Squid & Enrutamiento
-
Buenas a todos!!
Felicidades por toda la cantidad de información que hay por aqui sobre pfsense. Me ha sido de gran utilidad.
Yo soy un poco novato en este ambito y necesitaria una mano para acabar de comprender algunas cosas.
Actualmente tengo un pfsense funcionando con Squid, limitando el acceso a algunas webs en ciertos equipos de mi LAN.
Esta es mi configuración actual:-
INTERFACES:
LAN INTERFACE: 192.168.3.251 / 24
WAN INTERFACE: 192.168.1.250 / 24 gw: 192.168.1.1
*Primera duda: no lo tengo en MODO FILTERING BRIDGE tal y como vi en varios Howto's… si lo activaba no podia acceder al pfsense. -
FIREWALL: NAT: OUTBOUND
Tengo marcado el AUTOMATIC OUTBOUND NAT y una ruta autocreada:
Interface: WAN ; Source Port: * ; Destin.: * ; NAT Add: * ; NAT Port: * ; Static PORT: NO -
FIREWALL: RULES : LAN
PROTO | SOURCE | PORT | DEST | PORT | GATEWAY
tcp |192.168.3.0/24 | * | * | * |192.168.1.1
- FIREWALL: RULES : WAN
PROTO | SOURCE | PORT | DESTINATION | PORT | GATEWAY
tcp | * | * |192.168.3.0/24 | * |192.168.1.1
Lo veis todo correcto?? Funcionar me funciona, pero seguro q hay alguna pega, no?
Y lo ultimo, he añadido otra tarjeta de red (OPT1) y quiero conectarla a otra ADSL que tengo, tendria que configurarla de modo semejante a WAN INTERFACE, no?? puede estar en la misma subred que la otra adsl?
La idea es que pueda enrutar el tráfico, por ejemplo (pop3, smtp y alguna web) que vaya únicamente por una ADSL y el resto del tráfico por otra. Se puede hacer esto teniendo el Squid activado?Gracias por vuestra atención y ayuda.
Saludos. -
-
Hola!!!
Primero que todo me parece que hay un problema en tus reglas de LAN y WAN.
el gateway de Lan deberia de ser la ip de Wan de pfsense y no 192.168.1.1 por que lo tienes asi?, en source con utilizar lan subnet te basta, ademas quizas haga falta habilitar trafico udp y permitir solo los puertos necesarios esto por seguridad.
despues en wan no es necesario que agregues reglas con tu tipo de configuracion creo que no estas utilizando nateo es correcto? con esa regla estas permitiendo que cualquier persona del exterior pueda ingresar a tu red. ES PELIGROSO.
Si se puede enrutar trafico teniendo squid activado y seria mejor que emplees otra subred para la otra WAN
-
Gracias Leoalfa!!!
Bueno, ahora voy a realizar los cambios q me indicas. No se pq puse la 192.168.1.1 (es la ip del router), ahora lo cambiaré y haber q pasa.
Después os cuento…
Gracias d nuevo! -
hola otra vez…
Ahora ya se pq puse lo de la 192.168.1.1 y no la ip de la Wan de pfsense. Cuando edito las reglas del Firewall en la LAN (Firewall - Rules - LAN), en el apartado GATEWAY tengo un menu desplegable y ahi aparece las opciones: default y 192.168.1.1 , y por eso no está puesta la ip de la WAN de pfsense...
una ayudita pls. -
pon default