Непонятная дыра в pfsense. Трафик в обход правил.



  • Сеть MultiWan. Один Wan дефолтный, другой - резервный.
    Потребовалось некоторые машинки пустить принудительно через резервный WAN.
    В принципе это сделано,
    https://forum.pfsense.org/index.php?topic=103854.0
    результатом доволен, но есть маленькое но.

    На виртуальной машине крутится специфичный браузер(на движке mozilla),  так вот он, всё равно лезет через дефолтный WAN. Он постоянно показывает внешний IP. Так вот, он как показывал, старый IP от дефолтного провайдера, так и сейчас показывает. Прямо чудеса какие-то.
    Причем, если в обычном браузере(старая опера) заглянуть на 2ip.ru, то провайдер  резервный. И если из командой строки потрейсить - тоже провайдер правильный - резервный. И ipconfig /all указывает только на шлюз pfsense.

    Этот хитросделанный браузер перегружал, и виртуальную машинку перегружал - нифига, всё равно каким-то образом показывается ip основного провайдера. Браузеру скинул настройки на дефолтные - потерев конфигурационные файлы!

    Такое впечатление, что pfsense делает для этой вирт. машинки какую-то лазейку.
    Где ещё порыть?



  • А случайно Squid в режиме прозрачного прокси не используется?



  • 2 deem73

    Скрины всего, что настраивали покажите.



  • @PbIXTOP:

    А случайно Squid в режиме прозрачного прокси не используется?

    В режиме прозрачного. А что?



  • на виртуальной машине выполнить

    ipconfig /all
    iproute print

    результат сюда



  • @deem73:

    @PbIXTOP:

    А случайно Squid в режиме прозрачного прокси не используется?

    В режиме прозрачного. А что?

    В режиме прозрачного прокси все пакеты идущие на 80 порт передаются squid, и правила на интерфейсах уже не проверяются. А сервисы работающие внутри pfSense всегда используют маршрут по умолчанию.
    Документация описывает данную проблему https://doc.pfsense.org/index.php/Multi-WAN#Local_Services
    На форуме пытаются её решить, например https://forum.pfsense.org/index.php/topic,38882.0.html
    Следует искать по ключевой фразе "pfSense squid multiwan"



  • @smils:

    на виртуальной машине выполнить

    ipconfig /all
    iproute print

    результат сюда

    iproute - команда не найдена



  • @PbIXTOP:

    В режиме прозрачного прокси все пакеты идущие на 80 порт передаются squid, и правила на интерфейсах уже не проверяются. А сервисы работающие внутри pfSense всегда используют маршрут по умолчанию.
    Документация описывает данную проблему https://doc.pfsense.org/index.php/Multi-WAN#Local_Services
    На форуме пытаются её решить, например https://forum.pfsense.org/index.php/topic,38882.0.html
    Следует искать по ключевой фразе "pfSense squid multiwan"

    Долго думал. Весьма похоже.
    А как проверить, чтобы убедится, что это оно именно и есть. :)



  • iproute - команда не найдена

    пардон, не отсюда.
    надо так :

    route print



  • @deem73:

    Долго думал. Весьма похоже.
    А как проверить, чтобы убедится, что это оно именно и есть. :)

    Для проверки можно просто добавить IP, проверяемого компьютера, в параметр "Bypass proxy for these source IPs" настроек проки



  • @smils:

    iproute - команда не найдена

    пардон, не отсюда.
    надо так :

    route print

    Вот оно



  • @PbIXTOP:

    @deem73:

    Долго думал. Весьма похоже.
    А как проверить, чтобы убедится, что это оно именно и есть. :)

    Для проверки можно просто добавить IP, проверяемого компьютера, в параметр "Bypass proxy for these source IPs" настроек проки

    Прописал и помогло!!!
    Теперь этот специфичный браузер идёт в обход прокси, через нужный шлюз.

    Services - > Proxy server: General settings -> Bypass proxy for these source IPs


Log in to reply