Squid İçin NAT Ayarları



  • Merhaba
    3 Tane interface var. 1 LAN (192.168.42.x), 1 WAN (192.168.10.x) ve 1 OPT (WIFI)(10.0.0.x)
    SQUID'i LAN ve WIFI için etkinleştirdim. LDAP Authentication yapıyorum. WIFI kullanıcıları için LDAP devre dışı.
    LAN kullanıcıları proxy yazarak internete çıkıyorlar ve bir problem yok.
    WIFI kullanıcıları için DCHP etkin ve 10'lu ip dağıyor. Gateway WIFI bacağı(10.0.0.1).
    Şimdi WiFi'den bağlanan bilgisayarlara proxy yazdığımda internete çıkabiliyorlar. Ve Squid'e Log düşüyor. Yazmadığımda da internet çalışıyor ama Squid'e log düşmüyor hali ile.
    Bunlar genelde misafir olacağı için proxy yazmak ile uğraşmak istemiyorum. Dolayısı ile de NAT yapıyorum(Daha doğrusu yapmaya çalışıyorum). HTTP'ye giden istekleri 3128 'e redirect ediyorum.
    İşte burada takıldım. Problem ne bir türlü çözemedim. Kuralımı yanlış yazıyorum nedir? Yardımcı olur musunuz? Nasıl bir ayar yapmalıyım?

    Squid'i Transparent mode da kullanmayı önerecek arkadaşlar için; transparent mode'da Ldap authentication çalışmıyor.

    Nat Ayar Sayfası
    http://a1209.hizliresim.com/11/7/crjhg.jpg

    Aldığım Hata
    http://a1209.hizliresim.com/11/7/crjk5.jpg



  • merhaba,
    rules tabında wifi için kural oluşturup,
    source - any
    destination - ip any
    port : 53-80
    bilgilerini girin. yapınızda nat yapmanızı gerektirecek herhangi bir durum yok.
    ayrıca internet erişimi aldıktan sonra ekstra portlarınızıda ayrı bir kural ile wifi tabında ekleyiniz.
    mevcut ayarlarınızda squid üzerinde hem wifi hem de lan etkin ise, squid network tarafında Allowed Subnets altına wifi ve lan ip bloklarınızı ekleyerek denerseniz, raporda alabilirsiniz.
    keyifli çalışmalar




  • Squid üzerinde hem wifi hem de lan etkin, Allowed Subnets 'e birşey yazmadım. Subnetlerimi yazdığımda aşağıdaki linkteki gibi hata alıyorum. Onu da anlamadım ayrı mevzuu.
    http://c1209.hizliresim.com/11/7/crxyu.jpg

    Herneyse ben proxy yazdığımda zaten internete çıkabiliyorum ve loglara düşüyor. Yazmadan da çıkabiliyorum. O zaman log'lamıyor hali ile. Benim mevzuu farklı. Ben wifi interface'den bağlanan bilgisayarların proxy yazmadan proxy üzerinden çıkmasını istiyorum.
    http://forum.pfsense.org/index.php/topic,47970.0.html adresindeki "Blasterreal" bahsettiği olay.
    ….......
    proxy ayarlarını dansguardian için her bilgisayara elle girmek gerek normalde bunu yapmak uzun ve yorucu biriş olacagından lan tarafına nat yönlendirmesi yaparak bunu aşabiliriz;

    Firewall/NAT

    • Düğmesine basıp bir kural ekleyin
      Interface: LAN
      Protocol: TCP
      Source: LAN subnet
      Destination: any
      Destination Port: HTTP to HTTP
      Redirect IP: "pfsense lan ip adresi örneğin;10.10.10.1"
      Redirect Target Port: 8080

    Yukarıdaki yönlendirmeyi yaptıktan sonra internet explorer proxy ayalarını manuel girdi iseniz otomatiğe çekebilirsiniz.
    ...............



  • tekrar merhaba,
    tam olarak sizin mevzunuzu bir önceki portta cevaplandırsamda,
    herneyse , transparent proxy squid tarafında seçilimidir ?



  • Selam,

    Öncelikle SQUID üzerinde hem transparent hem de LDAP yapmak biraz zahmetli (böyle bir yapıyı denemedim) sizin yerinizde ben olmuş olsaydım ikinci bir cihaz kurup ya da (bunu isterseniz vmware üzerinde de kurabilirsiniz) hem ldap doğrulaması hemde misafirlere herhangi bir ayar yapmadan interneti paylaştırmak için. Anlaşılmayan mevzu içinse (External Cache Manager) ip adresinin en sondakinin ";" işaretini kaldırıp tekrar kaydetmeyi denemelisiniz.

    Sevgilerle,
    SGTR



  • Derdi o muymuş. Sondaki ";" kaldırınca düzeldi. Allow Subnets Kısmına Hem 192.li hemde 10.lu Subnet'lerimi ekledim. Eklemeden de internet çıkışı yapabiliyordum ama neyse.
    İlk post'ta da belirttiğim gibi trasnparent mode'a çektiğimde LDAP çalışmıyor.
    Daha önceden öyleydi zaten. Lokal kullanıcılar 1 Pfsen'den Wifi Kullanıları diğer PF'den çıkıyorlardı. İşte bunu yapmak istemiyorum.
    Sanırım NAT yapmam gerekiyor ama bir türlü çalıştıramadım işte.


Log in to reply