Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Pfsense 2.1+LDAP(AD авторизация) +squid3 в интернет пускает всех

    Russian
    4
    22
    6868
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lex 0 last edited by

      Добрый день, имею настроенный Pfsense +LDAP(AD авторизация) +squid3+LightSquid, пользователи выходят в интернет по доменной авторизации,  у которых прописан в свойствах браузера прокси  с портом 3128. По ним ведется статистика по логинам, по посещенным сайтам в LightSquid. Те у которых прокси сервер не прописан в с свойствах браузера, тоже выходят в интернет, как им запретить доступ в интернет? Делал по следующим мануалам:

      https://forum.pfsense.org/index.php/topic,46843.0.html

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother last edited by

        Пускает в WEB? Куда угодно?

        Запрещающими правилами для LAN.

        Правило, созданное по умолчанию

        • LAN net * * * * none   Default allow LAN to any rule
          наверняка осталось?
        1 Reply Last reply Reply Quote 0
        • L
          lex 0 last edited by

          Пускает в WEB? Куда угодно?

          Да, пускает всех и куда угодно

          Правило, созданное по умолчанию
          *    LAN net    *    *    *    *    none        Default allow LAN to any rule
          наверняка осталось?

          Осталось, если я его уберу, то тогда никого не пускает никуда

          1 Reply Last reply Reply Quote 0
          • P
            pigbrother last edited by

            @lex:

            Пускает в WEB? Куда угодно?

            Да, пускает всех и куда угодно

            Правило, созданное по умолчанию
            *    LAN net    *    *    *    *    none        Default allow LAN to any rule
            наверняка осталось?

            Осталось, если я его уберу, то тогда никого не пускает никуда

            Прокси - Сквид, если настроен правильно на pfSense и клиентах, должен пускать в WWW НЕ используя Default allow LAN to any rule, которое с настройками по умолчанию позволяет из LAN ходить куда угодно.

            1 Reply Last reply Reply Quote 0
            • L
              lex 0 last edited by

              Подскажите, что я делаю неправильно? Вот выкладываю скриншоты настроек.




              1 Reply Last reply Reply Quote 0
              • L
                lex 0 last edited by

                Вот еще






                1 Reply Last reply Reply Quote 0
                • D
                  dvserg last edited by

                  Ну а настройки клиентов что?

                  SquidGuardDoc EN  RU Tutorial
                  Localization ru_PFSense

                  1 Reply Last reply Reply Quote 0
                  • L
                    lex 0 last edited by

                    у клиентов прописан прокси в свойствах браузера


                    1 Reply Last reply Reply Quote 0
                    • L
                      lex 0 last edited by

                      Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

                      1 Reply Last reply Reply Quote 0
                      • werter
                        werter last edited by

                        @lex:

                        Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

                        Так у вас на fw есть разрешающее все правило. Удалите его.

                        Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.

                        1 Reply Last reply Reply Quote 0
                        • D
                          dvserg last edited by

                          @werter:

                          @lex:

                          Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

                          Так у вас на fw есть разрешающее все правило. Удалите его.

                          • Добавьте правило для прохождения DNS

                          SquidGuardDoc EN  RU Tutorial
                          Localization ru_PFSense

                          1 Reply Last reply Reply Quote 0
                          • L
                            lex 0 last edited by

                            @werter:

                            @lex:

                            Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

                            Так у вас на fw есть разрешающее все правило. Удалите его.

                            Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.

                            Да, на pfsense 2 сетевые карты, одна WAN в интернет, другая LAN внутрь. Разрешающее правило я удалял, тогда никуда никто не мог выйти

                            1 Reply Last reply Reply Quote 0
                            • L
                              lex 0 last edited by

                              @dvserg:

                              @werter:

                              @lex:

                              Проблема заключается в том, у кого этот прокси  не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???

                              Так у вас на fw есть разрешающее все правило. Удалите его.

                              • Добавьте правило для прохождения DNS

                              Сделал так как вы посоветовали, в результате те у кого в браузере прописан прокси, не могут выйти, а у кого нет, то выходят в интернет


                              1 Reply Last reply Reply Quote 0
                              • D
                                dvserg last edited by

                                1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
                                2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.

                                Upd:
                                Для начала в Squid уберите авторизацию.

                                SquidGuardDoc EN  RU Tutorial
                                Localization ru_PFSense

                                1 Reply Last reply Reply Quote 0
                                • L
                                  lex 0 last edited by

                                  @dvserg:

                                  1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
                                  2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.

                                  Upd:
                                  Для начала в Squid уберите авторизацию.

                                  1. Убрал правило, тоже самое, никто не может выходить.
                                  2. В чем проблема, подскажите\покажите скриншот как надо и правильно настроить?! Прокси запущен и работает!

                                  1 Reply Last reply Reply Quote 0
                                  • L
                                    lex 0 last edited by

                                    А можно показать адекватные скриншоты Firewall rules, при данной связке SQUID + LDAP + AD? А так же настройки: Proxy server: General settings, Proxy server: Access control, Proxy server: Authentication.

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      dvserg last edited by

                                      Аутентификацию в None поставьте на первое время для проверки.

                                      SquidGuardDoc EN  RU Tutorial
                                      Localization ru_PFSense

                                      1 Reply Last reply Reply Quote 0
                                      • L
                                        lex 0 last edited by

                                        @dvserg:

                                        Аутентификацию в None поставьте на первое время для проверки.

                                        Аутентификацию в None поставил, в интернет не пускает!

                                        1 Reply Last reply Reply Quote 0
                                        • L
                                          lex 0 last edited by

                                          Все, разобрался, просто надо тупо было открыть порт 3128 и ….все!!!

                                          ![firewall LAN.jpg](/public/imported_attachments/1/firewall LAN.jpg)
                                          ![firewall LAN.jpg_thumb](/public/imported_attachments/1/firewall LAN.jpg_thumb)

                                          1 Reply Last reply Reply Quote 0
                                          • werter
                                            werter last edited by

                                            Дак вы порт во вне открыли. Причем здесь сквид?

                                            1 Reply Last reply Reply Quote 0
                                            • L
                                              lex 0 last edited by

                                              @werter:

                                              Дак вы порт во вне открыли. Причем здесь сквид?

                                              Ну теперь те у кого прокси не прописан в браузере, не смогут выйти в интернет, а те у кого прописан прокси, ходят через Squid. То что я и хотел….
                                              Что-то неправильно? Как правильно, в плане безопасности сети, настроить правила фаервола при связке squid + LDAP(AD авторизация) ? Подскажите!!!

                                              1 Reply Last reply Reply Quote 0
                                              • werter
                                                werter last edited by

                                                Тогда в последнем правиле добавьте в Destination - Lan address. Порт не трогайте. Иначе вы разрешаете всем доступ по порту 3128 куда-угодно во вне.

                                                1 Reply Last reply Reply Quote 0
                                                • First post
                                                  Last post