Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Añadir redireccionamiento y regla para proxy en embeded

    Español
    1
    1
    2176
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      festuc last edited by

      Hola

      Hace tiempo hablamos con Josep de cual era la mejor manera de añadir un proxy a nuestros pfsense embeded.
      Una de las soluciones era poner un pfsense de disco duro entre el embeded y la red.
      La otra que se me ocurrió era añadir una regla de NAT para que las peticiones hacia  puerto 80 a qualquier ordenador se redirigiera al puerto de squid de otra máquina en otra red.

      Pues eso, ayer y antes de ayer lo hicimos en dos instalaciones, y a falta de las pruebas de fuerza funciona a la perfección. ;)

      Los pasos para reproducirlo son:
      Instalar servidor squid en una maquina de una subred diferente de la que queramos hacer pasar por proxy.
      Fijarse que /etc/squid/squid.conf que la linea del puerto quede asi :
      http_port 3128  transparent
      Despues en la página del pfsense ir al menu firewall –> NAT
      Allí añadir una nueva regla
      En Interface  ponemos la tarjeta de red que representa a quien queramos hacer pasar por el proxy, red clientes/alumnos...
      en External Address tenemos que poner any, por que any representa la totalidad de la subred controlada.
      en protocol tcp, puesto que la web funciona en el puerto 80 tcp
      en external port range elegimos el puerto 80
      en nat ip ponemos la direccion del ordenador donde esta instalado el squid.
      en local port el puerto del squid de ese ordenador (típicamente 3128)
      en description poned algo chulo :)
      esto "No XMLRPC Sync" se usa por si teneis un pfsense esclavo.
      i fijaros que esta marcado "Auto-add a firewall rule to permit traffic through this NAT rule" eso es importante para que los ordenadores clientes puedan acceder al ordenador donde esta el squid.

      Lo bueno y lo malo de esta configuración:
      Lo bueno es que si ponemos un squid no físicamente entre la red y nuestro router, si el squid falla, solo tememos que ir a la regla nat i borrarla.
      A diferencia de las rules del firewall, no se pueden desactivar las NAT.
      Lo malo es que si falla el squid el sistema dejara de funcionar hasta que borremos la regla NAT. Ya que no monitoriza el puerto de squid para saber si squid esta aún activo, o no.
      Supongo que se podría hacer un script en el bsd para que cada n minutos preguntara al proxy si aún esta activo (ping) y  cambiar el xml de configuración con uno que apareciera o no la regla nat.
      Pero eso ya no lo he echo, pero tendría que ser trivial, pero se me ocurre que quizá valdría la pena que esto (motorización) y la regla nat se añadieran como un paquete para nanobsd.

      1 Reply Last reply Reply Quote 0
      • First post
        Last post