Перенаправление трафика с помощью Port Forwarding

_A_G_

Есть pfSense 2.6.0 (с коробки)
Два интерфейса: WAN по DHSP, LAN - 192.168.1.181
Установлен sguid, с авторизацией из локальной базы, слушает LAN и loopback.
Если у пользователя в настройках браузера прописать прокси то всё работает.
Надо сделать прозрачный прокси с авторизацией, чтобы не прописывать в настройках браузера.
Прописал правила из: https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html#traffic-redirection-with-port-forwards
при запросе: http://www.consultant.ru/about/software/ (первый попавшийся сайт с http)
squid выдает ошибку (даже не пытаясь авторизоваться):
The following error was encountered while trying to retrieve the URL: /about/software/
Invalid URL
Some aspect of the requested URL is incorrect.
Some possible problems are:
Missing or incorrect access protocol (should be "http://" or similar)
Missing hostname
Illegal double-escape in the URL-Path
Illegal character in hostname; underscores are not allowed.
Your cache administrator is admin@localhost.

werter

@_a_g_

https://nguvu.org/pfsense/pfSense-WPAD-PAC-proxy-configuration/

Есть pfSense 2.6.0 (с коробки)

Из коробки

Установлен sguid

squid

_A_G_

@werter said in Перенаправление трафика с помощью Port Forwarding:

Из коробки

Установлен sguid

squid

Пытался обьяснить порядок действий: установил pfSense, потом и т.д.
Вариант с атоматической настройкой proxy не подходит, pfSense будет за роутером

как-то так.
Поэтому надо завернуть весь трафик с LAN интерфейса в squid

Konstanti

@_a_g_

Здравствуйте
Не совсем понял из Вашего текста
1 LAN - 192.168.1.181 (PF) - как это соотносится с Вашей картинкой ?
2 Трафик какого устройства Lan интерфейса Вы хотите завернуть ?

_A_G_

на картинке накидал что хотелось бы получить (IP не соответствует реальности)
сейчас есть тестовая железка с IP -192.168.1.181 (LAN) Это разве принципиально, какой адрес его же можно поменять

в документации приведен пример как перенаправить весь входящий трафик на squid, но у меня не работает, я не пойму что не так

Konstanti

@_a_g_

Когда Вы настраиваете SQUID в прозрачном режиме , система сама создает правила перенаправления трафика приходящего на порты , которые Вы указали при настройке SQUID, на порт 3128 ( или тот который Вам нужен ) . Вы их просто не видите

Для примера
https://docs.netgate.com/pfsense/en/latest/recipes/http-client-proxy-transparent.html

Нигде не указано , что надо создавать правила перенаправления графика самостоятельно для 80 порта

можете в консоли набрать команду
pfctl -sr
pfctl -sn
чтобы увидеть загруженные правила

_A_G_

@konstanti
я брал правила тут -> https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html#traffic-redirection-with-port-forwards
С английским плохо дружу, но deepl.com перевёл как : "Пример перенаправления порта вперед, являются примером конфигурации, которая будет перенаправлять весь HTTP трафик, поступающий на LAN интерфейс, на Squid (порт 3128) на хосте 10.3.0.10"

Konstanti

@_a_g_
Я не знаю , как у Вас все настроено , Вы ничего не показали . Но , по-моему
1 система сама создает правила для перенаправления портов нужного трафика ( 80, 443 и тд и тп )
Повторюсь - нигде в документации не написано , что это надо делать ‘ручками’

2 судя по ошибкам , запрос доходит до squid , но почему-то url обрезается

Это сделано ?

werter

@_a_g_
Не надо руками ничего заворачивать.
Ранее дал ссылку КАК сделать с пом. dhcp и wpad-файла.
Или делайте прозрачно и БЕЗ аутентификации - squid это может.

Зы. И никогда не используйте сеть 192.168.1|0 в проде. Иначе нарветесь на пересекающуюся адресацию.

_A_G_

@konstanti
скидываю мои насторйки, сейчас всё настроено на виртуалках, адресация в реали будет другая:

Настройки squid:



Правила Firewal:



Ошибка при HTTP запросе:

Ошибка при HTTPS запросе:

в журнале:

"Ручками" ни какие правила не прописыввал, всё только через WEB-морду
Transparent HTTP Proxy - не подходит, трафик в дальнейшем, будет фильтроваться
wpad - не подходит, на компах есть приложения которые игнорируют настройки браузера

werter

Добрый
@_a_g_ said in Перенаправление трафика с помощью Port Forwarding:

wpad - не подходит, на компах есть приложения которые игнорируют настройки браузера

wpad - это не настройки браузера, это настройки СИСТЕМНОГО прокси, к-ый влияет на всю ОС.
Начните интересоваться темой.

Зы. Вирт. машина с пф неправильно настроена. Cpu = host должно быть на ней, а не cpu=kvm, иначе hw aes не получите.
И днс - это и tcp и udp. Правило кривое на скрине.

_A_G_

@werter

@werter said in Перенаправление трафика с помощью Port Forwarding:

Зы. Вирт. машина с пф неправильно настроена. Cpu = host должно быть на ней, а не cpu=kvm, иначе hw aes не получите.
И днс - это и tcp и udp. Правило кривое на скрине.

Виртуалки были сделаны в основном для создания скринов, описании минимальных настроек, соответственно настойки cpu не скажуться на тестировании правил файрвола.
На счёт днс, спасибо, исправил.

@werter said in Перенаправление трафика с помощью Port Forwarding:

wpad - это не настройки браузера, это настройки СИСТЕМНОГО прокси, к-ый влияет на всю ОС.
Начните интересоваться темой.

я не понимаю, почему вы так продвигаете wpad, вопрос то не про него.
Вопрос можно ли завернуть приходящий трафик на lan интерфейс в squid или нет?
Цель, сделать "прозрачный прокси" (не Transparent HTTP Proxy) с авторизацией (kerberos)

werter

@_a_g_

Цель, сделать "прозрачный прокси" (не Transparent HTTP Proxy) с авторизацией (kerberos)

Отлично.
А про kerberos мы должны КОНЕЧНО ЖЕ догадаться, да?

Тогда такая картинка. Последняя.

_A_G_

@werter благодарю вас за ответ. Я хочу обьяснить, что я уже настроен не прозрачный прокси с авторизацией в AD, разбиением по группам пользователей, фильтрацией трафика, подменой сертификата и прочими настройками. Я убрал всё лишнее и максимально точно описал минимальные настройки для решения проблемы.
Мой вопрос был более конкретный и касался определенной проблемы. К сожалению, полученные ответы не были полезными и не отвечали на мой вопрос.
Я буду благодарен за дополнительную помощь, если у кого-то есть конструктивные и релевантные советы.

werter

Добрый
@_a_g_
В вашем случае при наличие AD остается только нарисовать отдельную политику в GPO по настройке системнего прокси на раб. местах.
https://winitpro.ru/index.php/2015/02/25/nastrojka-internet-explorer-s-pomoshhyu-gruppovyx-politik-v-windows-2012/
https://bobcares.com/blog/configure-proxy-settings-on-windows-using-group-policy/
https://theitbros.com/config-internet-explorer-11-proxy-settings-gpo/ (через впн)

Рисовать редирект на пф - это не то и не сработает. Для днс - да, для прокси - нет.