Tcp_outgoing_address para 3 links diferentes passando pelo proxy
-
Estou com um problema que não consigo resolver.
Preciso configurar tres redes de lan sairem por tres links diferentes
As 3 redes lan passam pelo proxy,
define as acls assim:acl rede1 192.168.1.0/24; http_access allow rede1; tcpoutgoing_address link1 rede1;
acl rede2 192.168.2.0/24; http_access allow rede2; tcpoutgoing_address link2 rede2;
acl rede3 192.168.3.0/24; http_access allow rede3; tcpoutgoing_address link3 rede3;porém quando tento sair com o proxy setado ele sai pelo link default em system > routing > gateways
As maquinas que não passam pelo proxy consigo fazer sair configurando no firewall e definindo o gateway.
Espero que possam me dar uma luz,
desde já, obrigado.
-
Sim… porque seu proxy deve ser transparent, não?!
Você vai encontrar dezenas de posts aqui mesmo no fórum falando sobre isso...
Mas quando o teu proxy é transparent, o pacote sai com o endereço do próprio pfSense no cabeçalho!
Abraços!
Jack -
Jack, obrigado pela resposta…
mas não, meu proxy não é transparente, e eu bloqueio as portas 80 e 443 no firewall.
é como eu disse, as maquinas que passam por fora do proxy funciona, porém quando o gateway nas estações navega por elas não funciona.
Já tentei criar uma regra direcionando os gateways das redes forçando cada um sair por um link mas não funciona, eles saem pelo gateway default.
-
Além do tcp_outgoing_address, você pode precisar de regras a aba floating.
-
Marcelo, obrigado pela resposta…
As regras que fiz para direcionar os gateways da rede foram em float, fiz também as regras para direcionar toda subnet das lans, uma para cada link.
Monitorando pelo pftop, quando o ip que faz a requisição é o gateway da lan ele nem me mostra o gateway de saida.
Creio eu que seja por estar assumindo o gateway default.
-
Já tentou colocar o ip de saída da interface que você quer no tcp_outgoing_address?
consegue fazer o teste individualmente para saber em que momento para de funcionar?
Normalmente, usamos o tcp_outgoing_address com 127.0.0.1 para aplicar regras na aba floating, mas acredito que se o squid estiver interpretando corretamente a acls, um tcp_outgoing_address para um ip valido de suas wans já direcione corretamente o tráfego.
-
Ja fiz os teste a partir de uma unica lan e um unico link.
nos meus teste, o direcionamento da sublan através de um link para de funcionar quando a requisição vem do gateway da rede, nesse caso quando o proxy esta navegando.
ja fiz os teste com o tcp_outgoing_address das seguintes formas:
setando o gateway da lan tcp_outgoing_address 172.16.0.1 (ip de lan/gateway da rede) rede1 (acl que libera a lan)
tcp_outgoing_address link1 (gateway de saida do link 1) rede1 (acl que libera a lan).
Já fiz as regras tanto em floating como nas abas das interfaces.
pelo tcpdump, não peguei nada e pelo pftop como eu disse, quando o ip que faz a requisição é o gateway da rede (ou seja, o proxy) nem me mostra o gateway de saida.
-
tcp_outgoing_address link1 (gateway de saida do link 1) rede1 (acl que libera a lan).
kanazuchi,
O tcp_outgoing_address é usada para definir qual o ip de saída do pacote, você esta confundindo com gateway
Se no seu pfsense o ip 189.89.x.y esta atribuido na wan, então você pode criar uma acl com
tcp_outgoing_address 189.89.x.y man nunca com o ip do gateway.Já ia me esquecendo de outro detalhe… Bem vido ao fórum! :)
-
obrigado pelas boas vindas Marcelo, é um prazer conviver com pessoas do nivel de vocês, sempre.
Já em relação ao ip de saida e gateway, apenas me expressei mal.
o ip da minha wan é 189.x.x.3 e meu gateway é o 189.x.x.5
defini o tcp_outgoing_address com o ip da wan 189.x.x.3
Eu estou pensando em reinstalar o sistema…
Antes de abrir o topico eu li a documentação do squid referente ao tcp_outgoing_address e já tentei inumeras configurações inclusive as postadas nos foruns em ingles.
Vou continuar testando algumas configurações e se obter sucesso eu posto aqui no forum.
Enquanto isso aguardo uma luz...