С некоторых компьютеров не выходит в Инте

dirar19

Есть связка squid+squidGuard на pfSense. Настроил несколько дней назад. Все работало. Пользователи, которых сегодня добавил, не могут выйти в Интернет. А добавленные до этого могут выходить.
Странно как-то все получается. Не могу ничего понять.

NegoroX

сравни конфиги машин которые выходят/невыходят  ipconfig /all

dirar19

@NegoroX:

сравни конфиги машин которые выходят/невыходят  ipconfig /all

Конфиги одинаковые.  И с проблемных узлов порт squid тоже доступен. Может эти изменения в squid не вступают в силу, хотя перезапускал.

dirar19

Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

werter

@dirar19:

Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

dirar19

@werter:

@dirar19:

Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
Как поступить в данной ситуации?

werter

@dirar19:

@werter:

@dirar19:

Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
Как поступить в данной ситуации?

Выход по логину и паролю.

У вас доменная структура ?

dirar19

@werter:

@dirar19:

@werter:

@dirar19:

Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
Как поступить в данной ситуации?

Выход по логину и паролю.

У вас доменная структура ?

Выход по логину и паролю неудобно. Структура сети доменная, но при этом с одной учеткой можно заходить с нескольких компьютеров.
И не хочется интегрировать squid с AD. Неужели нельзя по ip адресам?

3vs

Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
алиас, остальным отказано.
И правило на доступ вместо io-адреса просто имя алиаса users.

dirar19

@3vs:

Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
алиас, остальным отказано.
И правило на доступ вместо io-адреса просто имя алиаса users.

Правило имеешь виду, который разворачивает трафик из Lan на порт squida?
И еще вопрос: сколько ip-адресов ты добавил в алиас? Там случайно тоже не ограничено?

3vs

@dirar19:

@3vs:

Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
алиас, остальным отказано.
И правило на доступ вместо io-адреса просто имя алиаса users.

Правило имеешь виду, который разворачивает трафик из Lan на порт squida?
И еще вопрос: сколько ip-адресов ты добавил в алиас? Там случайно тоже не ограничено?

ip-адресов, хоть всю подсеть локальную, лиш бы рука не устала. :-)
Алиас получился типа:
Name Users
Description Internet_Users
Type Host(s)
IP or FQDN
192.168.1.24    Buhgalter
192.168.1.22  SERVER2
….
В правилах на LAN
IPv4  * Users * * * * none   Default allow LAN to any rule
Остальным, кто не в списке в конце правил
IPv4  * * * * * * none   Deny ALL

У меня, кроме меня все идут по прозрачной проксе и попадают в отчёты  lightsquid.
Себя любимого я пустил в обход прокси.

werter

Остальным, кто не в списке в конце правил
IPv4  *    *    *    *    *    *    none          Deny ALL

Это лишнее. ПФ по-умолчанию запрещает всё, что не разрешено явно.

3vs

@werter:

Остальным, кто не в списке в конце правил
IPv4  *    *    *    *    *    *    none          Deny ALL

Это лишнее. ПФ по-умолчанию запрещает всё, что не разрешено явно.

Да мало ли, времена сейчас тяжёлые, контрольный в голову не помешает! :-)

dirar19

А в Proxy server - Access Control - Allowed subnets нужно указать всю мою подсеть? Я правильно понял?
Это получается доступ всем. При таком раскладе, как ваше правило перекрывает тех, кому не нужен интернет?

3vs

@dirar19:

А в Proxy server - Access Control - Allowed subnets нужно указать всю мою подсеть? Я правильно понял?
Это получается доступ всем. При таком раскладе, как ваше правило перекрывает тех, кому не нужен интернет?

Да, надо указать всю подсеть.
Два этих правила перекрывают тех, кому интернета не надо.
Айпишники, которые не в списке никуда не выйдут через pfSense.