Pfsense 2.1+LDAP(AD авторизация) +squid3 в интернет пускает всех



  • Добрый день, имею настроенный Pfsense +LDAP(AD авторизация) +squid3+LightSquid, пользователи выходят в интернет по доменной авторизации,  у которых прописан в свойствах браузера прокси  с портом 3128. По ним ведется статистика по логинам, по посещенным сайтам в LightSquid. Те у которых прокси сервер не прописан в с свойствах браузера, тоже выходят в интернет, как им запретить доступ в интернет? Делал по следующим мануалам:

    https://forum.pfsense.org/index.php/topic,46843.0.html



  • Пускает в WEB? Куда угодно?

    Запрещающими правилами для LAN.

    Правило, созданное по умолчанию

    • LAN net * * * * none   Default allow LAN to any rule
      наверняка осталось?


  • Пускает в WEB? Куда угодно?

    Да, пускает всех и куда угодно

    Правило, созданное по умолчанию
    *    LAN net    *    *    *    *    none        Default allow LAN to any rule
    наверняка осталось?

    Осталось, если я его уберу, то тогда никого не пускает никуда



  • @lex:

    Пускает в WEB? Куда угодно?

    Да, пускает всех и куда угодно

    Правило, созданное по умолчанию
    *    LAN net    *    *    *    *    none        Default allow LAN to any rule
    наверняка осталось?

    Осталось, если я его уберу, то тогда никого не пускает никуда

    Прокси - Сквид, если настроен правильно на pfSense и клиентах, должен пускать в WWW НЕ используя Default allow LAN to any rule, которое с настройками по умолчанию позволяет из LAN ходить куда угодно.



  • Подскажите, что я делаю неправильно? Вот выкладываю скриншоты настроек.






  • Вот еще








  • Ну а настройки клиентов что?



  • у клиентов прописан прокси в свойствах браузера




  • Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???



  • @lex:

    Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

    Так у вас на fw есть разрешающее все правило. Удалите его.

    Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.



  • @werter:

    @lex:

    Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

    Так у вас на fw есть разрешающее все правило. Удалите его.

    • Добавьте правило для прохождения DNS


  • @werter:

    @lex:

    Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

    Так у вас на fw есть разрешающее все правило. Удалите его.

    Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.

    Да, на pfsense 2 сетевые карты, одна WAN в интернет, другая LAN внутрь. Разрешающее правило я удалял, тогда никуда никто не мог выйти



  • @dvserg:

    @werter:

    @lex:

    Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

    Так у вас на fw есть разрешающее все правило. Удалите его.

    • Добавьте правило для прохождения DNS

    Сделал так как вы посоветовали, в результате те у кого в браузере прописан прокси, не могут выйти, а у кого нет, то выходят в интернет




  • 1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
    2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.

    Upd:
    Для начала в Squid уберите авторизацию.



  • @dvserg:

    1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
    2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.

    Upd:
    Для начала в Squid уберите авторизацию.

    1. Убрал правило, тоже самое, никто не может выходить.
    2. В чем проблема, подскажите\покажите скриншот как надо и правильно настроить?! Прокси запущен и работает!



  • А можно показать адекватные скриншоты Firewall rules, при данной связке SQUID + LDAP + AD? А так же настройки: Proxy server: General settings, Proxy server: Access control, Proxy server: Authentication.



  • Аутентификацию в None поставьте на первое время для проверки.



  • @dvserg:

    Аутентификацию в None поставьте на первое время для проверки.

    Аутентификацию в None поставил, в интернет не пускает!



  • Все, разобрался, просто надо тупо было открыть порт 3128 и ….все!!!

    ![firewall LAN.jpg](/public/imported_attachments/1/firewall LAN.jpg)
    ![firewall LAN.jpg_thumb](/public/imported_attachments/1/firewall LAN.jpg_thumb)



  • Дак вы порт во вне открыли. Причем здесь сквид?



  • @werter:

    Дак вы порт во вне открыли. Причем здесь сквид?

    Ну теперь те у кого прокси не прописан в браузере, не смогут выйти в интернет, а те у кого прописан прокси, ходят через Squid. То что я и хотел….
    Что-то неправильно? Как правильно, в плане безопасности сети, настроить правила фаервола при связке squid + LDAP(AD авторизация) ? Подскажите!!!



  • Тогда в последнем правиле добавьте в Destination - Lan address. Порт не трогайте. Иначе вы разрешаете всем доступ по порту 3128 куда-угодно во вне.


Log in to reply