не работает ICQ и https
-
Установлен pfSense-2.0.1 как gate в инет развернут в данный момент на виртуальной машине для более простых манипуляций пока в тестовом варианте на замену юзергейт
Установлен squid+Lightsquid+squidGuard в принципе больше ненужно
все прекрасно отрабатывает трафик щелкает порнуху, музло, интернет радио, итд блокирует
настроена локальная авторизация в сети есть 2 dc, dhcp, dns, итд
но на некоторые страницы не идет а в частности я так понимаю что все что связано с 443 портом
и не работает icq не по 443 не по 5190 я не ас в никсах чисто поверхностно знаю
подскажите если есть такая возможность где что понажимать посмотреть итд -
Squid случайно не прозрачным прокси (transparent proxy) выставлен? https не работает через прозрачный прокси.
Покажите так же правила для интерфейса LAN и посмотрите лог файрвола (Status -> System logs -> Firewall), не блокируются ли нужные вам соедиения. -
нет Squid не прозрачный transparent proxy не ставил по умолчанию
правила для интерфейса LANID | Proto | Source | Port | Destination | Port |Gateway | Queue | Schedule | Description |
| * | * | * | LAN Address | 22 | * | * | | Anti-Lockout Rule |
|||||80||||_________________|
| * | LAN net | * | * | * | * | none | | Default allow LAN |
| | | | | | | | | to any rule |лог файрвола (Status -> System logs -> Firewall) там нет никаких упоминаний про 443
-
сам руками я вообще нечего не писал чистая установка и накатывание пакетов ну лишь настройка самой прокси не правил фаирвола итд я не менял все как было по умолчанию
-
ICQ и https у вас точно ходят через прокси? В браузере указан проки для https?
Посмотрите лог прокси-сервера в консоли во время попытки https-коннекта:
tail -f /var/squid/log/access.log
И покажите кусок лога. -
возможно не совсем корректно выразился не вообще не работает а не все страницы
а вот аська вообще никакв браузере указана прокся 172.16.8.8:3128
ниже лог
как пример то есть гугл все ок
1327775312.142 1580 172.16.8.50 TCP_MISS/200 17503 CONNECT mail.google.com:443 fish DIRECT/173.194.69.83 -
1327775313.122 1203 172.16.8.50 TCP_MISS/200 6406 CONNECT mail.google.com:443 fish DIRECT/173.194.69.17 -
где-то здесь я пытаюсь зайти в личный кабинет все как обычно все ок но в браузере я нечего невижу то есть личный кабинет у меня не открылся
1327775103.632 1657 172.16.8.50 TCP_MISS/200 2748 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
1327775107.542 929 172.16.8.50 TCP_MISS/200 11917 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
1327775109.070 724 172.16.8.50 TCP_MISS/200 1116 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
1327775111.777 3431 172.16.8.50 TCP_MISS/200 12568 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
1327775112.111 4485 172.16.8.50 TCP_MISS/200 4798 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
1327775113.440 1108 172.16.8.50 TCP_MISS/200 11032 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52а ICQ я вообще невижу в логе
сервер ogin.icq.com
порт 443
тип прокси https
прокся 172.16.8.8
порт 3128
лог fish
пас *******вариации сокс5 итд толку ноль
-
Судя по логу, squid коннекты отрабатывает, так что дальнейшие поиски надо вести в программах, делающих https-запросы. Попробуйте сменить браузер, удалите cookies.
Аську вы не видите в логах потому, что squid делает запись в лог только по окончании запроса CONNECT. При переходе аськи в оффлайн или при закрытии программы в логе должно появиться сообщение со строкой CONNECT и длиной запроса – количеством байт, переданных по данному соединению.
Каким клиентом вы пользуетесь? У меня народ пользется Мирандой, через прокси бегает, проблем нет.
Попробуйте аську выпустить наружу напрямую, минуя прокси. Правило на интерфейсе LAN вам это позволяет. -
в основном qip
а браузеры я разные уже пробовал одинаково
в первом посте я писал что делаю шлюз взамен юзергейт вот значит на данный момент в сети получается 2 шлюза стоит 172.16.8.5 w2k3 + usergate и второй 172.16.8.8. pfsense и наблюдается такая фиговина в основном в опере я иду на страничку ну произвольно к примеру nix.ru тыкаю Ссылки на контент, прайс итд и в какой-то момент времени вылазит табличка которая предлагает мне пройти авторизацию на прокси только не на 172.16.8.8 а на юзергейт тоесть на 172.16.8.5 ну это так мысли вслух скажем может из-за этого все проблемыа вотут можно поподробней ""Попробуйте аську выпустить наружу напрямую, минуя прокси. Правило на интерфейсе LAN вам это позволяет."" или примерно носом в мануал, для меня честно контроллер домена поднять проще чем freebsd настроить
-
Похоже, у вас происходит путаница.
Если вы собираетесь пускать всех клиентов через pfSense, то вам надо указать адрес его LAN-интерфейса в качестве шлюза. Или вообще включить dhcp на нём, тогда параметры будут выдаваться автоматически.
Включен ли DNS Forwarder в pfSense?
У вас, вы писали, поднят DC в сети? Следовательно, есть DNS-сервер контроллера домена.
Тогда клиентам надо отдавать адрес доменного DNS-сервера, а уже в доменном DNS можно в качестве форвардера прописать ip-адрес pfSense.
Опишите настройки клиентов: указан ли LAN-интерфейс pfSense в качестве шлюза в сетевых настройках? Правильно ли прописан DNS-сервер?
То, что у вас пояляется окно с авторизацией на UserGate наводит на мысль, что вы выпускаете pfSense в Интернет через него. Получается двойной прокси, тут и может крыться проблема. Попробуйте выпустить pfSense напрямую, минуя UserGate.
Насчет аськи - просто выключите использование прокси-сервера в клиенте. В правилах для LAN-интерфейса у вас разрешено прохождение пакетов из LAN сети куда угодно.
Не используя прокси, клиент, будь то аська или браузер, сможет обратиться к удаленному хосту в случае, если у него прописаны корректные параметры:
1. ip-адрес с маской;
2. шлюз;
3. dns-сервер.А вообще, было бы неплохо, если бы вы привели схему сети. Было бы понятнее, где может быть проблема.
-
как построена сеть это очень долго расписывать примерно я нарисовал
а вообще там три разные подсети, клиенты отделены друг от друга, политиками запрещен доступ к различным данным итдно сейчас конкретно для примера я беру общую сеть 172.16.8.* на ней происходит тест
а в те дебри лезть не стоит мне очень долго придется описывать на какой я такое тут нагородил“в доменном DNS в качестве форвардера ip-адрес pfSense.” Точно так и сделано тока их там 2 и pfsens и usergate
LAN-интерфейс
Адреса получаем автоматически
IP-адрес: 172.16.8.50
Маска подсети: 255.255.252.0
Основные шлюзы: 172.16.8.5, 172.16.8.8
DHCP-сервер: 172.16.8.80
Аренда получена: 27.01.2012 5:15:55
Аренда истекает: 03.02.2012 5:15:55
DNS-сервер: 172.16.8.40В pfsense - DNS forwarder включен
Не не usergate и pfsens стоят паралельно
Зарисовка сети плюс минус
-
Основные шлюзы: 172.16.8.5, 172.16.8.8
Исключите у клиентов упоминание ip-адреса, на котором стоит UserGate – не должно быть его ни в шлюзах, ни в прокси-серверах.
-
Вы говорите если с аськи убрать авторизацию должно работать но при настройки прокси я же там что-то ставлю и инет у всех вырубает и включает только для разрешенных подсетей
а точто вы говорите убрать второй который usergate пока что нет возможности отчет у бухов хотя
могу смоделировать сеть и несколько клиентов на виртуалке -
-
Вы говорите если с аськи убрать авторизацию должно работать но при настройки прокси я же там что-то ставлю и инет у всех вырубает и включает только для разрешенных подсетей
а точто вы говорите убрать второй который usergate пока что нет возможности отчет у бухов хотя
могу смоделировать сеть и несколько клиентов на виртуалкеНаверное, вам стоит пояснить, хотя бы в общих словах, как работает http-клиент.
Если в клиенте прописано, что надо использовать прокси, он шлёт http-запросы именно на него. Прокси-сервер, в зависимости от выставленных правил, либо получает для клиента объект по запрошенному адресу и отдает его, либо, если стоит запрет, не получает объект и сообщает о запрете клиенту клиенту (ошибка http 403). При этом клиент может не использовать ни DNS, ни шлюз по умолчанию, так как все операции по определению ip по имени хоста и отправку запроса на удаленный http-сервер берёт на себя прокси.
Если клиенту не указано, что надо использовать прокси, клиент шлёт http-запросы непосредственно на хост, указанный в URL, через шлюз по умолчанию, самостоятельно определяя адрес по имени хоста, делая запрос к серверу DNS. Прокси в данной ситуации вообще не при чём, все http-запросы идут мимо него. Потому и не действуют ограничения, которые вы указали в прокси.
В связи с этим я и предлагал отключить использование прокси в клиентах, чтобы выявить звено, в котором возникает проблема. -
Спасибо огромное всем за помощь лучшее во всем деле оказывается выспаться как-то после 2х суток мозг отключен видимо напрочь
Нарисовал на виртуалке новую сетку завернул ее на pfsense без параллельных гейтов все заработало
Глюк был из-за параллельно стоящего usergate
Пока не совсем разобрался с правилами фаэрвола
Я их немного подправил
Не могу запустить чтобы с ftp качало через 3128
Вопросик насколько актуально антивирус на шлюзе скорость инета итак не айс
-
Squid - http-прокси, следовательно в вашем ftp-клиенте это и надо указать.
К примеру, в Total Commander можно явно указать в настройках ftp-соединения, что используемый прокси имеет тип http. -
это все так
аську я запустил через 3128 заработала
к примеру берем Internet Explorer в нем написано использовать прокси ip 172.16.8.8:3128
Инет работает
ftp не хочет
ставлю ну к примеру адрес 192.168.1.55 втыкаюсь в хаб после модема
напрямую с модема все качается с ftp итд
переходим под сквид ставлю себе на лан к примеру адрес 172.16.8.240 либо получаю от DHCP какой нибудь там 172.16.10.48 не дает скачать с ftp ресурсов говорит ошибкасайт произвольный
ОШИБКА
Запрошенный URL не может быть доставлен
–------------------------------------------------------------------------------
Во время доставки URL: ftp://ftp2.nix.ru/download/price/Nix3.ZIP
Произошла следующая ошибка:
Превышено время ожидания ответа.
Система сообщила:
[No Error]Превышено время ожидания ответа во время чтения данных из сети. Сеть или сервер не работают либо перегружены. Пожалуйста, повторите запрос.
–------------------------------------------------------------------------------
Generated Fri, 03 Feb 2012 06:00:28 GMT by (squid)либо вот так
К сожалению, Google Chrome не может открыть страницу ftp2.nix.ru.
Попробуйте:
Перейдите на страницу nix.ru
Снова откройте страницу: ftp://ftp2.nix.ru/download/price/Nix3.ZIP -
Во время доставки URL: http://ftp://ftp2.nix.ru/download/price/Nix3.ZIP
Так вы посмотрите на URL, он у вас некорректный. Префикс должен быть один, либо "http://", либо, как в вашем случе, "ftp://"
-
Во время доставки URL: http://ftp://ftp2.nix.ru/download/price/Nix3.ZIP
Так вы посмотрите на URL, он у вас некорректный. Префикс должен быть один, либо "http://", либо, как в вашем случе, "ftp://"
Это форум добавил. Нужно писать с префиксом _..
-
Тогда надо посмотреть вывод команды tail -f /var/squid/log/access.log
Проделал то же самое у себя, в логе появляется запись:
1328525035.994 1394 192.168.40.9 TCP_MISS/200 735269 GET ftp://ftp2.nix.ru/download/price/Nix3.ZIP remark DIRECT/195.128.95.131 application/zip192.168.40.9 - мой локальный IP; браузер Firefox 10.0/Win32, стоит галочка "один прокси-сервер для всех протоколов", прокси прописан явно (не прозрачный).