PFsense + Squidguard



  • Estimados,
    tengo un pfsense corriendo squid hace bastante tiempo y funcionando sin problemas.
    la estructura de red original era sencilla..

    pfsense con 3 tarjetas:
    lan: b.b.b.24 conecta con el switch de usuarios y servidores
    wan: x.x.x.x
    mpls: c.c.c.252

    hoy, esto se modifico para incluir un router y mejorar la calidad de servicio.
    teniendo el pfsense con la lan y la wan.
    se modifico las rutas al pfsense para que conosca el trafico que viene del router.

    pfsense
    lan (enlace a router): a.a.a.254
    wan: x.x.x.2

    router
    enlace a firewall: a.a.a.1
    enlace a switch usuarios: b.b.b.1
    mpls: c.c.c.252

    switch
    enlace a router: b.b.b.2

    con la nuevas direcciones, agregue las rutas de a y c al pfsense..  tengo servicios e internet pero al primer bloqueo del squid, se cae y comienza a bloquear todas las solicitudes siguientes.
    por lo que debo bajar el servicio y reiniciar el pfsense..
    l
    alguna idea de porque le esta pasando esto ahora??



  • No termino de comprender tu estructura… Un esquema sería mucho mejor...

    No hay que poner rutas entre las subredes de pfSense.

    ¿Miraste los logs, especialmente para squid y squidGuard?

    ¿Se resuelve el problema con stop/start del servico squid o se bloquea todo?

    Saludos,

    Josep Pujadas



  • Estimado, adjunto imagen
    las rutas estaticas del pfsense son para que entienda lo que esta detras del router.
    ya que esta con vlan.
    los log del squid no los vi…
    pero despues del primer bloqueo de contenido bloquea todo lo que siga.. y no se reestablece con detener e iniciar nuevamente el servicio.
    tengo que deterle y reiniciar el pfsense.

    segun lei, cuando el squid tiene una falla se comporta de esta manera..
    aunque por tiempo y prioridades no lo hice, quizas desinstalando el paquete y volviendo a cargarlo se solucione.
    quizas el cambio de estructura "lo confundio un poco"
    slds.
    @bellera:

    No termino de comprender tu estructura… Un esquema sería mucho mejor...

    No hay que poner rutas entre las subredes de pfSense.

    ¿Miraste los logs, especialmente para squid y squidGuard?

    ¿Se resuelve el problema con stop/start del servico squid o se bloquea todo?

    Saludos,

    Josep Pujadas

    ![diagrama rt.jpg](/public/imported_attachments/1/diagrama rt.jpg)
    ![diagrama rt.jpg_thumb](/public/imported_attachments/1/diagrama rt.jpg_thumb)



  • ¡Hola de nuevo!

    Entiendo que tu pfSense actual, con el esquema simplemente es LAN/WAN con squid+squidGuard en modo transparente.

    Como comprobación de squid+sduigGuard coloca un equipo en la 192.168.97.0/24 y prueba la navegación y cómo actúa squid+squidGuard.

    Cosas que se pueden ver de squid

    • Status - Services para ver si el servicio está en marcha o no. Ahí puede pararse y ponerse en marcha. Tarda un rato en actualizarse la página…
    • En Status - System logs - System verás las posibles puestas en marcha y paros de squid.
    • En Services - Proxy server verás que tienes Log store directory puesto a /var/squid/logs Puedes mirar el archivo cache.log a través de la consola. Este archivo va diciendo qué pasa con el funcionamiento de squid.
    • A parte de esto veo que en el configurador web se puede marcar la casilla Enabled logging. Si se hace tendrás también access.log. Este tiene los accesos que van haciendo los usuarios. Existe un tercer archivo llamado store.log que va registrando qué pasa con los objetos de la caché (altas, bajas, actualizaciones).
    • Los logs de squidGuard van por su cuenta. No tengo el paquete montado en mi pfSense de pruebas. Si tenemos que aclarar esto lo monto y te lo digo en un próximo post. Normalmente hay dos, uno referido al funcionamiento del paquete (carga de los filtros y posibles fallos) y otro para los accesos denegados.

    En todo caso creo que el problema de tu instalación está en el hecho de que tu enrutador de 3 patas no debe estar haciendo NAT saliente hacia pfSense. Y mejor que no lo haga si quieres saber qué hace cada máquina cuando llega a pfSense.

    Es decir, las peticiones a squid llegan de diferentes subredes. Si es así tienes que tener:

    • Desmarcada la casilla Allow users on interface.
    • Todas tus subredes especificadas en Access Control - Allowed subnets. Una subred por línea, en modo CIDR. Ver imagen.

    Con esto conseguirás una única ACL de autorización de uso de squid, cosa que no debes tener:

    [2.0.1-RELEASE][admin@pfSense.localdomain]/var/squid/acl(21): cat /usr/local/etc/squid/squid.conf | grep net
    acl allowed_subnets src 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
    http_access allow allowed_subnets
    

    A ver si era esto…

    De forma similar, en squidGuard puede acotarse qué hacer para distintas subredes. En todo caso ya lo discutiríamos.

    Saludos,

    Josep Pujadas




  • Gracias estimado..
    lo revisare cuando este en ese lugar nuevamente.
    te comento que esto lo tengo en una localidad muy remota y aunque tengo acceso a el pfsense a travez del MPLS prefiero estar presente por si pasa algo.

    te comento como resulta cuando lo vea.
    saludos..

    @bellera:

    ¡Hola de nuevo!

    Entiendo que tu pfSense actual, con el esquema simplemente es LAN/WAN con squid+squidGuard en modo transparente.

    Como comprobación de squid+sduigGuard coloca un equipo en la 192.168.97.0/24 y prueba la navegación y cómo actúa squid+squidGuard.

    …...


Locked