Pfsense 2.1+LDAP(AD авторизация) +squid3 в интернет пускает всех
-
Добрый день, имею настроенный Pfsense +LDAP(AD авторизация) +squid3+LightSquid, пользователи выходят в интернет по доменной авторизации, у которых прописан в свойствах браузера прокси с портом 3128. По ним ведется статистика по логинам, по посещенным сайтам в LightSquid. Те у которых прокси сервер не прописан в с свойствах браузера, тоже выходят в интернет, как им запретить доступ в интернет? Делал по следующим мануалам:
https://forum.pfsense.org/index.php/topic,46843.0.html
-
Пускает в WEB? Куда угодно?
Запрещающими правилами для LAN.
Правило, созданное по умолчанию
- LAN net * * * * none Default allow LAN to any rule
наверняка осталось?
- LAN net * * * * none Default allow LAN to any rule
-
Пускает в WEB? Куда угодно?
Да, пускает всех и куда угодно
Правило, созданное по умолчанию
* LAN net * * * * none Default allow LAN to any rule
наверняка осталось?Осталось, если я его уберу, то тогда никого не пускает никуда
-
@lex:
Пускает в WEB? Куда угодно?
Да, пускает всех и куда угодно
Правило, созданное по умолчанию
* LAN net * * * * none Default allow LAN to any rule
наверняка осталось?Осталось, если я его уберу, то тогда никого не пускает никуда
Прокси - Сквид, если настроен правильно на pfSense и клиентах, должен пускать в WWW НЕ используя Default allow LAN to any rule, которое с настройками по умолчанию позволяет из LAN ходить куда угодно.
-
Подскажите, что я делаю неправильно? Вот выкладываю скриншоты настроек.
-
Вот еще
-
Ну а настройки клиентов что?
-
у клиентов прописан прокси в свойствах браузера
-
Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???
-
@lex:
Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???
Так у вас на fw есть разрешающее все правило. Удалите его.
Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.
-
-
@lex:
Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???
Так у вас на fw есть разрешающее все правило. Удалите его.
Ps. Pfsense - единственный на пути к Интернету? Или что-то есть еще? Схему сети прилагайте.
Да, на pfsense 2 сетевые карты, одна WAN в интернет, другая LAN внутрь. Разрешающее правило я удалял, тогда никуда никто не мог выйти
-
@lex:
Проблема заключается в том, у кого этот прокси не прописан в свойствах браузера, тоже выходят в интернет и трафик не отражается в статистике, как им запретить выход в интернет???
Так у вас на fw есть разрешающее все правило. Удалите его.
- Добавьте правило для прохождения DNS
Сделал так как вы посоветовали, в результате те у кого в браузере прописан прокси, не могут выйти, а у кого нет, то выходят в интернет
-
1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.Upd:
Для начала в Squid уберите авторизацию. -
1. Предпоследним правилом Вы разрешаете тем, у кого не прописан прокси выходить в интернет. Это не должно быть так.
2. У Вас проблема с настройками прокси. Проверьте запущен ли он и что есть в логах.Upd:
Для начала в Squid уберите авторизацию.1. Убрал правило, тоже самое, никто не может выходить.
2. В чем проблема, подскажите\покажите скриншот как надо и правильно настроить?! Прокси запущен и работает! -
А можно показать адекватные скриншоты Firewall rules, при данной связке SQUID + LDAP + AD? А так же настройки: Proxy server: General settings, Proxy server: Access control, Proxy server: Authentication.
-
Аутентификацию в None поставьте на первое время для проверки.
-
Аутентификацию в None поставьте на первое время для проверки.
Аутентификацию в None поставил, в интернет не пускает!
-
Все, разобрался, просто надо тупо было открыть порт 3128 и ….все!!!
 -
Дак вы порт во вне открыли. Причем здесь сквид?
-
Дак вы порт во вне открыли. Причем здесь сквид?
Ну теперь те у кого прокси не прописан в браузере, не смогут выйти в интернет, а те у кого прописан прокси, ходят через Squid. То что я и хотел….
Что-то неправильно? Как правильно, в плане безопасности сети, настроить правила фаервола при связке squid + LDAP(AD авторизация) ? Подскажите!!! -
Тогда в последнем правиле добавьте в Destination - Lan address. Порт не трогайте. Иначе вы разрешаете всем доступ по порту 3128 куда-угодно во вне.
