Hirarquia de proxy no pfsense.



  • Bom dia a todos!
    Estou tendo uma dificuldade em uma das minhas redes internas, depois que instalei o pfsense.
    Instalei os pacotes squid3-dev e o squidguard-squid3. Habilitei o proxy como transparente.
    Todas as estações da principal rede interna, navegam.

    O Problema está em uma das " sub-redes internas".

    Tem um computador em um laboratório de informática que recebe internet normalmente do pfsense, mas não consegue repassar a navegação para as demais estações desse laboratório.

    Nesse computador, tem instalado o debian squeeze com squid 2.7 stable9.
    Configurei esse squid da seguinte forma:

    http_port 3128
    visible_hostname piamarta
    error_directory /usr/share/squid/errors/Portuguese/

    cache_mem 64 MB
    maximum_object_size_in_memory 64 KB
    maximum_object_size 512 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 2048 16 256
    cache_access_log /var/log/squid/access.log
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
    acl purge method PURGE
    acl CONNECT method CONNECT
    icp_port 0

    cache_peer 192.168.200.1 parent 3128 0 no-query default
    never_direct allow all

    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    acl redelocal src 192.168.137.0/24
    http_access allow localhost
    http_access allow redelocal
    http_access deny all

    Onde:
    192.168.200.1 = Ip do Pfsense
    192.168.200.5 = Ip da maquina do laboratório que recebe internet do pfsense.

    192.168.131.1 = ip da segunda placa para distribuir internet para as estações.

    Antes de usar o pfsense, tinha um servidor debian com squid sem ser transparente e tudo funcionava somente com a diretiva, cache-peer.

    No pfsense, tem algo de diferente a ser feito para que um segundo proxy instalado em outra maquina da rede interna, receba e repasse a navegação?

    Desde já, obrigado pela atenção.

    Edgleyson.



  • acredito que voce precisa mudar a flag do ip_forward para 1



  • Caro Lucas Polli!

    Sou novo em pfsense.
    Poderia me orientar onde faço essa alteração?

    Meu pfsense é o 2.1.5 amd64.

    Obrigado.



  • isso nao é no pfsense isso é no linux, a grosso modo o ip_forward é o que permite a comunicação entre as redes, normalmente se coloca isso na no script de firewall, mais existe outras formas de usar..

    echo "1" > /proc/sys/net/ipv4/ip_forward



  • Mas antes do pfsense, eu tinha na rede somente um debian com iptables fazendo papel de firewall  e tudo funcionava.

    Porque tenho que fazer um script de firewall nessa maquina do laboratório para repassar a navegação?

    Que eu saiba, o pfsense, faz o papel do iptables.

    Ou estou equivocado?



  • bom, não conheço o seu ambiente, apenas estou tentando ajudar com o pouco que sei.. desconheço outra forma de um servidor linux "compartilhar" uma internet sem essa opção configurada, pode ser que exista, porém eu não sei como. Você liberou o ip do seu linux no firewall do pfsense? para saida para internet sem a necessidade de autenticar? pode ser isso, o seu linux não esta com acesso pois o proxy ou firewall do pfsense esta barrando.



  • Sei que está querendo ajudar e sou muito grato por isso.

    Concordo também que para compartilhar temos que usar o que você mencionou, mas como o pfsense está recebendo a internet e repassando para a rede interna, então creio que esse papel já seja feito por ele.

    Estou achando que o problema está no repasse do proxy transparente instalado no pfsense, para o proxy manual desse servidor do laboratório.

    O proxy do pfsense controla toda a rede e abaixo dele, tem um outro proxy, setado manualmente, que faz a distribuição de internet para o laboratório de informática.



  • Estou achando que o problema está no repasse do proxy transparente instalado no pfsense, para o proxy manual desse servidor do laboratório.

    provavelmente é isso ou o firewall barrando, coloca o ip desse server para passar sem bloqueios no seu pfsense, ao menos para testar..

    o gateway do linux esta correto?



  • Lembrando que esse servidor recebe internet normalmente do pfsense. Só não faz repassar a internet pelo proxy dele, para a rede desse laboratório.



  • bom nesse caso o problema é o seu linux, não o pfsense..
    de uma revisada nas rotas, nas configurações de ip, levando em consideração que o squid esta configurado corretamente..
    poderia considerar substituir esse server por um pfsense também, isso iria diminuir sua dor de cabeça..



  • Verdade, Caro Lucas!

    Me tira só uma dúvida.

    O Proxy que se instala no pfsense, não consegue trabalhar com hierarquias, ou seja, ele sendo o proxy pai e instalamos um outro para ser o proxy filho ?



  • não conheço essa funcionalidade, mais nada impede de você colocar outro proxy, basta nas estacoes setar esse novo como sendo o gateway, ou setar o ip dele na configuração de proxy do navegador.. o squid do pfsense tem uma opção de sincronismo ou de basta você fazer as alterações (grupos, liberações, etc) no "pai" que elas são aplicadas no "filho" também, creio ser o mais perto dessa hierarquia..



  • uma outra opção seria vlans ai você poderia utilizar um único server proxy, criando grupos específicos para cada situação, porem você perde a funcionalidade de autenticar em um e transparente no outro..



  • Aqui eu não uso autenticação.
    Somente proxy transparente para aplicar regras.

    Creio que essa luz que você deu, sobre usar vlans, seja a saida para usar aqui.
    Vou pesquisar como se implanta vlans no pfsense.

    Obrigado.



  • com certeza vlans é a melhor opção, porem em alguns casos pode ser a mais cara, pois você precisa de switchs gerenciáveis.. no pfsense é bem tranquilo a criação, não tem segredo, mais fácil ainda se ele for também o seu server DHCP


Log in to reply