Squid transparente no resuelve IP
-
Hola a todos.
Soy nuevo en pfsense, tengo funcionando todo bien con la version 1.2.3-release, pero ahora tengo un problema con squid transparente. algunas paginas no las muestra y muestra un mensaje que no logra conectar, salgoo del proxy por bypass y logro entrar a la pagina.De antemano, gracias…
-
O no responde bien tu squid o tienes un problema con los DNS configurados en System - General Setup.
-
Bellera
Gracias por responder, lo solucione marcando la opción "Bypass proxy for Private Address Space (RFC 1918) destination" en el seervidor proxy. Realmente no se si sera lo correcto pero funciono.
Gracias…
-
Hola compañeros..tengo entendido q en la version anterio 1.2.3 no se podia tener al squid y al pfsense en la misma maquina..xq como lo decia el compañero bellera.. mejor era conveniente tener al proxi en otra maquina….y ahora en sta version 2.0.1 Release se podra tener al proxi en la misma maquina asi x ejemplo como lo tiene microtik..donde su web proxi se almacena en un segundo disco duro y la verda lo probe y funciona bien.pero en sta version de pfsense se podra hacer sto..?.bueno deseo hacer la prueba . Gracias a todos x sus consejos. Saludos.
-
Lo solucioné marcando la opción "Bypass proxy for Private Address Space (RFC 1918) destination" en el servidor proxy. Realmente no sé si será lo correcto pero funcionó.
Tendría que ver qué genera esta opción en /usr/local/etc/squid/squid.conf pero por su descripción indica que no se usa el proxy para cuando se va a direcciones IP privadas. Si hace lo que querías está bien.
-
Tengo entendido que en la versión anterior (1.2.3) no se podía tener al squid y al pfsense en la misma máquina.
Esto no es exacto del todo. Sí se puede pero según qué se quiera hacer no es recomendable. O incompatible.
Insisto (por n-ésima vez)
- Los proxys transparentes no admiten validación de usuarios ni filtros por https. Esto no tiene nada que ver con pfSense.
- Los configuradores web no suelen tener implementadas todas las opciones que tienen los paquetes complejos como squid y squdGuard. Si se desea afinar mucho hay que recurrir a editar las configuraciones a mano. De ahí el decir que para optimizar un proxy mejor tenerlo en una máquina a parte.
- En pfSense los paquetes vienen compilados con determinadas opciones. En un FreeBSD normal eres tú quien decide las opciones de compilación, pues el proceso de instalación por defecto baja las fuentes, muestra las opciones de compilación, compila e instala los binarios. Otra razón para tenerlo en una máquina a parte si quieres una total optimización.
- Un proxy es un servicio más en el cortafuegos. A nivel de seguridad no es del todo una buena idea.
Muchos usuarios de este foro piden pues cosas que requieren pensar en tener el servicio en un equipo (físico o virtual) a parte.
Cambios en la 2.0 respecto a la 1.2.3
- Como servicio, un proxy tiene un punto de entrada y una puerta de salida. En la 1.2.3 esto quería decir que salía siempre por la WAN. A partir de la 2.0 se puede hacer salir a squid por un agrupamiento de puertas (lo que antes era balanceo saliente).
- Esto es lo que más se pedía y sólo era posible montando varios pfSense (físicos o virtuales).
- Google squid multiwan site:forum.pfsense.org, http://forum.pfsense.org/index.php/topic,38882.0.html En la discusión se menciona otro tutorial, disponible en PDF, http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf
Saludos,
Josep Pujadas
-
y para poner a trabajar al proxi manualmente osea no como proxi transparente sino configurando manualmente el puerto de salida en cada maquina de los clientes,para sto necesito alguna regla en special. como seria esa regla en origen y destino. Desde ya muchas gracias al compañero bellera y atodos los demas compañeros x ayudarnos con despejar algunas dudas.Saludos.
-
Lo tienes explicado en Documentación (arriba).
Uno de los enlaces es un tutorial para 1.2.3, que sigue siendo bastante válido para 2.0.1:
http://forum.pfsense.org/index.php/topic,23409.0.html