PFsense 2.0 + squid как transparent proxy.



  • Ставим pFsense локально на жесткий диск.
    Настраиваем LAN и WAN интерфейсы.
    Устанавливаем пакеты (System -> Packages).
    cron        (запуск заданий по расписанию, всегда полезно)
    squid        (собственно прокси).
    lightsquid  (какая никакая статистика).

    1. Ищем как настроить SQUID. (Services -> Proxy server).
      Для работы прозрачного кэша  НЕ надо выбирать proxy interface.
      Просто отмечаем галочку Transparent proxy.
      Говорим в Log store directory /var/squid/log
      Proxy port 3128   (это просто для порядку.)

    Status -> Services  видим сервис squid. статус Running.    (если нет - запускаем)

    1. Ищем как настроить отчеты lightsquid.  (Status -> Proxy report)
      Видим первый таб - настройки.
      Тут все просто. Выбираем язык. цвет любой, схема Base.
      Refresh sheduler - добавляет расписание в крон, как часто автоматически создавать отчеты. меня устраивает 60 минут.
      Жмем Save
      Жмем Refresh full
      Пробуем  посмотреть отчет на втором табе. а там Пусто.
      При этом клиенты из LAN по сайтам лазают.

    2. Идем в Firewall -> Nat
      нам нужен таб настроек "Port Forward"

    создаем правило:
    Interface  LAN
    Protocol  TCP
    Source any
    Source port range  from any to any
    Destination  any
    Destination port range    from HTTP to HTTP
    Redirect target IP 127.0.0.1
    Redirect target port  HTTP
    Description "SQUID transparent redirect"

    жмем Save

    со всем соглашаемся, на всякий случай перезагружаемся.



  • 3. Разве не достаточно сделать Rule на LAN интерфейсе?
    Interface  LAN
    Protocol  TCP
    Destination  127.0.0.1
    Destination port range    from HTTP to HTTP



  • @Ilya:

    3. Разве не достаточно сделать Rule на LAN интерфейсе?
    Interface  LAN
    Protocol  TCP
    Destination  127.0.0.1
    Destination port range     from HTTP to HTTP

    У тебя под такое правило ни один пакет не попадет.



  • Я так понимаю чтобы у пользователей работал HTTPS через прокси, все равно придется им прописать в настройки браузера IP адрес pfSense роутера и порт 3128? Ибо HTTPS через transparent proxy не работает.
    Но я был бы безмерно счастлив если кто-нибудь меня убедил в обратном!

    Пока что сделал все через proxy.pac



  • https не пускает. Можно просто не заворачивать его на прокси.



  • Еще проблема осталась с QIP 2010-м… Конкретно как бы пробросить TCP 5190 и TCP 5222 через transparent proxy? т.е. не настраивая прокси у всех юзверей...

    Еще интересно можно ли в SquidGuard > Groups ACL > Client (source) забить Aliases? Было бы просто здорово!

    UPD: А воообще пошло оно все лесом… выпущу асю напрямую вместе с джаббером



  • @StanislawK:

    Для работы прозрачного кэша  НЕ надо выбирать proxy interface.

    ...
    ...

    1. Идем в Firewall -> Nat
      нам нужен таб настроек "Port Forward"

    создаем правило:
    Interface  LAN
    Protocol  TCP
    Source any
    Source port range   from any to any
    Destination  any
    Destination port range     from HTTP to HTTP
    Redirect target IP 127.0.0.1
    Redirect target port  HTTP
    Description "SQUID transparent redirect"

    жмем Save

    Когда вы выбираете proxy interface, port forward создается автоматом:
    rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.0.0.1 port 80
    Так что вся ваша следующая часть инструкции - мартышкин труд. Никакие port forward'ы не нужны.



  • Возникла проблема с tranparent proxy
    Основной офис заворачивает на него
    Другой офис подключен через OPENVPN - пробрасывается наскозь



  • На последних бэтах сплошные проблемы со сквидом.
    На версии 1.2 все работало отлично. А сейчас никак не могу заставить работать его с pppoe клиентами. И с портмапингом и без -  все pppoe клиенты ходят без сквида. Ставим галочку "allow users on interface" - ходят пользователи с Lana, все нормально через сквид, логи пишутся, а pppoe идут напрямую, прописывание в Allowed subnets подсети pppoe ничего не дает, портмаппинги всякие делал (тут в форуме советов навалом) - pppoe в упор не видит, что сквид есть, прет напрямую. В старых бэтах тоже все работало, настройки все наизусть помню.


Locked