backnet — ответы на простые вопросы и не очень

Спасибо большое. Очень помогла Ваша статья. Все очень доходчиво и понятно.

Все сделал как в статье, но в Services-Proxy filter пишет «SquidGuard service state: STOPPED». А в Status-Services пытаюсь запустить squidGuard — пишет что запустился но все равно статус Stopped. Может нужно установить сам squid? Хотя при установке (как написано в начале статьи) он должен был подтянуть пакет squid?

Стесняюсь спросить как проверить установился ли squid? И ссылку как настроить squid для работы в pfsense и squidguard?

Спасибо, заработало, но только сначала нужно установить squid, а потом squidGuard.

Объясните мне, почему, то что блокируется, у меня висит и отваливается по тайм-ауту, а не выдаётся сразу радостная новость, что ресурс в блок-листе?

@sherr_khann
По всей видимости вы используете прозрачный прокси, а в этом случае «радостную новость» в режиме ‘int’ сообщить не удастся (там английским по белому написано»Note: if you use ‘transparent proxy’, then ‘int’ redirect mode will not accessible.») Так что только URL, просто сообщением не получится.

При добавлении сайта URl list появляется ошибка

The following input errors were detected:

DEST ‘FileAccessDeny’: Item ‘http://www.odnoklassniki.ru’ is not a url.

Устал уже..
подскажите, есть влан. 192.168.4.0. ставлю сквид и сквидгвард настраиваю по образу и подобию статьи. сквид не прозрачные значит прописываю в настройках браузера прокси 192.168.4.1 и порт 3128 то есть прописал свою шлюз (правильно же). все работает, netstat показывает что браузер идет по адресу 192.168.4.1:3128 то есть через проксю? ток ни чего не фильтруется абсолютно.. ни разу не фильтранулся ни один сайт который я прописывал.. что не так? первый раз с проксей сталкнулся строго не судите. в фаерволе нет правил для прокси. я как понял я выбрал интерфейс нужный и все.. весь трафик этого влана пошел через прокси, остается только настроить браузер и фильтры? или чет не так я понял?
За ранее спасибо.

Пробовал играться с ACL, вопрос как раз в этом и есть, он вообще как будто не работает. Время совпадает. Сейчас в ACL стоит вообще запрет на все, но он как будто не видит этого..
мне кажется что у меня как то прокся сама не правильно работает.. то есть у меня не получилось настроить прозрачный прокси, он вообще не куда не пускает меня.. как только настройки в браузере прокси убираю, то все, тупо ни чего не работает.. хотя тогда даже и гварда не было, да и сейчас если ставлю прозрачный на сквиде, убираю проксю в браузере и на гварде выставляю доступ ко всему (да даже просто гвард выключаю в сервисах) все равно не пашет. какие логи показать? все на тестовом влане все равно делается так что могу все показать.

Конфиг прокси
# Do not edit manually !
http_port 192.168.4.1:3128
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/pbi/squid-i386/etc/squid/errors/Russian-1251
icon_directory /usr/pbi/squid-i386/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/log/access.log
cache_log /var/squid/log/cache.log
cache_store_log none
logfile_rotate 30
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src 192.168.4.0/255.255.255.0
uri_whitespace strip

cache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 100 16 256
minimum_object_size 0 KB
maximum_object_size 10 KB
offline_mode off

# No redirector configured

# Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535
acl sslports port 443 563
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
cache deny dynamic
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

request_body_max_size 0 KB
reply_body_max_size 0 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow all

# Custom options
url_rewrite_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf
url_rewrite_bypass off
url_rewrite_children 16 startup=8 idle=4 concurrency=0
# Setup allowed acls
# Allow local network(s) on interface(s)
http_access allow localnet
# Default block all to be sure
http_access deny all

конфиг фильтра
# ============================================================
# SquidGuard configuration file
# This file generated automaticly with SquidGuard configurator
# (C)2006 Serg Dvoriancev
# email: dv_serg@mail.ru
# ============================================================

logdir /var/squidGuard/log
dbhome /var/db/squidGuard

# 123
time work {
weekly * 09:00-23:59
}

#
src WorkTime {
ip 192.168.4.0/24
}

#
dest blk_BL_adv {
domainlist blk_BL_adv/domains
urllist blk_BL_adv/urls
log block.log
}

#
dest blk_BL_aggressive {
domainlist blk_BL_aggressive/domains
urllist blk_BL_aggressive/urls
log block.log
}

тут куча правил блокировки, думаю они тут не причем не выкладываю чтобы мусора не было
#
rew safesearch {
s@(google..*/search?.*q=.*)@
&safe=active@i
s@(google..*/images.*q=.*)@
&safe=active@i
s@(google..*/groups.*q=.*)@
&safe=active@i
s@(google..*/news.*q=.*)@
&safe=active@i
s@(yandex..*/yandsearch?.*text=.*)@
&fyandex=1@i
s@(search.yahoo..*/search.*p=.*)@
&vm=r&v=1@i
s@(search.live..*/.*q=.*)@
&adlt=strict@i
s@(search.msn..*/.*q=.*)@
&adlt=strict@i
s@(.bing..*/.*q=.*)@
&adlt=strict@i
log block.log
}

#
acl {
#
WorkTime within work {
pass none
redirect http://192.168.0.2:80/sgerror.php?url=403%20Soory&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
} else {
pass none
redirect http://192.168.0.2:80/sgerror.php?url=403%20Soory&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
}
#
default {
pass !vk none
redirect http://192.168.0.2:80/sgerror.php?url=403%20sorry&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
log block.log
}
}

во кстати, только посмотрел конфиг.. а почему он у меня редерикт на 192.168.0.2?
может мне его в качестве прокси надо прописывать? Хотя это все равно не решает проблему не работающего прозрачного прокси.

192.168.0.2 это как бы шлюз Lana, и основной днс сервер. не канает его указывать в качестве прокси, что не удивительно, он то тут причем)

логи фильтра
,none,17,udp,48,82.200.27.110,176.197.97.86,54077,32682,28
Jun 5 08:51:48 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19819,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58
Jun 5 08:51:49 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19823,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58
Jun 5 08:51:51 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19831,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58
Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,113,7897,0,DF,6,tcp,48,85.238.109.217,176.197.97.86,57932,32682,0,S,532907804,,8192,,mss;nop;nop;sackOK
Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,1045,0,DF,6,tcp,48,82.200.27.110,176.197.97.86,65095,32682,0,S,2859668228,,8192,,mss;nop;nop;sackOK
Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7932,0,none,17,udp,58,85.238.109.217,176.197.97.86,50495,32682,38
Jun 5 08:51:53 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,1051,0,none,17,udp,48,82.200.27.110,176.197.97.86,54077,32682,28
Jun 5 08:51:41 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,247,22285,0,DF,6,tcp,48,217.150.44.85,176.197.97.86,59083,32682,0,S,55250921,,8192,,mss;nop;nop;sackOK
Jun 5 08:51:42 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,247,22317,0,none,17,udp,48,217.150.44.85,176.197.97.86,3334,32682,28
Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7239,0,none,17,udp,95,85.238.109.217,176.197.97.86,50495,32682,75
Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7242,0,none,17,udp,58,85.238.109.217,176.197.97.86,50495,32682,38
Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,113,7241,0,DF,6,tcp,48,85.238.109.217,176.197.97.86,57932,32682,0,S,532907804,,8192,,mss;nop;nop;sackOK
Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,687,0,none,17,udp,131,82.200.27.110,176.197.97.86,54077,32682,111
Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,689,0,none,17,udp,48,82.200.27.110,176.197.97.86,54077,32682,28
Jun 5 08:51:43 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,690,0,DF,6,tcp,52,82.200.27.110,176.197.97.86,65095,32682,0,S,2859668228,,8192,,mss;nop;wscale;nop;nop;sackOK
Jun 5 08:51:46 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,113,7425,0,DF,6,tcp,48,85.238.109.217,176.197.97.86,57932,32682,0,S,532907804,,8192,,mss;nop;nop;sackOK
Jun 5 08:51:46 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7479,0,none,17,udp,58,85.238.109.217,176.197.97.86,50495,32682,38
Jun 5 08:51:46 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,784,0,DF,6,tcp,52,82.200.27.110,176.197.97.86,65095,32682,0,S,2859668228,,8192,,mss;nop;wscale;nop;nop;sackOK
Jun 5 08:51:46 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,788,0,none,17,udp,48,82.200.27.110,176.197.97.86,54077,32682,28
Jun 5 08:51:48 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19819,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58
Jun 5 08:51:49 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19823,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58
Jun 5 08:51:51 pfsense filterlog: 9,16777216,,1000000103,re1_vlan101,match,block,in,4,0×0,,128,19831,0,DF,17,udp,78,192.168.4.15,192.168.0.21,137,137,58
Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,113,7897,0,DF,6,tcp,48,85.238.109.217,176.197.97.86,57932,32682,0,S,532907804,,8192,,mss;nop;nop;sackOK
Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,245,1045,0,DF,6,tcp,48,82.200.27.110,176.197.97.86,65095,32682,0,S,2859668228,,8192,,mss;nop;nop;sackOK
Jun 5 08:51:52 pfsense filterlog: 9,16777216,,1000000103,re0,match,block,in,4,0×0,,112,7932,0,none,17,udp,58,85.238.109.217,176.197.97.86,50495,32682,38

Таааак..
Ща буду пробовать по статье прозрачном режиме еще разок все заново..
работает на 4.
Протестить не на влане придется если не получиться, ток его где то на виртуалке поднять придется.
Как попробую отпишусь по результатам

Вот. что то заработало, было подозрение что что то криво поставилось, хотя…
Настроил по ссылке, весь трафик блокирует на этом влане, уже прогресс.
вопрос а почему он его блочит? Гварда нет, я его снес, настройки сквида кроме главных не одной вкладки не трогал. но тем не мене блок.
Пример страницы
ERROR

The requested URL could not be retrieved

While trying to process the request:

GET / HTTP/1.1
Host: 192.168.0.2
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: PHPSESSID=2b7749c875c6623bac7db3a7c307bf41

The following error was encountered:

Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:

Missing or unknown request method
Missing URL
Missing HTTP Identifier (HTTP/1.0)
Request is too large
Content-Length missing for POST or PUT requests
Illegal character in hostname; underscores are not allowed
Your cache administrator is webmaster.
Generated Fri, 05 Jun 2015 07:21:20 GMT by pfsense.fgup.pvs42.ru (squid/2.7.STABLE9)

Ну именно в этом примере специфический айппи, а вообще ни чего не открывает, и прям мгновенно ошибку выдает.

Чувствую что это именно моя специфическая проблема из за вланов, у меня тут все по закручено, а открутить на продакшене не как не можно. лана буду думать дальше.. рыть)

ты мне раскажи логику работы прокси я не доконца догоняю.. вот есть у меня два интерсфейса wan и lan на пвсенсе, он же днс сервер. я пускаю лан через прокси по порту 3128, то есть теперь весь трафик который я запрашиваю уходит не на днс а на прокси на порт 3128 а прокси по факту это тот же мой самый днс, тока порт другой использует, и вот уже после того как прокся его обработает она отправляет трафик на днс?

Но адрес прокси это же адрес шлюза(то есть в моем случае 192.168.4.1) или я чет вообще ни чего не понимаю??
Насчет последнего поподробнее пожалуйста, это где че открыть надо что бы его выпускать..

Вот. в нет выходит без прокси. Даже галку убираешь Allow users on interface и все едет .

Вот. в нет выходит без прокси. Даже галку убираешь Allow users on interface и все едет .

Что то скрин не прикрепляеться, вообще выбран интерфейс main, это мой влан, который я настраиваю, и в правилах точная копия как в статье.

Ок, как добьюсь чего сразу сюда все выложу..

Добрый день! Настроил все супер! Но есть одна проблема текст написанный в поле Redirect в браузере отображается иэроглифами или русскими буквами но типо такого аааББэККБР КАК ЭТО ИСПРАВИТЬ?

Ребята помогите плиз с Pfsense 2.2.2 устанавливаю на комп и настраиваю по минимуму, допустим только WAN и LAN интерфейс что бы в интернет люди ходили и DHCP заодно, перезагружаю и когда начинает подниматься сервер, идёт ОЧЕНЬ долгая загрузка буквально по одной букве грузит в чём дело понять не могу.

@chum
мне коллега по «цеху» тоже сказал посмотри хард, я проверил всеми прогами, виктория и тд. прог много тестил, хард жив. Даже купил новый WD хард на 500 гб, установил на новый хард, такая же петрушка, в чём дело понять не могу, такое ощущение либо железо либо настройки, хотя настроек по сути можно ваще не делать, ребутишь и всё виснет.

@Даниил
понимаешь железо тянет, сам pFsense работает, адреса раздаёт, юзеры в интернет ходят, прокся блочит всё как надо, но стоит перезагрузится и всё, он вообще очень долго грузит.

@chum
Status — System Logs ????

Aug 6 12:32:19 check_reload_status: Restarting ipsec tunnels
Aug 6 12:32:22 check_reload_status: updating dyndns wan
Aug 6 12:32:24 check_reload_status: Reloading filter
Aug 6 12:32:24 php-fpm[84030]: /interfaces.php: Creating rrd update script
Aug 7 06:00:00 check_reload_status: Configuring interface wan
Aug 7 06:00:01 check_reload_status: Rewriting resolv.conf
Aug 7 06:00:04 check_reload_status: Rewriting resolv.conf
Aug 7 06:00:06 php-fpm[700]: /rc.newwanip: IP has changed, killing states on former IP 109.184.193.241.
Aug 7 06:00:06 php-fpm[700]: /rc.newwanip: ROUTING: setting default route to 95.37.128.1
Aug 7 06:00:09 php-fpm[700]: /rc.newwanip: Resyncing OpenVPN instances for interface WAN.
Aug 7 06:00:09 php-fpm[700]: /rc.newwanip: Creating rrd update script
Aug 7 06:00:11 php-fpm[98979]: /rc.interfaces_wan_configure: Accept router advertisements on interface rl0
Aug 7 06:00:11 php-fpm[700]: /rc.newwanip: pfSense package system has detected an IP change or dynamic WAN reconnection — ***.184.193.*** -> 95.37.213.*** — Restarting packages.
Aug 7 06:00:11 check_reload_status: Starting packages
Aug 7 06:00:12 php-fpm[6071]: /rc.start_packages: Restarting/Starting all packages.
Aug 8 06:00:00 check_reload_status: Configuring interface wan
Aug 8 06:00:01 check_reload_status: Rewriting resolv.conf
Aug 8 06:00:04 check_reload_status: Rewriting resolv.conf
Aug 8 06:00:06 php-fpm[58866]: /rc.newwanip: IP has changed, killing states on former IP 95.37.213.109.
Aug 8 06:00:06 php-fpm[58866]: /rc.newwanip: ROUTING: setting default route to 93.120.128.1
Aug 8 06:00:09 php-fpm[58866]: /rc.newwanip: Resyncing OpenVPN instances for interface WAN.
Aug 8 06:00:09 php-fpm[58866]: /rc.newwanip: Creating rrd update script
Aug 8 06:00:11 php-fpm[6071]: /rc.interfaces_wan_configure: Accept router advertisements on interface rl0
Aug 8 06:00:11 php-fpm[58866]: /rc.newwanip: pfSense package system has detected an IP change or dynamic WAN reconnection — 95.37.213.*** -> 93.120.151.*** — Restarting packages.
Aug 8 06:00:11 check_reload_status: Starting packages
Aug 8 06:00:12 php-fpm[64865]: /rc.start_packages: Restarting/Starting all packages.
Aug 9 06:00:00 check_reload_status: Configuring interface wan
Aug 9 06:00:01 check_reload_status: Rewriting resolv.conf
Aug 9 06:00:04 check_reload_status: Rewriting resolv.conf
Aug 9 06:00:06 php-fpm[35155]: /rc.newwanip: IP has changed, killing states on former IP 93.120.151.177.
Aug 9 06:00:06 php-fpm[35155]: /rc.newwanip: ROUTING: setting default route to 93.120.128.1
Aug 9 06:00:09 php-fpm[35155]: /rc.newwanip: Resyncing OpenVPN instances for interface WAN.
Aug 9 06:00:09 php-fpm[35155]: /rc.newwanip: Creating rrd update script
Aug 9 06:00:11 php-fpm[64865]: /rc.interfaces_wan_configure: Accept router advertisements on interface rl0
Aug 9 06:00:11 php-fpm[35155]: /rc.newwanip: pfSense package system has detected an IP change or dynamic WAN reconnection — 93.***.151.*** -> 93.120.143.*** — Restarting packages.
Aug 9 06:00:11 check_reload_status: Starting packages
Aug 9 06:00:12 php-fpm[54615]: /rc.start_packages: Restarting/Starting all packages.
Aug 10 06:00:00 check_reload_status: Configuring interface wan
Aug 10 06:00:01 check_reload_status: Rewriting resolv.conf
Aug 10 06:00:04 check_reload_status: Rewriting resolv.conf
Aug 10 06:00:06 php-fpm[43634]: /rc.newwanip: IP has changed, killing states on former IP 93.120.143.244.
Aug 10 06:00:06 php-fpm[43634]: /rc.newwanip: ROUTING: setting default route to 82.208.91.1
Aug 10 06:00:09 php-fpm[43634]: /rc.newwanip: Resyncing OpenVPN instances for interface WAN.
Aug 10 06:00:09 php-fpm[43634]: /rc.newwanip: Creating rrd update script
Aug 10 06:00:11 php-fpm[54615]: /rc.interfaces_wan_configure: Accept router advertisements on interface rl0
Aug 10 06:00:11 php-fpm[43634]: /rc.newwanip: pfSense package system has detected an IP change or dynamic WAN reconnection — **.120.143.*** -> 82.***.91.*** — Restarting packages.
Aug 10 06:00:11 check_reload_status: Starting packages
Aug 10 06:00:12 php-fpm[50375]: /rc.start_packages: Restarting/Starting all packages.
Aug 10 07:19:48 php-fpm[50375]: /index.php: Successful login for user ‘*****’ from: 192.168.1.119
Aug 10 07:19:48 php-fpm[50375]: /index.php: Successful login for user ‘*****’ from: 192.168.1.119

@chum
да рабочий комп был, я конечно сейчас попробую собрать новую машину (железо), может 2.2.2 кривой, на официальном 2.2.4 уже лежит. хотя моя проблема наверно с версией вообще никак не связана.

@chum
=)))) ладно буду пробовать новую железку собрать.

@chum
Разобрался, дело не в железе, дело в настройках, а именно DHCP, я настраивал интерфейс в косоле, заодно там же включал DHCP, оказывается этого делать не надо, так как автоматом он уже стоит, вообщем наверно идёт конфликт какой то и всё зависает при перезагрузке. Сейчас полёт нормальный, будем дальше юзать.

Создал правило блокировки сайта так же как указано в статье, только блокировка на мой ип адрес. Но доступ на сайт пропал еще у 3-4х из 20 пользователей. Стоит прозрачный прокси.
Из-за чего может быть такое?