Либо нет статистики squid, либо идет игнор прав



  • Добрый день, коллеги.
    Недавно установил pfSense  2.0. До этого дела имел с IdecoICS и частично с FreeBSD 8.2.
    Система нравится, но т.к. приходится разбираться во всем самому, столкнулся с рядом проблем: основная из них - это собственно САБЖ :)

    Без статистики никуда, это все понимают. ipcad решил пока не ставить, а установил только squid и lightsquid.
    Сначала опишу ситуацию подробнее, потом расскажу о настройках.
    1. Squid настроен как прозрачный прокси, в браузерах на хостах прокси:порт не прописаны. Что имеем: статистика считается, НО правила файрвола не работают.
    2. Squid настроен обычно (не транспарент), в браузерах на хостах прокси:порт не прописаны. Что имеем: статистика не считается, зато правила файрвола работают отлично.

    понимаю, что ситуация банальна, но как ее решить?
    Прозрачный прокси, я так понимаю, для организации это не хорошо?
    Пусть squid будет лучше настроен обычно, для статистики я готов прописать в браузерах пользователей прокси:3128, но что сделать, чтобы файрвол заработал?

    Настройки:
    NAT. только во вкладке Outbound.
    img1
    Virtual Ips.
    img2
    Файрвол. В WAN только правила созданные автоматом
    img3
    В LAN все основные запрещающие и разрешающие правила
    img4

    Возможно я настроил кардинально все не правильно, тогда наведите на путь истинный :)

    Сражу скажу, мануалы читал, но просто все знать и разбирать везде - невозможно. А так хочется настроить его нормально и забыть :)
    ![Image 1.png](/public/imported_attachments/1/Image 1.png)
    ![Image 1.png_thumb](/public/imported_attachments/1/Image 1.png_thumb)
    ![Image 2.png](/public/imported_attachments/1/Image 2.png)
    ![Image 2.png_thumb](/public/imported_attachments/1/Image 2.png_thumb)
    ![Image 3.png](/public/imported_attachments/1/Image 3.png)
    ![Image 3.png_thumb](/public/imported_attachments/1/Image 3.png_thumb)
    ![Image 4.png](/public/imported_attachments/1/Image 4.png)
    ![Image 4.png_thumb](/public/imported_attachments/1/Image 4.png_thumb)





  • Редирект портов срабатывает раньше чем правила файервола. Поэтому в прозрачном режиме до правил дело просто не доходит. Трафик на 80 порт перехватывается и отправляется на порт 3128 (Squid). В непрозрачном режиме вы тоже правилами ничего не запретите, т.к. пользователи будут ломиться на pfSense_IP:3128, а вовсе не на odnoklassniki.ru (правила опять же не сработают). Сейчас у вас правила работают в непрозрачном режиме только потому, что пользователи не идут через Squid (не настроены браузеры). Режьте сайты на уровне Squid, поставьте SquidGuard.



  • @rubic:

    Редирект портов срабатывает раньше чем правила файервола. Поэтому в прозрачном режиме до правил дело просто не доходит. Трафик на 80 порт перехватывается и отправляется на порт 3128 (Squid). В непрозрачном режиме вы тоже правилами ничего не запретите, т.к. пользователи будут ломиться на pfSense_IP:3128, а вовсе не на odnoklassniki.ru (правила опять же не сработают). Сейчас у вас правила работают в непрозрачном режиме только потому, что пользователи не идут через Squid (не настроены браузеры). Режьте сайты на уровне Squid, поставьте SquidGuard.

    Ух, как все доходчиво объяснили, большое спасибо.
    Сейчас пока на работу шел, соображал как же идет трафик в том или ином случае :)
    Понял, что в прозрачном режиме весь http-трафик(80) перехватывается и перенапрвляется на порт 3128 и вот единственный оставался вопрос, как же этот траф переправить с порта прокси 3128 на файрвол :)
    А тут оказывается есть решение в виде SquidGuard. Ну что ж, буду курить его.

    Остался один (или не один :)) нюанс: какой все таки установить режим сквид, прозрачный или непрозрачный?
    В непрозрачном вижу один большой недостаток: пользователь ведь легко сможет в браузере убрать прокси и тогда траф считаться не будет?



  • Если пользователь уберет в браузере прокси, то ему можно зарубить 80 порт правилами и в инет он не попадет пока не вернет настройку прокси на место.
    У меня прокси стоит прозрачный, вроде все устраивает пока.



  • @rubic:

    Если пользователь уберет в браузере прокси, то ему можно зарубить 80 порт правилами и в инет он не попадет пока не вернет настройку прокси на место.
    У меня прокси стоит прозрачный, вроде все устраивает пока.

    Спасибо, понял, тогда тоже пока оставлю прозрачный, а там видно будет.



  • @rubic:

    Редирект портов срабатывает раньше чем правила файервола.

    • Думаю, что тут Вы не правы. Правила NAT надо также разрешить в FW. Иначе толку от них не будет.


  • Мы тут как бы не общий случай обсуждаем, а прозрачный squid, ок?



  • @rubic:

    Мы тут как бы не общий случай обсуждаем, а прозрачный squid, ок?

    ок! действительно, написал не в тему…


Log in to reply