Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Проблемма с правилами как решить?

    Scheduled Pinned Locked Moved Russian
    24 Posts 4 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      John_PFsense
      last edited by

      Установил PFsense 2.1.5 (х64), необходимая задача

      1. Установить прокси сервер SQUD 2.7 не прозрачный с авторизацией по пользователям (что я и сделал)
      2. Создать Альясы  vip (куда угодно),  обычные пользователи (стандартные порты) что я и сделал
      3. Пробросить порты на почтовик (Почтовик в локальной сети).
        У меня  несколько подсетей  192.168.1.0, 192.168.2.0, 192.168.3.0 все они vilan созданные на маршрутизаторе L3 d-link dgs-3312, между подсетями связь есть, в инет ч/з проксик тоже все чудесно ходят, но есть некий народ которому необходимо дать полный доступ. Создав альяс я поместил туда ip адреса из разных подсетей интересно что из первой сети без регистрации ходит а из других не пускает. PFsense находится в первой подсети. Прошу не решать мою задачу а дать правильное направление, понимаю что дело в правилах, но как их одолеть?

      vlan_atron.png
      vlan_atron.png_thumb
      Снимок.PNG
      Снимок.PNG_thumb
      Снимок2.PNG
      Снимок2.PNG_thumb
      Снимок3.PNG
      Снимок3.PNG_thumb
      Снимок4.PNG
      Снимок4.PNG_thumb
      Снимок5.PNG
      Снимок5.PNG_thumb

      1 Reply Last reply Reply Quote 0
      • J
        John_PFsense
        last edited by

        Вот нашёл топик, не мой ли это случай ? https://forum.pfsense.org/index.php?topic=79984.0

        1 Reply Last reply Reply Quote 0
        • D
          dvserg
          last edited by

          Прокси PFSense по умолчанию разрешает доступ к себе только для подсети интерфейса, на котором он принимает соединения (подсеть LAN).
          Попробуйте добавить остальные подсети в Access Control в Access Control.

          SquidGuardDoc EN  RU Tutorial
          Localization ru_PFSense

          1 Reply Last reply Reply Quote 0
          • J
            John_PFsense
            last edited by

            В SQUD я прописал подсети, через него всё ходит а вот мимо него нет

            1 Reply Last reply Reply Quote 0
            • R
              rubic
              last edited by

              @John_PFsense:

              В SQUD я прописал подсети, через него всё ходит а вот мимо него нет

              У вас NAT кривой. Первое правило надо изменить на:

              WAN 192.168.0.0/16 * * * WAN address * NO

              Третье - не нужно

              1 Reply Last reply Reply Quote 0
              • J
                John_PFsense
                last edited by

                2 и 3 правило создалось автоматом. Хотелось бы знать, зачем такой диапазон адресов? Может прописать необходимые подсети?

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg
                  last edited by

                  @John_PFsense:

                  2 и 3 правило создалось автоматом. Хотелось бы знать, зачем такой диапазон адресов? Может прописать необходимые подсети?

                  Ну сделайте отдельно для каждой подсети NAT на подсеть /24. Можете вообще ALIAS на используемые подсети сделать и написать одним правилом.
                  Upd
                  Алиас у Вас кстати уже есть - LanNetwork.

                  SquidGuardDoc EN  RU Tutorial
                  Localization ru_PFSense

                  1 Reply Last reply Reply Quote 0
                  • J
                    John_PFsense
                    last edited by

                    Попробую сделать вот так, мне необходимо дать инет в обход проксика определённым ip, так сказать vip персонам. Извиняюсь что ввёл в заблуждение у меня до PFsense стоит Mikrotik (оборудование провайдера с подсетью 192.168.0.0) и то правило которое вы назвали кривым, прокинуть доступ из вне до PFsense не получилось.  Да весёлые у меня выходные предстоят :)

                    Снимок6.PNG
                    Снимок6.PNG_thumb
                    Снимок7.PNG
                    Снимок7.PNG_thumb

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Попробую сделать вот так, мне необходимо дать инет в обход проксика определённым ip, так сказать vip персонам.

                      1. Это делается в настройках Squid.

                      2. Можете объяснить первое правило на Вашем скрине NAT  (Outbound)?

                      3. Покажите скрин правил fw на WAN.

                      1 Reply Last reply Reply Quote 0
                      • J
                        John_PFsense
                        last edited by

                        Мне очень хотелось бы знать где в squid это делается?

                        Снимок8.PNG
                        Снимок8.PNG_thumb

                        1 Reply Last reply Reply Quote 0
                        • D
                          dvserg
                          last edited by

                          Здесь: http://iskatel.ixrad.ru/images/pfsense/pkg_squid_general.png
                          Bypass proxy for these source IP's

                          SquidGuardDoc EN  RU Tutorial
                          Localization ru_PFSense

                          1 Reply Last reply Reply Quote 0
                          • J
                            John_PFsense
                            last edited by

                            Я же писал, что у меня не прозрачный прокси, а с авторизацией!!!

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              Извиняюсь что ввёл в заблуждение у меня до PFsense стоит Mikrotik (оборудование провайдера с подсетью 192.168.0.0)

                              Если это не wi-fi , то можно ли обойтись без Микротика ? Пускай pf будет самостоятельным и единственным.

                              прокинуть доступ из вне до PFsense не получилось.

                              И не получится. Для это надо на Микротике порты пробрасывать на WAN pfsense. Двойной NAT получается.

                              1 Reply Last reply Reply Quote 0
                              • J
                                John_PFsense
                                last edited by

                                Почему не поучится? На микротике порты проброшены, у меня на данный момент старый проксик работает так. А PFsense готовлю на замену. Вот только как это сделать пока не знаю.

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dvserg
                                  last edited by

                                  @John_PFsense:

                                  Я же писал, что у меня не прозрачный прокси, а с авторизацией!!!

                                  Ну извиняйте, не углядел.
                                  Тогда всего делов-то - рулите правилами файрвола, и в браузерах випам отключите прокси.

                                  Upd.
                                  Не мучайте свои правила NAT.
                                  Сделайте одним правилом Src=Lansubnet (alias) dest=any port=any
                                  А кому разрешать/запрещать рулите на LAN интерфейсе файрволом.

                                  SquidGuardDoc EN  RU Tutorial
                                  Localization ru_PFSense

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    John_PFsense
                                    last edited by

                                    Стоп, чет я не понял как это, поподробней. Под конец рабочего дня начинаю тормозить :)

                                    1 Reply Last reply Reply Quote 0
                                    • J
                                      John_PFsense
                                      last edited by

                                      Проблему так и не решил , отключил микротик дал белый адрес, првил не знаю где создавать? Прошу помощи.

                                      1 Reply Last reply Reply Quote 0
                                      • J
                                        John_PFsense
                                        last edited by

                                        Все описанные правила попробовал не пускает в обход прокси.

                                        1 Reply Last reply Reply Quote 0
                                        • J
                                          John_PFsense
                                          last edited by

                                          На данный момент у меня вот такие правила, я добился что требовалось. Есть одно но когда я снимаю галку в брузере прокси сервера и ставлю без прокси получается что любой продвинутый юзер сняв галку проксика будет беспрепятственно бродить в инет. Можно ограничить это правилами?

                                          Снимок.PNG
                                          Снимок.PNG_thumb
                                          Снимок2.PNG
                                          Снимок2.PNG_thumb

                                          1 Reply Last reply Reply Quote 0
                                          • werterW
                                            werter
                                            last edited by

                                            2-ое правило сверху на 2-ом скриншоте отключите. В группу Freeinet внесите тех, кому нужен http или создайте отд. алиас для таких LAN-адресов.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.