Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    С некоторых компьютеров не выходит в Инте

    Russian
    4
    15
    1540
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dirar19 last edited by

      Есть связка squid+squidGuard на pfSense. Настроил несколько дней назад. Все работало. Пользователи, которых сегодня добавил, не могут выйти в Интернет. А добавленные до этого могут выходить.
      Странно как-то все получается. Не могу ничего понять.

      1 Reply Last reply Reply Quote 0
      • N
        NegoroX last edited by

        сравни конфиги машин которые выходят/невыходят  ipconfig /all

        1 Reply Last reply Reply Quote 0
        • D
          dirar19 last edited by

          @NegoroX:

          сравни конфиги машин которые выходят/невыходят  ipconfig /all

          Конфиги одинаковые.  И с проблемных узлов порт squid тоже доступен. Может эти изменения в squid не вступают в силу, хотя перезапускал.

          1 Reply Last reply Reply Quote 0
          • D
            dirar19 last edited by

            Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

            1 Reply Last reply Reply Quote 0
            • werter
              werter last edited by

              @dirar19:

              Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

              Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

              По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

              1 Reply Last reply Reply Quote 0
              • D
                dirar19 last edited by

                @werter:

                @dirar19:

                Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

                Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

                По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

                Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
                Как поступить в данной ситуации?

                1 Reply Last reply Reply Quote 0
                • werter
                  werter last edited by

                  @dirar19:

                  @werter:

                  @dirar19:

                  Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

                  Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

                  По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

                  Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
                  Как поступить в данной ситуации?

                  Выход по логину и паролю.

                  У вас доменная структура ?

                  1 Reply Last reply Reply Quote 0
                  • D
                    dirar19 last edited by

                    @werter:

                    @dirar19:

                    @werter:

                    @dirar19:

                    Я добавляю узлы в таком формате 192.168.x.x/32 в Allowed subnets. И количество узлов, которые могу добавить, ограничено. Как поступить в данной ситуации?

                    Т.е. Вы по одному узлу добавляете? Маска /32 обязывает.

                    По умолчанию все хосты, к-ые находятся в одной лок. сети со сквидом (прозрачным) имееют доступ в Сеть. Если не настроено вручную.

                    Да, все верно: по одному узлу с маской /32. Но проблема была в том, что количество узлов, которые можно добавить таким образом ограничено, и уже не могу всех добавить. Всем Интернет не нужен.
                    Как поступить в данной ситуации?

                    Выход по логину и паролю.

                    У вас доменная структура ?

                    Выход по логину и паролю неудобно. Структура сети доменная, но при этом с одной учеткой можно заходить с нескольких компьютеров.
                    И не хочется интегрировать squid с AD. Неужели нельзя по ip адресам?

                    1 Reply Last reply Reply Quote 0
                    • 3
                      3vs last edited by

                      Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
                      алиас, остальным отказано.
                      И правило на доступ вместо io-адреса просто имя алиаса users.

                      1 Reply Last reply Reply Quote 0
                      • D
                        dirar19 last edited by

                        @3vs:

                        Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
                        алиас, остальным отказано.
                        И правило на доступ вместо io-адреса просто имя алиаса users.

                        Правило имеешь виду, который разворачивает трафик из Lan на порт squida?
                        И еще вопрос: сколько ip-адресов ты добавил в алиас? Там случайно тоже не ограничено?

                        1 Reply Last reply Reply Quote 0
                        • 3
                          3vs last edited by

                          @dirar19:

                          @3vs:

                          Я у себя создал алиас типа users и тем ip-адресам, которым доступ в интернет нужен, вписываю в этот
                          алиас, остальным отказано.
                          И правило на доступ вместо io-адреса просто имя алиаса users.

                          Правило имеешь виду, который разворачивает трафик из Lan на порт squida?
                          И еще вопрос: сколько ip-адресов ты добавил в алиас? Там случайно тоже не ограничено?

                          ip-адресов, хоть всю подсеть локальную, лиш бы рука не устала. :-)
                          Алиас получился типа:
                          Name Users
                          Description Internet_Users
                          Type Host(s)
                          IP or FQDN
                          192.168.1.24    Buhgalter
                          192.168.1.22  SERVER2
                          ….
                          В правилах на LAN
                          IPv4  * Users * * * * none   Default allow LAN to any rule
                          Остальным, кто не в списке в конце правил
                          IPv4  * * * * * * none   Deny ALL

                          У меня, кроме меня все идут по прозрачной проксе и попадают в отчёты  lightsquid.
                          Себя любимого я пустил в обход прокси.

                          1 Reply Last reply Reply Quote 0
                          • werter
                            werter last edited by

                            Остальным, кто не в списке в конце правил
                            IPv4  *    *    *    *    *    *    none          Deny ALL

                            Это лишнее. ПФ по-умолчанию запрещает всё, что не разрешено явно.

                            1 Reply Last reply Reply Quote 0
                            • 3
                              3vs last edited by

                              @werter:

                              Остальным, кто не в списке в конце правил
                              IPv4  *    *    *    *    *    *    none          Deny ALL

                              Это лишнее. ПФ по-умолчанию запрещает всё, что не разрешено явно.

                              Да мало ли, времена сейчас тяжёлые, контрольный в голову не помешает! :-)

                              1 Reply Last reply Reply Quote 0
                              • D
                                dirar19 last edited by

                                А в Proxy server - Access Control - Allowed subnets нужно указать всю мою подсеть? Я правильно понял?
                                Это получается доступ всем. При таком раскладе, как ваше правило перекрывает тех, кому не нужен интернет?

                                1 Reply Last reply Reply Quote 0
                                • 3
                                  3vs last edited by

                                  @dirar19:

                                  А в Proxy server - Access Control - Allowed subnets нужно указать всю мою подсеть? Я правильно понял?
                                  Это получается доступ всем. При таком раскладе, как ваше правило перекрывает тех, кому не нужен интернет?

                                  Да, надо указать всю подсеть.
                                  Два этих правила перекрывают тех, кому интернета не надо.
                                  Айпишники, которые не в списке никуда не выйдут через pfSense.

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post