Squid Funcionando em apenas 1faixa de ips



  • Bom, Estou começando a me familiarizar com o pfsense, ainda sou novato e estou preso em um problema.
    Minha rede se encontra da seguinte forma:
    Roteador ->(wan) Pfsense (lan)-> rede (ranger de ip 192.168.0.1 - 192.168.4.254 com mascara de subrede 255.255.0.0)

    As regras de firewall, NAT, Bandwidthd estão funcionando perfeitamente, meu problema está no squid com proxy transparente.
    configurei ele corretamente olhando varios tutoriais mas apresentou um problema que ainda nao consegui desvendar.
    todos os ips da faixa 192.168.0.0 estão funcionando perfeitamente, passando pelo proxy e bloqueios corretamente, no entanto, todas as outras faixas(192.168.1.1 até 192.168.4.254) apenas navegam no google, hotmail e paginas em https. a principio achei que era a opção "Allowed subnets" que eu preenchi com "192.168.0.0/24" mas ja tentei de tudo e sem sucesso. como posso proceder sobre este problema?
    estou parado no squid pois preciso dele para gerar os logs para o Lightsquid (Lightsquid está funcionando, mas como apenas faixa 0 passa no squid, todos os reports sao dos mesmos), qndo ele funcionar eu irei configurar o squidguard.
    na minha rede tem um servidor dhcp, dns, dominio e fileserver.



  • "Allowed subnets" que eu preenchi com "192.168.0.0/24" mas ja tentei de tudo e sem sucesso.

    Ainda esta com /24?  Tentou /16.  A mask  LAN do firewall está correta



  • Precisamos entender sua topologia.

    Essas outras faixas são subredes separadas? Ou é tudo parte damesma subrede, onde os computadores possuem mascara de subrede /23 /22 por exemplo?

    Estas faixas estão em outra interface do PFSense? Se sim, é preciso selecionar essa interface no Squid também.



  • é uma unica rede, numa mesma interface lan no pfsense, a mascara lan e wan do pfsense está /16, ja testei Allowed subnets com /16 e também testei colocando mais de um item(ex:192.168.0.0/24 e 192.168.1.0/24… com /16 mesma coisa). a mascara das maquinas estao 255.255.0.0, qndo eu amarro meu ip com 192.168.0.167 por exemplo, funciona de boa, mas se eu troco para 192.168.1.167, da o problema de navegar apenas em https. se eu desativar o squid, todas as faixas de ip navegam seguindo as regras de aliases criadas corretamente sem nenhum problema.

    roteador está com ip 192.168.1.1/16
    wan pfsense está com 192.168.1.17/16
    lan pfsense está com 192.168.50.1/16
    pfsense em modo bridge wan/lan
    abaixo do pfsense se encontra a rede numa unica interface(lan 192.168.50.1/16), com o ranger 192.168.0.1 até 192.168.4.254. como não sou especialista em rede, achei estranho pois as configuraçoes aparentam estar correta.

    atualmente Allowed subnets está com 192.168.0.0/16, mas parado no mesmo problema.



  • Não tenho experiência com redes dessa forma, mas um palpite.
    Na imagem anexa, o seu proxy está marcado a opção "Allow users on interface"?
    Pois uso assim e não preciso informar nada em "Allowed subnets".

    ![Proxy - allow users on interface.JPG](/public/imported_attachments/1/Proxy - allow users on interface.JPG)
    ![Proxy - allow users on interface.JPG_thumb](/public/imported_attachments/1/Proxy - allow users on interface.JPG_thumb)



  • "Allow users on interface" está ativo sim.

    minhas configurações estao assim:
    atualizado: 2.1.4-RELEASE (i386)
    <general>Proxy interface: "Lan"
    Allow users on interface: (on)
    Transparent proxy: (on)
    Bypass proxy for Private Address Space (RFC 1918) destination: (on)
    Bypass proxy for these source IPs: 192.168.1.10
    Enable logging: (on)
    Log store directory: "/var/squid/logs"
    Log rotate: 30
    Proxy port: 3128
    What to do with requests that have whitespace characters in the URI: (strip)
    Suppress Squid Version: (on)

    <access control="">Allowed subnets: 192.168.0.0/16
    Blacklist: "terra"
    External Cache-Managers: "127.0.0.1;192.168.1.17;192.168.50.1;"  -OBS(Foi preenchido sozinho em algum momento)

    nessas configuraçoes como eu disse, se eu coloco o ip da minha maquina com 192.168.0.50 tudo funciona perfeitamente, gera meus logs e o black list funciona, mas se eu mudo meu ip para 192.168.1.50 ou 192.168.2.50, ele para de navegar, apenas google e paginas https ficam liberadas, cheguei a formatar e configurar novamente mas aconteceu a mesma coisa, fiquei meio q sem opções pela interface web.</access></general>



  • como esta as regras no seu Firewall (Rule)? Vc liberou as outras redes na interface LAN?



  • Nas minhas rules, eu tenho o bloqueio de facebook, depois vem controle de banda para determinados ips, e no final, tudo liberado para todos. não creio que seria as regras de firewall porque se eu desligar o squid, todas as regras criadas e regras NAT funcionam perfeitamente para todas as faixas.
    Minhas regras de NAT são para servidor ftp, acesso remoto a 5computadores, acesso a DVR, acesso ao site. nenhuma das configurações me trouxeram problemas, tudo fluiu tranquilamente com as portas, exceto o squid.

    Estou atualmente usando mascara de subrede 255.255.0.0 que me possibilita usar muito mais ips do que realmente uso hoje, mas pelas minhas pesquisas eu poderia usar a mascara 255.255.252.0 que supriria com pouca folga.
    preciso de um ranger de ips assim porque trabalho numa faculdade tendo o administrativo+laboratórios e com wi-fi liberado para alunos, são mais de 800 alunos no mesmo horário, se cada aluno conectar 1 único telefone(sem contar notebooks) ja extrapolava a rede, o controle de banda nos ips liberados para wi-fi deu um up violento na internet do administrativo perfeitamente.

    meus ips estão separada da seguinte forma(sendo uma rede unica):
    faixas 192.168.0.0 e 192.168.1.0 para o administrativo e laboratórios com ips estáticos nas maquinas.
    faixas 192.168.2.0 e 192.168.3.0 e 192.168.4.0 disponibilizado pelo dhcp do windows server

    antes de configurar o firewall, minha rede estava ligada da seguinte forma:
    roteador ligado num Switch 32portas principal e era ele que jogava para outras maquinas, Switch e roteador wireless da rede.
    Apenas coloquei o firewall antes do switch principal, fazendo uma ponte entre o switch e o roteador.
    ficando: do roteador vai pro firewall e do firewall vai pro Switch que divide pra todo mundo.

    Pelos meus testes, sem o squid tudo funciona conforme o planejado com qualquer ip.

    Com o squid ligado e rodando mesmo sem nada na blacklist, minha maquina com qualquer ip dentro de 192.168.0.0/255.255.0.0 funciona passando pelo squid, gerando os relatórios no lightsquid, e tantos outros dispositivos na mesma faixa também estão gerando relatórios, mas nada alem de ips dentro de 192.168.0.1 ate 192.168.0.254
    se eu troco meu ip estático para outra faixa(192.168.1.1 até 192.168.4.254), ja não navega mais, apenas paginas https ja que o squid não consegue bloquea-las.

    nesses dias estou até estudando a configurar alterando o arquivo squid.conf pra ver se eu encontro algo.

    Obrigado pela atenção.



  • Entendi! Tenho um cliente com um roteador CISCO fazendo Rota para duas Redes 192.168.10.0/24 e 192.168.20.0/24. O Cisco possui outras rotas para VOZ, Câmeras entre outros tudo com controle de Banda dentro do CISCO. Para não desfazer isso e adicionar um Firewall na Rede tive que fazer uma Interlan ou seja uma Rota no Cisco direcionando todo Trafego da Rede 192.168.10.0/24 e 192.168.20.0/24 para o IP de Saída 192.168.200.1, que é o meu Firewall PFSENSE. Resumindo o Gateway nas estações continuou sendo o meu Cisco 192.168.10.1 que esta conectado diretamente ao meu Firewall.
    Meu Firewall esta na Rede 192.168.200.1/30 só para conversar com o CISCO que tem uma interface exclusiva com o Ip 192.168.200.2. Para meu Firewall PFSENSE Receber a Rede 192.168.10.0/24 e 192.168.20.0/24 criei a rota de retorno no PFSENSE em System > Routing passando pelo gateway 192.168.10.1 que é o CISCO pela Interface LAN e depois liberei as redes 192.168.10.0/24 e 192.168.20.0/24 em Firewall > Rules na Lan do Firewall PFSENSE.
    Dessa forma já funcionou a internet da mesma forma que vc falou para as outras redes.
    Depois que instalei o Squid parou de funcionar, então adicionei em Services > Proxy Server > Access Control no campo Allowed Subnets as redes 192.168.10.0/24 e 192.168.20.0/24 e o Squid passou a liberar a internet pelo Proxy. Obs: Tive problemas com a Versão do PFSENSE 2.1.4 32Bits e então fiz meu Firewall na versão 2.1 32Bits que acho a mais estável entre as outras. Não sei essa nova 2.1.5 que acabou de liberar. Usei o Squid 2.7.9 e SquidGuard-Devel 1.5_1.1. Tudo redondinho com bloqueio a Facebook por IP, BlackList e tudo mais.