Проблемма с правилами как решить?



  • Установил PFsense 2.1.5 (х64), необходимая задача

    1. Установить прокси сервер SQUD 2.7 не прозрачный с авторизацией по пользователям (что я и сделал)
    2. Создать Альясы  vip (куда угодно),  обычные пользователи (стандартные порты) что я и сделал
    3. Пробросить порты на почтовик (Почтовик в локальной сети).
      У меня  несколько подсетей  192.168.1.0, 192.168.2.0, 192.168.3.0 все они vilan созданные на маршрутизаторе L3 d-link dgs-3312, между подсетями связь есть, в инет ч/з проксик тоже все чудесно ходят, но есть некий народ которому необходимо дать полный доступ. Создав альяс я поместил туда ip адреса из разных подсетей интересно что из первой сети без регистрации ходит а из других не пускает. PFsense находится в первой подсети. Прошу не решать мою задачу а дать правильное направление, понимаю что дело в правилах, но как их одолеть?














  • Вот нашёл топик, не мой ли это случай ? https://forum.pfsense.org/index.php?topic=79984.0



  • Прокси PFSense по умолчанию разрешает доступ к себе только для подсети интерфейса, на котором он принимает соединения (подсеть LAN).
    Попробуйте добавить остальные подсети в Access Control в Access Control.



  • В SQUD я прописал подсети, через него всё ходит а вот мимо него нет



  • @John_PFsense:

    В SQUD я прописал подсети, через него всё ходит а вот мимо него нет

    У вас NAT кривой. Первое правило надо изменить на:

    WAN 192.168.0.0/16 * * * WAN address * NO

    Третье - не нужно



  • 2 и 3 правило создалось автоматом. Хотелось бы знать, зачем такой диапазон адресов? Может прописать необходимые подсети?



  • @John_PFsense:

    2 и 3 правило создалось автоматом. Хотелось бы знать, зачем такой диапазон адресов? Может прописать необходимые подсети?

    Ну сделайте отдельно для каждой подсети NAT на подсеть /24. Можете вообще ALIAS на используемые подсети сделать и написать одним правилом.
    Upd
    Алиас у Вас кстати уже есть - LanNetwork.



  • Попробую сделать вот так, мне необходимо дать инет в обход проксика определённым ip, так сказать vip персонам. Извиняюсь что ввёл в заблуждение у меня до PFsense стоит Mikrotik (оборудование провайдера с подсетью 192.168.0.0) и то правило которое вы назвали кривым, прокинуть доступ из вне до PFsense не получилось.  Да весёлые у меня выходные предстоят :)






  • Попробую сделать вот так, мне необходимо дать инет в обход проксика определённым ip, так сказать vip персонам.

    1. Это делается в настройках Squid.

    2. Можете объяснить первое правило на Вашем скрине NAT  (Outbound)?

    3. Покажите скрин правил fw на WAN.



  • Мне очень хотелось бы знать где в squid это делается?




  • Здесь: http://iskatel.ixrad.ru/images/pfsense/pkg_squid_general.png
    Bypass proxy for these source IP's



  • Я же писал, что у меня не прозрачный прокси, а с авторизацией!!!



  • Извиняюсь что ввёл в заблуждение у меня до PFsense стоит Mikrotik (оборудование провайдера с подсетью 192.168.0.0)

    Если это не wi-fi , то можно ли обойтись без Микротика ? Пускай pf будет самостоятельным и единственным.

    прокинуть доступ из вне до PFsense не получилось.

    И не получится. Для это надо на Микротике порты пробрасывать на WAN pfsense. Двойной NAT получается.



  • Почему не поучится? На микротике порты проброшены, у меня на данный момент старый проксик работает так. А PFsense готовлю на замену. Вот только как это сделать пока не знаю.



  • @John_PFsense:

    Я же писал, что у меня не прозрачный прокси, а с авторизацией!!!

    Ну извиняйте, не углядел.
    Тогда всего делов-то - рулите правилами файрвола, и в браузерах випам отключите прокси.

    Upd.
    Не мучайте свои правила NAT.
    Сделайте одним правилом Src=Lansubnet (alias) dest=any port=any
    А кому разрешать/запрещать рулите на LAN интерфейсе файрволом.



  • Стоп, чет я не понял как это, поподробней. Под конец рабочего дня начинаю тормозить :)



  • Проблему так и не решил , отключил микротик дал белый адрес, првил не знаю где создавать? Прошу помощи.



  • Все описанные правила попробовал не пускает в обход прокси.



  • На данный момент у меня вот такие правила, я добился что требовалось. Есть одно но когда я снимаю галку в брузере прокси сервера и ставлю без прокси получается что любой продвинутый юзер сняв галку проксика будет беспрепятственно бродить в инет. Можно ограничить это правилами?






  • 2-ое правило сверху на 2-ом скриншоте отключите. В группу Freeinet внесите тех, кому нужен http или создайте отд. алиас для таких LAN-адресов.



  • Получается что мне необходимо выпустить 15 человек которые в группе FreeInet, и создать группу с 3 подсетями 740 адресов? По другому нельзя?



  • Политика pfsense по-умолчанию (как fw): "Всё, что не разрешено явно - запрещено"
    Думайте.



  • @werter:

    Политика pfsense по-умолчанию (как fw): "Всё, что не разрешено явно - запрещено"
    Думайте.

    Спасибо за правильное направление, нынче проблема решена!



  • Кому интересно скину скрины в личку.


Log in to reply