Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Прозрачный прокси + Limiters

    Russian
    1
    1
    205
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      ppsascha
      last edited by

      Всем привет! Есть pfsense 2.6 с единственным интерфейсом (в системе WAN с адресом 192.168.20.10), на нем поднят squid + squidguard, squid работает как прозрачный прокси с включенным ssl mitm (режим splice all).
      pfsense находится за микротиком в той же сети. На тике созданы правила, заворачивающие трафик по 80 и 443 портам на pfsense:

      ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=to_webproxy passthrough=yes protocol=tcp src-address-list=webproxy_users dst-port=80,443 log=no 
 log-prefix=""
ip route add distance=1 gateway=192.168.20.10 routing-mark=to_webproxy

      И все отлично работает - если добавляю на тике адрес юзера в лист webproxy_users, то у него появляется интернет без дополнительных настроек браузера, squidguard режет то, что открывать нельзя, в статистику lightsquid попадает инфа, в общем, все хорошо.
      Но настроены два лимитера по 30 мегабит на аплоад-даунлоад, плюс соответствующее правило в файрволле. И вот при такой схеме лимитер не работает. Если пропишу в браузере адрес и порт pfsense-a, то лимитер работает. Если переведу squid в непрозрачный режим с авторизацией, то, разумеется, тоже работает.
      Но хочу полностью прозрачно и с шейпингом, раз уж pfsense не может в лимиты трафика, то хотя бы канал подрезать.

      Что я делаю не так, подскажите, пожалуйста?

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.