Проблемма с правилами как решить?
-
Установил PFsense 2.1.5 (х64), необходимая задача
- Установить прокси сервер SQUD 2.7 не прозрачный с авторизацией по пользователям (что я и сделал)
- Создать Альясы vip (куда угодно), обычные пользователи (стандартные порты) что я и сделал
- Пробросить порты на почтовик (Почтовик в локальной сети).
У меня несколько подсетей 192.168.1.0, 192.168.2.0, 192.168.3.0 все они vilan созданные на маршрутизаторе L3 d-link dgs-3312, между подсетями связь есть, в инет ч/з проксик тоже все чудесно ходят, но есть некий народ которому необходимо дать полный доступ. Создав альяс я поместил туда ip адреса из разных подсетей интересно что из первой сети без регистрации ходит а из других не пускает. PFsense находится в первой подсети. Прошу не решать мою задачу а дать правильное направление, понимаю что дело в правилах, но как их одолеть?
-
Вот нашёл топик, не мой ли это случай ? https://forum.pfsense.org/index.php?topic=79984.0
-
Прокси PFSense по умолчанию разрешает доступ к себе только для подсети интерфейса, на котором он принимает соединения (подсеть LAN).
Попробуйте добавить остальные подсети в Access Control в Access Control. -
В SQUD я прописал подсети, через него всё ходит а вот мимо него нет
-
В SQUD я прописал подсети, через него всё ходит а вот мимо него нет
У вас NAT кривой. Первое правило надо изменить на:
WAN 192.168.0.0/16 * * * WAN address * NO
Третье - не нужно
-
2 и 3 правило создалось автоматом. Хотелось бы знать, зачем такой диапазон адресов? Может прописать необходимые подсети?
-
2 и 3 правило создалось автоматом. Хотелось бы знать, зачем такой диапазон адресов? Может прописать необходимые подсети?
Ну сделайте отдельно для каждой подсети NAT на подсеть /24. Можете вообще ALIAS на используемые подсети сделать и написать одним правилом.
Upd
Алиас у Вас кстати уже есть - LanNetwork. -
Попробую сделать вот так, мне необходимо дать инет в обход проксика определённым ip, так сказать vip персонам. Извиняюсь что ввёл в заблуждение у меня до PFsense стоит Mikrotik (оборудование провайдера с подсетью 192.168.0.0) и то правило которое вы назвали кривым, прокинуть доступ из вне до PFsense не получилось. Да весёлые у меня выходные предстоят :)
-
Попробую сделать вот так, мне необходимо дать инет в обход проксика определённым ip, так сказать vip персонам.
1. Это делается в настройках Squid.
2. Можете объяснить первое правило на Вашем скрине NAT (Outbound)?
3. Покажите скрин правил fw на WAN.
-
Мне очень хотелось бы знать где в squid это делается?
-
Здесь: http://iskatel.ixrad.ru/images/pfsense/pkg_squid_general.png
Bypass proxy for these source IP's -
Я же писал, что у меня не прозрачный прокси, а с авторизацией!!!
-
Извиняюсь что ввёл в заблуждение у меня до PFsense стоит Mikrotik (оборудование провайдера с подсетью 192.168.0.0)
Если это не wi-fi , то можно ли обойтись без Микротика ? Пускай pf будет самостоятельным и единственным.
прокинуть доступ из вне до PFsense не получилось.
И не получится. Для это надо на Микротике порты пробрасывать на WAN pfsense. Двойной NAT получается.
-
Почему не поучится? На микротике порты проброшены, у меня на данный момент старый проксик работает так. А PFsense готовлю на замену. Вот только как это сделать пока не знаю.
-
Я же писал, что у меня не прозрачный прокси, а с авторизацией!!!
Ну извиняйте, не углядел.
Тогда всего делов-то - рулите правилами файрвола, и в браузерах випам отключите прокси.Upd.
Не мучайте свои правила NAT.
Сделайте одним правилом Src=Lansubnet (alias) dest=any port=any
А кому разрешать/запрещать рулите на LAN интерфейсе файрволом. -
Стоп, чет я не понял как это, поподробней. Под конец рабочего дня начинаю тормозить :)
-
Проблему так и не решил , отключил микротик дал белый адрес, првил не знаю где создавать? Прошу помощи.
-
Все описанные правила попробовал не пускает в обход прокси.
-
На данный момент у меня вот такие правила, я добился что требовалось. Есть одно но когда я снимаю галку в брузере прокси сервера и ставлю без прокси получается что любой продвинутый юзер сняв галку проксика будет беспрепятственно бродить в инет. Можно ограничить это правилами?
-
2-ое правило сверху на 2-ом скриншоте отключите. В группу Freeinet внесите тех, кому нужен http или создайте отд. алиас для таких LAN-адресов.