LAN -> squid



  • Как весь http трафик (на LAN интерфейсе) принудительно перенапарвить на прокси в pfSense?
    squid стоит и правила прописаны.

    Firewall: NAT: Port Forward
    LAN   TCP   80 (HTTP)   192.168.10.1 (ext.: 192.168.10.1) 8080   Proxy forwar all http trafic

    Firewall: Rules (LAN)
    TCP   *   80 (HTTP)   192.168.10.1   8080   *       NAT Proxy forwar all http trafic

    Но не срабатывает  :'(
    Что не так?
    PS. про гены не вспоминайте  ;D



  • Схема подключения какая? Что стоит шлюзом у клиентов?
    Включен-ли транспарент режим  в сквиде? (тогда ваши правила зачем?)
    Почему порт 8080, у сквида 3128 по умолчанию?



  • @dvserg:

    Схема подключения какая? Что стоит шлюзом у клиентов?

    У клиентов шлюз LAN IP.

    @dvserg:

    Включен-ли транспарент режим  в сквиде? (тогда ваши правила зачем?)

    Прокси без транспарента (нужен список доступных и заблокированых сайтов)

    @dvserg:

    Почему порт 8080, у сквида 3128 по умолчанию?

    Порт по традиции  ;D в сквиде настроен как 8080



  • Прокси без транспарента (нужен список доступных и заблокированых сайтов)

    А поподробнее можно? Чем транспарент сквида не подходит?



  • @dvserg:

    Прокси без транспарента (нужен список доступных и заблокированых сайтов)

    А поподробнее можно? Чем транспарент сквида не подходит?

    Я не уверен что сработают with и black список. :-\ Поетому и спрашываю как правльно сделать.



  • На сколько я понимаю при любом нате Айпишник источника для сквида будет потерян. Поэтому транспарент вносит некоторые ограничения вфункциональность :( Какая разница пропишите вы сами эти редиректы или это завас сделает сквид?



  • Ок.  ???
    Задачу можно поставить и по другому.  ::)
    Нужно весь трафик от клиентов прогнать через прокси, так чтобы клиенти не знали о том что они проходтят через прокси.
    Приетом прокиси должно отсеивать вржеские сайты.



  • @drongous:

    Ок.  ???
    Задачу можно поставить и по другому.  ::)
    Нужно весь трафик от клиентов прогнать через прокси, так чтобы клиенти не знали о том что они проходтят через прокси.
    Приетом прокиси должно отсеивать вржеские сайты.

    Так задача выглядит яснее.
    Просто включите транспарент на сквиде, Фильтрация URL должна работать безо всяких проблем. При использовании опции транспарент сквида создаются точно такие-же правила, что вы пытались сделать.



  • Просто включите транспарент на сквиде, Фильтрация URL должна работать безо всяких проблем. При использовании опции транспарент сквида создаются точно такие-же правила, что вы пытались сделать.

    Спасибочки са помощь.

    Щас придумаю продолжение истории  ;D



  • а если траффик от части клиентов нужно пустить через транспарент сквид, а часть клиентов пускать без прокси
    как в таком случае настроить правила форвардинга?



  • @ZaiC3k:

    а если траффик от части клиентов нужно пустить через транспарент сквид, а часть клиентов пускать без прокси
    как в таком случае настроить правила форвардинга?

    Через гуй - никак, сквид делает по тупому - "всех на прокси"
    Можно ручками - указываем в rdr  - исходящими адресами айпи клиентов.



  • Спасибо!
    решилось добавлением в squid.inc
                            $rules .= "no rdr on $iface proto tcp from { 192.168.14.7/32 } to !($iface) port 80\n";
    перед
                            $rules .= "rdr on $iface proto tcp from any to !($iface) port 80 -> 127.0.0.1 port 80\n";


Log in to reply