. backnet — ответы на простые вопросы и не очень
backnet — ответы на простые вопросы и не очень

backnet — ответы на простые вопросы и не очень

Спасибо большое. Очень помогла Ваша статья. Все очень доходчиво и понятно.

Все сделал как в статье, но в Services-Proxy filter пишет «SquidGuard service state: STOPPED». А в Status-Services пытаюсь запустить squidGuard — пишет что запустился но все равно статус Stopped. Может нужно установить сам squid? Хотя при установке (как написано в начале статьи) он должен был подтянуть пакет squid?

Думаю, что нужно проверить установился ли пакет squid, в противном случае гуард работать не будет.

Стесняюсь спросить как проверить установился ли squid? И ссылку как настроить squid для работы в pfsense и squidguard?

@Иван Вкладка System, там Packages, скорее всего он у вас не установлен. Ищите пакет squid. Статья о настройке сквида на нашем сайте есть.

Спасибо, заработало, но только сначала нужно установить squid, а потом squidGuard.

Объясните мне, почему, то что блокируется, у меня висит и отваливается по тайм-ауту, а не выдаётся сразу радостная новость, что ресурс в блок-листе?

@sherr_khann По всей видимости вы используете прозрачный прокси, а в этом случае «радостную новость» в режиме ‘int’ сообщить не удастся (там английским по белому написано»Note: if you use ‘transparent proxy’, then ‘int’ redirect mode will not accessible.») Так что только URL, просто сообщением не получится.

При добавлении сайта URl list появляется ошибка

The following input errors were detected:

DEST ‘FileAccessDeny’: Item ‘http://www.odnoklassniki.ru’ is not a url.

А если просто добавить «www.odnoklassniki.ru», без http ?

Устал уже.. подскажите, есть влан. 192.168.4.0. ставлю сквид и сквидгвард настраиваю по образу и подобию статьи. сквид не прозрачные значит прописываю в настройках браузера прокси 192.168.4.1 и порт 3128 то есть прописал свою шлюз (правильно же). все работает, netstat показывает что браузер идет по адресу 192.168.4.1:3128 то есть через проксю? ток ни чего не фильтруется абсолютно.. ни разу не фильтранулся ни один сайт который я прописывал.. что не так? первый раз с проксей сталкнулся строго не судите. в фаерволе нет правил для прокси. я как понял я выбрал интерфейс нужный и все.. весь трафик этого влана пошел через прокси, остается только настроить браузер и фильтры? или чет не так я понял? За ранее спасибо.

Тут может быть много подводных камней. Я с вланами не настраивал веб фильтр, но думаю что дело не в этом. В картинке http://backnet.ru/wp-content/uploads/2012/02/sq31.jpg сеть прописали? Вообще ACL отрабатывает? Время на pfsense совпадает с реальным? логи есть возможность поглядеть? Вообще acl отрабатывает? Не пробовали со временем не играться, а заблокировать через ACL все и вся?

Пробовал играться с ACL, вопрос как раз в этом и есть, он вообще как будто не работает. Время совпадает. Сейчас в ACL стоит вообще запрет на все, но он как будто не видит этого.. мне кажется что у меня как то прокся сама не правильно работает.. то есть у меня не получилось настроить прозрачный прокси, он вообще не куда не пускает меня.. как только настройки в браузере прокси убираю, то все, тупо ни чего не работает.. хотя тогда даже и гварда не было, да и сейчас если ставлю прозрачный на сквиде, убираю проксю в браузере и на гварде выставляю доступ ко всему (да даже просто гвард выключаю в сервисах) все равно не пашет. какие логи показать? все на тестовом влане все равно делается так что могу все показать.

Конфиг прокси # Do not edit manually ! http_port 192.168.4.1:3128 icp_port 0

pid_filename /var/run/squid.pid cache_effective_user proxy cache_effective_group proxy error_directory /usr/pbi/squid-i386/etc/squid/errors/Russian-1251 icon_directory /usr/pbi/squid-i386/etc/squid/icons visible_hostname localhost cache_mgr admin@localhost access_log /var/squid/log/access.log cache_log /var/squid/log/cache.log cache_store_log none logfile_rotate 30 shutdown_lifetime 3 seconds # Allow local network(s) on interface(s) acl localnet src 192.168.4.0/255.255.255.0 uri_whitespace strip

cache_mem 8 MB maximum_object_size_in_memory 32 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA cache_dir ufs /var/squid/cache 100 16 256 minimum_object_size 0 KB maximum_object_size 10 KB offline_mode off

# No redirector configured

# Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin ? cache deny dynamic http_access allow manager localhost

http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports

# Always allow localhost connections http_access allow localhost

request_body_max_size 0 KB reply_body_max_size 0 deny all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all

# Custom options url_rewrite_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf url_rewrite_bypass off url_rewrite_children 16 startup=8 idle=4 concurrency=0 # Setup allowed acls # Allow local network(s) on interface(s) http_access allow localnet # Default block all to be sure http_access deny all

logdir /var/squidGuard/log dbhome /var/db/squidGuard

# 123 time work

# src WorkTime

# dest blk_BL_adv

# dest blk_BL_aggressive

тут куча правил блокировки, думаю они тут не причем не выкладываю чтобы мусора не было # rew safesearch

во кстати, только посмотрел конфиг.. а почему он у меня редерикт на 192.168.0.2? может мне его в качестве прокси надо прописывать? Хотя это все равно не решает проблему не работающего прозрачного прокси.

192.168.0.2 это как бы шлюз Lana, и основной днс сервер. не канает его указывать в качестве прокси, что не удивительно, он то тут причем)

логи фильтра ,none,17,udp,48,82.200.27.110,176.197.97.86,54077,32682,28 Jun 5 08:51:48 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19819,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58 Jun 5 08:51:49 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19823,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58 Jun 5 08:51:51 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19831,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58 Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,113,7897,0,DF,6,tcp,48,85.238.109.217,176.197.97.86,57932,32682,0,S,532907804,,8192,,mss;nop;nop;sackOK Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,1045,0,DF,6,tcp,48,82.200.27.110,176.197.97.86,65095,32682,0,S,2859668228,,8192,,mss;nop;nop;sackOK Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7932,0,none,17,udp,58,85.238.109.217,176.197.97.86,50495,32682,38 Jun 5 08:51:53 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,1051,0,none,17,udp,48,82.200.27.110,176.197.97.86,54077,32682,28 Jun 5 08:51:41 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,247,22285,0,DF,6,tcp,48,217.150.44.85,176.197.97.86,59083,32682,0,S,55250921,,8192,,mss;nop;nop;sackOK Jun 5 08:51:42 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,247,22317,0,none,17,udp,48,217.150.44.85,176.197.97.86,3334,32682,28 Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7239,0,none,17,udp,95,85.238.109.217,176.197.97.86,50495,32682,75 Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7242,0,none,17,udp,58,85.238.109.217,176.197.97.86,50495,32682,38 Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,113,7241,0,DF,6,tcp,48,85.238.109.217,176.197.97.86,57932,32682,0,S,532907804,,8192,,mss;nop;nop;sackOK Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,687,0,none,17,udp,131,82.200.27.110,176.197.97.86,54077,32682,111 Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,689,0,none,17,udp,48,82.200.27.110,176.197.97.86,54077,32682,28 Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,690,0,DF,6,tcp,52,82.200.27.110,176.197.97.86,65095,32682,0,S,2859668228,,8192,,mss;nop;wscale;nop;nop;sackOK Jun 5 08:51:46 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,113,7425,0,DF,6,tcp,48,85.238.109.217,176.197.97.86,57932,32682,0,S,532907804,,8192,,mss;nop;nop;sackOK Jun 5 08:51:46 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7479,0,none,17,udp,58,85.238.109.217,176.197.97.86,50495,32682,38 Jun 5 08:51:46 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,784,0,DF,6,tcp,52,82.200.27.110,176.197.97.86,65095,32682,0,S,2859668228,,8192,,mss;nop;wscale;nop;nop;sackOK Jun 5 08:51:46 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,788,0,none,17,udp,48,82.200.27.110,176.197.97.86,54077,32682,28 Jun 5 08:51:48 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19819,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58 Jun 5 08:51:49 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19823,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58 Jun 5 08:51:51 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19831,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58 Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,113,7897,0,DF,6,tcp,48,85.238.109.217,176.197.97.86,57932,32682,0,S,532907804,,8192,,mss;nop;nop;sackOK Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,1045,0,DF,6,tcp,48,82.200.27.110,176.197.97.86,65095,32682,0,S,2859668228,,8192,,mss;nop;nop;sackOK Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7932,0,none,17,udp,58,85.238.109.217,176.197.97.86,50495,32682,38

@neok Подожди, может быть изначально проблема в самос сквиде, если он у тебя не дает работать в прозрачном режиме? На каком интерфейсе он у тебя висит? 0.4 или 0.2 ? отключи пока сквидгуард и давай разбираться почему сквид не работает.

Попробуй настройки вот по этой статье проверить http://backnet.ru/2012/01/31/pfsense-prozrachnyiy-proksi-server-squid/ и есть возможность все это попробовать без vlan?

Таааак.. Ща буду пробовать по статье прозрачном режиме еще разок все заново.. работает на 4. Протестить не на влане придется если не получиться, ток его где то на виртуалке поднять придется. Как попробую отпишусь по результатам

Вот. что то заработало, было подозрение что что то криво поставилось, хотя… Настроил по ссылке, весь трафик блокирует на этом влане, уже прогресс. вопрос а почему он его блочит? Гварда нет, я его снес, настройки сквида кроме главных не одной вкладки не трогал. но тем не мене блок. Пример страницы ERROR

The requested URL could not be retrieved

While trying to process the request:

GET / HTTP/1.1 Host: 192.168.0.2 Connection: keep-alive Cache-Control: max-age=0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: PHPSESSID=2b7749c875c6623bac7db3a7c307bf41

The following error was encountered:

Invalid Request Some aspect of the HTTP Request is invalid. Possible problems:

Missing or unknown request method Missing URL Missing HTTP Identifier (HTTP/1.0) Request is too large Content-Length missing for POST or PUT requests Illegal character in hostname; underscores are not allowed Your cache administrator is webmaster. Generated Fri, 05 Jun 2015 07:21:20 GMT by pfsense.fgup.pvs42.ru (squid/2.7.STABLE9)

@neok Вот эта строчка ? «Illegal character in hostname; underscores are not allowed»

что открыть пытаетесь, айпишник или какой нить специфический урл? ya.ru тоже не открывает?

Ну именно в этом примере специфический айппи, а вообще ни чего не открывает, и прям мгновенно ошибку выдает.

@neok А правила в фаерволе прописаны верно? Выше этих правил ничего другого, что может перекрывать выход через сквид?

Чувствую что это именно моя специфическая проблема из за вланов, у меня тут все по закручено, а открутить на продакшене не как не можно. лана буду думать дальше.. рыть)

ты мне раскажи логику работы прокси я не доконца догоняю.. вот есть у меня два интерсфейса wan и lan на пвсенсе, он же днс сервер. я пускаю лан через прокси по порту 3128, то есть теперь весь трафик который я запрашиваю уходит не на днс а на прокси на порт 3128 а прокси по факту это тот же мой самый днс, тока порт другой использует, и вот уже после того как прокся его обработает она отправляет трафик на днс?

Прокся у тебя висит на 3128 порту (по умолчанию) и пропускает через себя только http трафик (по умолчанию).

Когда ты прописываешь в компе проксю, то ДНС у тебя прописаны в настройках сетевой карты, а прокси у тебя прописывается к примеру в браузере.

Когда идет запрос к сайту, то вначале имя улетает на днс (прокся тут не причем), потом трафик если это http (по умолчанию) кидается на прокси.

Возможно что у тебя в прокси не настроен выходной интерфейс WAN через который прокси должен выпускать трафик наружу.

Но адрес прокси это же адрес шлюза(то есть в моем случае 192.168.4.1) или я чет вообще ни чего не понимаю?? Насчет последнего поподробнее пожалуйста, это где че открыть надо что бы его выпускать..

@neok У тебя без прокси 4.0 подсеть может в интернет выходить?

Ну и вот в этой статье посмотри правила файервола http://backnet.ru/2012/01/31/pfsense-prozrachnyiy-proksi-server-squid/ примерно середина поста.

Вот. в нет выходит без прокси. Даже галку убираешь Allow users on interface и все едет .

Вот. в нет выходит без прокси. Даже галку убираешь Allow users on interface и все едет .

Что то скрин не прикрепляеться, вообще выбран интерфейс main, это мой влан, который я настраиваю, и в правилах точная копия как в статье.

@neok Так сложно понять, копайся и пиши результаты.

Ок, как добьюсь чего сразу сюда все выложу..

Добрый день! Настроил все супер! Но есть одна проблема текст написанный в поле Redirect в браузере отображается иэроглифами или русскими буквами но типо такого аааББэККБР КАК ЭТО ИСПРАВИТЬ?

@Gook Кодировку попробуй в темплейте поменять на UTF-8, там наверняка стоит только для инглиша.

Ребята помогите плиз с Pfsense 2.2.2 устанавливаю на комп и настраиваю по минимуму, допустим только WAN и LAN интерфейс что бы в интернет люди ходили и DHCP заодно, перезагружаю и когда начинает подниматься сервер, идёт ОЧЕНЬ долгая загрузка буквально по одной букве грузит в чём дело понять не могу.

А само железо тянет? Может быть банально не справляется (хотя наверно нет), может быть с HDD какие то проблемы? Ну на самом деле все что угодно. Попробуй идти по наименьшему сопротивлению и поставь на другой диск или на флешку и посмотри.

@chum мне коллега по «цеху» тоже сказал посмотри хард, я проверил всеми прогами, виктория и тд. прог много тестил, хард жив. Даже купил новый WD хард на 500 гб, установил на новый хард, такая же петрушка, в чём дело понять не могу, такое ощущение либо железо либо настройки, хотя настроек по сути можно ваще не делать, ребутишь и всё виснет.

@Даниил понимаешь железо тянет, сам pFsense работает, адреса раздаёт, юзеры в интернет ходят, прокся блочит всё как надо, но стоит перезагрузится и всё, он вообще очень долго грузит.

@Даниил Не ну скорее всего это железная проблема (но это только догадки), в принципе все что угодно может быть. Если через консоль логи самой FreeBSD поглядеть может быть она что-то говорит, что ей не нравится?

📎📎📎📎📎📎📎📎📎📎