Duda reglas firewall con Multiwlan + squid



  • Buenas

    Estoy configurando un servidor con proxy y multiwan usando 2 lineas ADSL y tengo todo funcionando a falta de las reglas del firewall. Mi duda es como configurar las reglas para que desde el LAN solo se pueda acceder a algunos puertos del exterior (80,443,53,25….) dado que para que funcione el multiWAN tengo que añadir la regla siguiente y entiendo que esta esta regla da acceso total desde LAN al exterior por lo que antes restrinja el acceso usando otras reglas no servirá de nada.

    Proto: any
    Source: any
    Destination: any
    gateway: MultiWan (mi grupo)

    Ademas de esa regla tambien tengo en floating la regla siguiente para que squid funcione correctamente con las dos WAN

    Proto: TCP
    Source: any
    Destination: any
    d.port: 80,443
    gateway: MultiWan (mi grupo)

    Muchas gracias



  • @sgs:

    Proto: any
    Source: any
    Destination: any
    gateway: MultiWan (mi grupo)

    Pues en lugar de esta regla en LAN que permite todo hacia afuera tienes que poner reglas que permitan sólo los subprotocolos (TCP, UDP…) y destinos (53, 25...) que desees.

    En cuanto a la Floating vi por ahí hace tiempo que se hacía para que squid funcionara en modo multiwan. Pero no te puedo decir más porque suelo emplear un segundo pfSense como balanceador para que la estructura quede más clara.



  • Gracias, es lo que imaginaba que tendría que hacer pero supondrá trabajo extra de crear las reglas no solo para el multiwan sino para cada gateway en caso de que una falle.



  • Finalmente he optado por mantener el proxy que ya teniamos y utilzar pfsenese solo para configurar el multiWAN y el firewall.

    Parecía que todo funcionaba bien ayer pero ahora las webs https van lentísimas y en los gráficos de trafico no veo que se este haciendo un uso intensivo de la conexión. He probado a crear una regla que haga pasar todo el trafico https directamente a una linea en lugar de ser balanceado pero no ha mejorado. He provado con la opcion de sticky connections de SYSTEM > ADVANCE pero tampoco hay ninguna diferencia.

    Alguna sugerencia?



  • Prueba a poner tu proxy directo a una conexión, para descartar cosas.

    No debería haber ralentización de https. No tiene demasiado sentido.

    Revisa los tiempos de resolución DNS.

    Eso sí, las conexiones https conviene no balancearlas. Hay bastantes que exigen que se mantenga la IP de origen.



  • Buenas

    El problema es que las estaba balanceando pero una vez force el traffico https por una sola conexion ya funcionaba bien.

    Gracias



  • Buenas….tengo entendido que el trafico https no se puede balancear....son conexiones seguras...solo el trafico http....por eso tu error...y de seguro se te caian las conexiones a bancos y correos y youtube y face...esos protocolos deben ir por una sola...el balanceo solo sirve para descargas directas...y puertos no seguros...