С некоторых компьютеров не выходит в Инте



  • Есть связка squid+squidGuard на pfSense. Настроил несколько дней назад. Все работало. Пользователи, которых сегодня добавил, не могут выйти в Интернет. А добавленные до этого могут выходить.
    Странно как-то все получается. Не могу ничего понять.



  • сравни конфиги машин которые выходят/невыходят  ipconfig /all



  • @NegoroX:

    сравни конфиги машин которые выходят/невыходят  ipconfig /all

    Конфиги одинаковые.  И с проблемных узлов порт squid тоже доступен. Может эти изменения в squid не вступают в силу, хотя перезапускал.



  • Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?



  • @dirar19:

    Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

    Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

    По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.



  • @werter:

    @dirar19:

    Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

    Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

    По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

    Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
    Как поступить в данной ситуации?



  • @dirar19:

    @werter:

    @dirar19:

    Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

    Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

    По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

    Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
    Как поступить в данной ситуации?

    Выход по логину и паролю.

    У вас доменная структура ?



  • @werter:

    @dirar19:

    @werter:

    @dirar19:

    Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

    Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

    По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

    Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
    Как поступить в данной ситуации?

    Выход по логину и паролю.

    У вас доменная структура ?

    Выход по логину и паролю неудобно. Структура сети доменная, но при этом с одной учеткой можно заходить с нескольких компьютеров.
    И не хочется интегрировать squid с AD. Неужели нельзя по ip адресам?



  • Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
    алиас, остальным отказано.
    И правило на доступ вместо io-адреса просто имя алиаса users.



  • @3vs:

    Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
    алиас, остальным отказано.
    И правило на доступ вместо io-адреса просто имя алиаса users.

    Правило имеешь виду, который разворачивает трафик из Lan на порт squida?
    И еще вопрос: сколько ip-адресов ты добавил в алиас? Там случайно тоже не ограничено?



  • @dirar19:

    @3vs:

    Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
    алиас, остальным отказано.
    И правило на доступ вместо io-адреса просто имя алиаса users.

    Правило имеешь виду, который разворачивает трафик из Lan на порт squida?
    И еще вопрос: сколько ip-адресов ты добавил в алиас? Там случайно тоже не ограничено?

    ip-адресов, хоть всю подсеть локальную, лиш бы рука не устала. :-)
    Алиас получился типа:
    Name Users
    Description Internet_Users
    Type Host(s)
    IP or FQDN
    192.168.1.24    Buhgalter
    192.168.1.22  SERVER2
    ….
    В правилах на LAN
    IPv4  * Users * * * * none   Default allow LAN to any rule
    Остальным, кто не в списке в конце правил
    IPv4  * * * * * * none   Deny ALL

    У меня, кроме меня все идут по прозрачной проксе и попадают в отчёты  lightsquid.
    Себя любимого я пустил в обход прокси.



  • Остальным, кто не в списке в конце правил
    IPv4  *    *    *    *    *    *    none          Deny ALL

    Это лишнее. ПФ по-умолчанию запрещает всё, что не разрешено явно.



  • @werter:

    Остальным, кто не в списке в конце правил
    IPv4  *    *    *    *    *    *    none          Deny ALL

    Это лишнее. ПФ по-умолчанию запрещает всё, что не разрешено явно.

    Да мало ли, времена сейчас тяжёлые, контрольный в голову не помешает! :-)



  • А в Proxy server - Access Control - Allowed subnets нужно указать всю мою подсеть? Я правильно понял?
    Это получается доступ всем. При таком раскладе, как ваше правило перекрывает тех, кому не нужен интернет?



  • @dirar19:

    А в Proxy server - Access Control - Allowed subnets нужно указать всю мою подсеть? Я правильно понял?
    Это получается доступ всем. При таком раскладе, как ваше правило перекрывает тех, кому не нужен интернет?

    Да, надо указать всю подсеть.
    Два этих правила перекрывают тех, кому интернета не надо.
    Айпишники, которые не в списке никуда не выйдут через pfSense.


Log in to reply