Pfsense +squid +squidgard



  • Hi,

    Habe da ein kleines problem. Und zwar habe Ich mir ein Alix board gekauft und Pfsense mit CP installiert.

    Also 3 netzwerke angelegt.

    WAN hängt mit DHCP am router der Internet gibt.
    LAN ist das private offene netz
    HOTEL"OPT1 + OPT2 gebrigt WLAN" das CP netz wo squid transparent mit squidguard laufen los umd ein paar URL zu blocken.

    Habe soweit alles eingerichtet das CP auf OPT1 u. OPT2 läuft.

    Netzwerkt sieht so auch

    WAN "DHCP" –---- am Router im bereich 192.168.1.0
    Lan "Privat" ------ im bereich 192.168.2.0 mit DHCP
    OPT1,2 "Hotel" ---- im bereich 192.168.10.0 mit DHCP

    Habe bei beidem netzen erstmal unter firewall Rules diese regel setzt
    Bei LAN

    Proto Source Port Destination Port Gateway Schedule Description
      *        LAN net    *                *                    *                *                            Default LAN -> any

    und einmal bei OPT

    Proto Source Port Destination Port Gateway Schedule Description
      *        OPT1 net    *                *                    *                *                            Default OPT1 -> any

    Jetzt habe Ich die beiden Pakete runtergeladen und Installiert.

    Bei Squid habe ich das so eingestellt wie es hier beschrieben wird.
    http://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy
    Und bei SquidGuard habe ich einmal hiernach gearbeiten
    http://doc.pfsense.org/index.php/SquidGuard_package
    und einmal nach Vid http://www.youtube.com/watch?v=zstq73Na7P0

    Aber egal was ich einstelle oder mache Ich kann aus dem OPT1 lan immer noch auf alle seiten. Sogar wenn ich unter SquidGuard nur eine IP angebe und alles blocke kommt ich immer noch mit dem PC im OPT1 netz auf alle seiten.

    Kann mir da jemand einen Tipp geben was Ich falsch mache? Wäre echt super sitze seit 2 tage dabei aber bekomme einfach nicht raus was falsch ist.



  • Hi,

    bin auch grad dabei aber ein anderes Aufbau: Habe nur den WAN per DHCP und ein LAN mit DHCP Server

    Ich hatte auf dem Alix leider Probleme mit dem Squid und SquidGuard. Anscheinend wegen dem tollen Read-Only.

    Ich bin jetzt soweit das ich unter Squid einfach die grundeinstellungen reinnehme und unter Access Control noch die verschiedenen Subnets mit reinehme!

    Um webseiten zu blocken nehme ich einfach blacklists mit in die squid.conf unter "edit file"…
    Anleitung zu den Blacklists hier: http://sase.de/squid/

    Du musst halt aber immer die conf auf deinem Rechner speichern, weil wenn du Pfsense neustartest schreibt er die Konfiguration die du im Webinterface von Squid eingegeben hast.
    Allerdings bin ich noch auf der Suche wo ich die Blacklists dauerhaft speichern kann, weil die nach dem neustart auch weg sind. Siehe hier: http://forum.pfsense.org/index.php/topic,32947.0.html

    Ich hoffe ich habe dir ein wenig geholfen!!!



  • Hi,

    höchstwahrscheinlich muss Du noch eine Redirect-Regel für OPT-LAN einfügen. Weil standardmäßig wenn man Transparen-proxy aktiviert, wird diese Regel nur auf dem LAN-Subnetz eingefügt. Man kann es sehr leicht an der Shell-Konsole prüfen:

    pfctl -sn

    Dann bekommt man zu sehen etwa so:

    rdr on xl0 inet proto tcp from any to any port = http -> 192.168.22.252 port 3128

    So eine Regel solltest Du auch auf dem OPT-Interface hinzufügen. Wichtig ist, dass diese Regel vor der Any to Any Regel steht.

    Gruß Johann



  • ./Push

    Ich habe das gleiche Problem.
    Ich arbeite auf pfSense 1.2.3 mit installiertem Squid und SquidGuard.

    Der Proxy läuft ebenfalls Transparent und funktioniert nach meinem ermessen auch.
    Nur leider reagiert mein Squidguard überhaupt nicht. Ich kann mit dem Client trotzdem auf alle Seiten zugreifen.

    Habe ebenfalls nach
    http://doc.pfsense.org/index.php/SquidGuard_package und http://www.youtube.com/watch?v=zstq73Na7P0 installiert.

    WAN: DHCP und am Router ( 192.168.178.43/24 )
    LAN: eigenes Netzwerk ( 192.168.1.1/24 )
    Router: ( 192.168.178.1/24 )
    Client: ( 192.168.1.2/24 )


Log in to reply