Problemas con Proxy bypass
-
Hola , he configurado un proxy con Pfsense que controla un par de subredes por medio de una sola interface de red.
Todo funcionaba de muy buena manera hasta hace apenas unos dias en donde dicidimos agregar una direccion adicional a la parte de "Bypass proxy for these source IPs" para evitar que algunos usuarios pasen por el proxy .
He estado revisando y las reglas en la parte de /tm/rules.debug si se genera correctamente el Alias que tengo para las direcciones ips no filtradas
NoFiltrados = "{ 192.168.1.30 192.168.1.32 192.168.1.70 192.168.1.233 192.168.1.245 192.168.1.129 192.168.1.225 192.168.1.180 192.168.1.104 192.168.1.130 192.168.1.138 192.168.1.14 192.168.1.230 192.168.1.234 192.168.1.2 192.168.1.246
192.168.1.229 }"y la regla del pf si esta correcta tambien
no rdr on dc0 proto tcp from { $NoFiltrados } to any port 80
, pero al momento de revisar las reglas directamente desde el pfctl -sn me siguen faltando las dos primeras direcciones Ips
no rdr on dc0 inet proto tcp from 192.168.1.70 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.233 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.245 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.129 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.225 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.180 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.104 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.130 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.138 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.14 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.230 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.234 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.2 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.246 to any port = http
no rdr on dc0 inet proto tcp from 192.168.1.229 to any port = httpEsto provoca que estas dos primeras Ips se vayan por el proxy y por lo mismo tengo algunos detalles.
Ya reinicie el proxy, el filtrado y nada , las reglas siguen siendo las mismas
Lo raro de esto es que con las primeras que coloque si funciono y ahora al momento de querer agregar mas , ya no funcionaron … .
Ya estuve leyendo por un rato , pero no veo un problema que se sea igual a esto ..
Alguien puede dar alguna idea ?
 -
Debo de comentar tambien qe antes tenia las ips directamente escritas en el campo "Bypass proxy for these source IPs" del Proxy server con el mismo resultado. Ahora lo puse en un Alias.
La version que estoy corriendo es 1.2.3-RELEASE built on Sun Dec 6 23:21:36 EST 2009
Proxy : Squid Network No info, check the forum 2.7.9_4.1 High performance web proxy cache. -
Parece un bug porque no le veo nada mal.
¿Por qué no pruebas a usar dos alias, a ver qué?
Otra posibilidad sería actuar por subrangos si puedes cambiar las IPs de los equipos… Más engorroso pero a veces vale la pena jugar con las máscaras.Al parecer los subrangos funcionan desde hace poco, con la 2.0:
http://redmine.pfsense.org/projects/pfsense-packages/repository/revisions/bc68d07ec6c62ff24f021cc30dd896f3575079de
-
Gracias Bellera , lo raro de este asunto es que funciono bien con las primeas IPs no se si tenga que reiniciar el equipo por completo para que las configuraciones e carguen por completo.
Por otro lado , las mascaras que red que uso son /24 y he intentado con otras ips en la misma maquina sin resultados. Probe una de las anterior mente configuradas para funcionar sin el proxy y funciona correctamente.
No se si el parser que configura las reglas en el firewall esta encontrando algo mal con la configuracion o que esta pasando. Pero esto esta muy raro. no he encontrado documentacion al respecto en el foro. solo de casos en donde no funciona por completo.
Saludos
-
Prueba a dividir las IPs en dos alias… a ver qué.
-
Ok intentare el dia de hoy y posteo ..
Saludos
-
Resuelto , un error en las reglas estaba terminando con la ejecucion de las reglas restantes.
Saludos y gracias
