LAN -> squid

drongous

Как весь http трафик (на LAN интерфейсе) принудительно перенапарвить на прокси в pfSense?
squid стоит и правила прописаны.

Firewall: NAT: Port Forward
LAN   TCP   80 (HTTP)   192.168.10.1 (ext.: 192.168.10.1) 8080   Proxy forwar all http trafic

Firewall: Rules (LAN)
TCP   *   80 (HTTP)   192.168.10.1   8080   *       NAT Proxy forwar all http trafic

Но не срабатывает  :'(
Что не так?
PS. про гены не вспоминайте  ;D

dvserg

Схема подключения какая? Что стоит шлюзом у клиентов?
Включен-ли транспарент режим  в сквиде? (тогда ваши правила зачем?)
Почему порт 8080, у сквида 3128 по умолчанию?

drongous

@dvserg:

Схема подключения какая? Что стоит шлюзом у клиентов?

У клиентов шлюз LAN IP.

@dvserg:

Включен-ли транспарент режим  в сквиде? (тогда ваши правила зачем?)

Прокси без транспарента (нужен список доступных и заблокированых сайтов)

@dvserg:

Почему порт 8080, у сквида 3128 по умолчанию?

Порт по традиции  ;D в сквиде настроен как 8080

dvserg

Прокси без транспарента (нужен список доступных и заблокированых сайтов)

А поподробнее можно? Чем транспарент сквида не подходит?

drongous

@dvserg:

Прокси без транспарента (нужен список доступных и заблокированых сайтов)

А поподробнее можно? Чем транспарент сквида не подходит?

Я не уверен что сработают with и black список. :-\ Поетому и спрашываю как правльно сделать.

dvserg

На сколько я понимаю при любом нате Айпишник источника для сквида будет потерян. Поэтому транспарент вносит некоторые ограничения вфункциональность :( Какая разница пропишите вы сами эти редиректы или это завас сделает сквид?

drongous

Ок.  ???
Задачу можно поставить и по другому.  ::)
Нужно весь трафик от клиентов прогнать через прокси, так чтобы клиенти не знали о том что они проходтят через прокси.
Приетом прокиси должно отсеивать вржеские сайты.

dvserg

@drongous:

Ок.  ???
Задачу можно поставить и по другому.  ::)
Нужно весь трафик от клиентов прогнать через прокси, так чтобы клиенти не знали о том что они проходтят через прокси.
Приетом прокиси должно отсеивать вржеские сайты.

Так задача выглядит яснее.
Просто включите транспарент на сквиде, Фильтрация URL должна работать безо всяких проблем. При использовании опции транспарент сквида создаются точно такие-же правила, что вы пытались сделать.

drongous

Просто включите транспарент на сквиде, Фильтрация URL должна работать безо всяких проблем. При использовании опции транспарент сквида создаются точно такие-же правила, что вы пытались сделать.

Спасибочки са помощь.

Щас придумаю продолжение истории  ;D

ZaiC3k

а если траффик от части клиентов нужно пустить через транспарент сквид, а часть клиентов пускать без прокси
как в таком случае настроить правила форвардинга?

dvserg

@ZaiC3k:

а если траффик от части клиентов нужно пустить через транспарент сквид, а часть клиентов пускать без прокси
как в таком случае настроить правила форвардинга?

Через гуй - никак, сквид делает по тупому - "всех на прокси"
Можно ручками - указываем в rdr  - исходящими адресами айпи клиентов.

ZaiC3k

Спасибо!
решилось добавлением в squid.inc
                        $rules .= "no rdr on $iface proto tcp from { 192.168.14.7/32 } to !($iface) port 80\n";
перед
                        $rules .= "rdr on $iface proto tcp from any to !($iface) port 80 -> 127.0.0.1 port 80\n";