЗ аутентификации - squid это может.Зы. И никогда не используйте сеть 192.168.1|0 в проде. Иначе нарветесь на пересекающуюся адресацию.
-
@konstanti
скидываю мои насторйки, сейчас всё настроено на виртуалках, адресация в реали будет другая:
Настройки squid:
Правила Firewal:
Ошибка при HTTP запросе:
Ошибка при HTTPS запросе:
в журнале:
"Ручками" ни какие правила не прописыввал, всё только через WEB-морду
Transparent HTTP Proxy - не подходит, трафик в дальнейшем, будет фильтроваться
wpad - не подходит, на компах есть приложения которые игнорируют настройки браузера -
Добрый
@_a_g_ said in Перенаправление трафика с помощью Port Forwarding:wpad - не подходит, на компах есть приложения которые игнорируют настройки браузера
wpad - это не настройки браузера, это настройки СИСТЕМНОГО прокси, к-ый влияет на всю ОС.
Начните интересоваться темой.Зы. Вирт. машина с пф неправильно настроена. Cpu = host должно быть на ней, а не cpu=kvm, иначе hw aes не получите.
И днс - это и tcp и udp. Правило кривое на скрине. -
@werter said in Перенаправление трафика с помощью Port Forwarding:
Зы. Вирт. машина с пф неправильно настроена. Cpu = host должно быть на ней, а не cpu=kvm, иначе hw aes не получите.
И днс - это и tcp и udp. Правило кривое на скрине.Виртуалки были сделаны в основном для создания скринов, описании минимальных настроек, соответственно настойки cpu не скажуться на тестировании правил файрвола.
На счёт днс, спасибо, исправил.@werter said in Перенаправление трафика с помощью Port Forwarding:
wpad - это не настройки браузера, это настройки СИСТЕМНОГО прокси, к-ый влияет на всю ОС.
Начните интересоваться темой.я не понимаю, почему вы так продвигаете wpad, вопрос то не про него.
Вопрос можно ли завернуть приходящий трафик на lan интерфейс в squid или нет?
Цель, сделать "прозрачный прокси" (не Transparent HTTP Proxy) с авторизацией (kerberos) -
Цель, сделать "прозрачный прокси" (не Transparent HTTP Proxy) с авторизацией (kerberos)
Отлично.
А про kerberos мы должны КОНЕЧНО ЖЕ догадаться, да?Тогда такая картинка. Последняя.
-
@werter благодарю вас за ответ. Я хочу обьяснить, что я уже настроен не прозрачный прокси с авторизацией в AD, разбиением по группам пользователей, фильтрацией трафика, подменой сертификата и прочими настройками. Я убрал всё лишнее и максимально точно описал минимальные настройки для решения проблемы.
Мой вопрос был более конкретный и касался определенной проблемы. К сожалению, полученные ответы не были полезными и не отвечали на мой вопрос.
Я буду благодарен за дополнительную помощь, если у кого-то есть конструктивные и релевантные советы. -
Добрый
@_a_g_
В вашем случае при наличие AD остается только нарисовать отдельную политику в GPO по настройке системнего прокси на раб. местах.
https://winitpro.ru/index.php/2015/02/25/nastrojka-internet-explorer-s-pomoshhyu-gruppovyx-politik-v-windows-2012/
https://bobcares.com/blog/configure-proxy-settings-on-windows-using-group-policy/
https://theitbros.com/config-internet-explorer-11-proxy-settings-gpo/ (через впн)Рисовать редирект на пф - это не то и не сработает. Для днс - да, для прокси - нет.