Hirarquia de proxy no pfsense.
-
Bom dia a todos!
Estou tendo uma dificuldade em uma das minhas redes internas, depois que instalei o pfsense.
Instalei os pacotes squid3-dev e o squidguard-squid3. Habilitei o proxy como transparente.
Todas as estações da principal rede interna, navegam.O Problema está em uma das " sub-redes internas".
Tem um computador em um laboratório de informática que recebe internet normalmente do pfsense, mas não consegue repassar a navegação para as demais estações desse laboratório.
Nesse computador, tem instalado o debian squeeze com squid 2.7 stable9.
Configurei esse squid da seguinte forma:http_port 3128
visible_hostname piamarta
error_directory /usr/share/squid/errors/Portuguese/cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
icp_port 0cache_peer 192.168.200.1 parent 3128 0 no-query default
never_direct allow allhttp_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_portsacl redelocal src 192.168.137.0/24
http_access allow localhost
http_access allow redelocal
http_access deny allOnde:
192.168.200.1 = Ip do Pfsense
192.168.200.5 = Ip da maquina do laboratório que recebe internet do pfsense.192.168.131.1 = ip da segunda placa para distribuir internet para as estações.
Antes de usar o pfsense, tinha um servidor debian com squid sem ser transparente e tudo funcionava somente com a diretiva, cache-peer.
No pfsense, tem algo de diferente a ser feito para que um segundo proxy instalado em outra maquina da rede interna, receba e repasse a navegação?
Desde já, obrigado pela atenção.
Edgleyson.
-
acredito que voce precisa mudar a flag do ip_forward para 1
-
Caro Lucas Polli!
Sou novo em pfsense.
Poderia me orientar onde faço essa alteração?Meu pfsense é o 2.1.5 amd64.
Obrigado.
-
isso nao é no pfsense isso é no linux, a grosso modo o ip_forward é o que permite a comunicação entre as redes, normalmente se coloca isso na no script de firewall, mais existe outras formas de usar..
echo "1" > /proc/sys/net/ipv4/ip_forward
-
Mas antes do pfsense, eu tinha na rede somente um debian com iptables fazendo papel de firewall e tudo funcionava.
Porque tenho que fazer um script de firewall nessa maquina do laboratório para repassar a navegação?
Que eu saiba, o pfsense, faz o papel do iptables.
Ou estou equivocado?
-
bom, não conheço o seu ambiente, apenas estou tentando ajudar com o pouco que sei.. desconheço outra forma de um servidor linux "compartilhar" uma internet sem essa opção configurada, pode ser que exista, porém eu não sei como. Você liberou o ip do seu linux no firewall do pfsense? para saida para internet sem a necessidade de autenticar? pode ser isso, o seu linux não esta com acesso pois o proxy ou firewall do pfsense esta barrando.
-
Sei que está querendo ajudar e sou muito grato por isso.
Concordo também que para compartilhar temos que usar o que você mencionou, mas como o pfsense está recebendo a internet e repassando para a rede interna, então creio que esse papel já seja feito por ele.
Estou achando que o problema está no repasse do proxy transparente instalado no pfsense, para o proxy manual desse servidor do laboratório.
O proxy do pfsense controla toda a rede e abaixo dele, tem um outro proxy, setado manualmente, que faz a distribuição de internet para o laboratório de informática.
-
Estou achando que o problema está no repasse do proxy transparente instalado no pfsense, para o proxy manual desse servidor do laboratório.
provavelmente é isso ou o firewall barrando, coloca o ip desse server para passar sem bloqueios no seu pfsense, ao menos para testar..
o gateway do linux esta correto?
-
Lembrando que esse servidor recebe internet normalmente do pfsense. Só não faz repassar a internet pelo proxy dele, para a rede desse laboratório.
-
bom nesse caso o problema é o seu linux, não o pfsense..
de uma revisada nas rotas, nas configurações de ip, levando em consideração que o squid esta configurado corretamente..
poderia considerar substituir esse server por um pfsense também, isso iria diminuir sua dor de cabeça.. -
Verdade, Caro Lucas!
Me tira só uma dúvida.
O Proxy que se instala no pfsense, não consegue trabalhar com hierarquias, ou seja, ele sendo o proxy pai e instalamos um outro para ser o proxy filho ?
-
não conheço essa funcionalidade, mais nada impede de você colocar outro proxy, basta nas estacoes setar esse novo como sendo o gateway, ou setar o ip dele na configuração de proxy do navegador.. o squid do pfsense tem uma opção de sincronismo ou de basta você fazer as alterações (grupos, liberações, etc) no "pai" que elas são aplicadas no "filho" também, creio ser o mais perto dessa hierarquia..
-
uma outra opção seria vlans ai você poderia utilizar um único server proxy, criando grupos específicos para cada situação, porem você perde a funcionalidade de autenticar em um e transparente no outro..
-
Aqui eu não uso autenticação.
Somente proxy transparente para aplicar regras.Creio que essa luz que você deu, sobre usar vlans, seja a saida para usar aqui.
Vou pesquisar como se implanta vlans no pfsense.Obrigado.
-
com certeza vlans é a melhor opção, porem em alguns casos pode ser a mais cara, pois você precisa de switchs gerenciáveis.. no pfsense é bem tranquilo a criação, não tem segredo, mais fácil ainda se ele for também o seu server DHCP