Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid "overrules" pfsense Firewall rules - korrekt?

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 2.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kinne_001
      last edited by

      Hi,

      mein erster Post - bin gerade von IPCOP umgestiegen…  :D

      (1) pfsense installiert - läuft ohne Probleme - ich gebe jeden client für das Internet einzeln per hand frei, so dass er auf das WAN zugreifen kann.  wird die rule "disabled" dann kann der client auch nicht mehr ins internt

      (2) danach squid und squidgard istalliert - auch das läuft wie es soll

      Allerdings - wird bei laufendem squid (einstellungen: transparent / gebunden an die lan adresse) jetzt der zugriff des clients "disabled" in der firewall, kann der client trotzdem auf das internet zugreifen... d.h. für mich die Einstellung in den Firewall rules greift nicht mehr...

      Ist das normal so - oder habe ich was über sehen... ich hätte schon gerne, dass der proxy nicht die Firewall an dieser Stelle aushebelt

      Grüße
      Kinne

      1 Reply Last reply Reply Quote 0
      • GruensFroeschliG
        GruensFroeschli
        last edited by

        Der Proxy läuft auf der pfSense.
        Er ist ein Relay für die Daten.
        Wenn ein Client über den Proxy läuft, greift er essentiell nicht auf das internet zu, sondern nur auf die pfSense.

        Deine normalen Firewallregeln, steuern den Zugriff direkt auf das internet.
        Da dein client über den Proxy gar nicht direkt auf das Internet zugreift… ;)

        Du kannst Regeln erzeugen die den Zugriff auf die pfSense selbst blockieren.
        Dazu musst du aber unter advanced the "anti-lockout rule" deaktivieren.
        Zuerst aber eine Regeln erzeugen die den weiteren Zugriff auf das WebInterface zulässt, sonst hast du dich selbst ausgesperrt.

        We do what we must, because we can.

        Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.