Главная > Linux > PfSense прозрачный прокси сервер squid

PfSense прозрачный прокси сервер squid

Как настроить в PfSense прозрачный (transparent) прокси на Squid с просмотром статистики по ip адресам?

Первым делом нам придется поставить несколько пакетов, а именно: squid (не путаться с похожим squid3) и пакет сбора статистики Lightsquid. Для это жмем SystemPackagesAvailable Packages и устанавливаем их нажав "плюсик" напротив поля Description соответствующего пакета. Установили, идем дальше настраивать сам squid. Идем в меню ServicesProxy server - вкладка General, и как раз тут делаем все наши настройки. Proxy interface - выбираем интерфейс Lan (ни в коем случае не промахнитесь!) Allow users on interface - [v] (ставим галку, чтобы не добавлять сети в ручную) Transparent proxy - [v] (опять же галка, чтобы наш прокси был прозрачным (transparent) Bypass proxy for these source IPs - нужно чтобы указать какие подсети или ip адреса не попадали под прокси а ходили в интернет мимо него (можно указывать как ip адреса так и подсети) Enabled logging - [v] ну тут понятно, включаем логи (надо или нет решаем сами) Log store directory - лучше оставить без изменения Log rotate - сколько дней хранить активный лог (я поставил 30), дальше буду делать архивы на сколько я понимаю. Proxy port - обычно 3128 (оставляем так как есть) Visible hostname - тут понятно, ставим соответствующее Administrator email - указываем email адрес Languages - выбираем Russia-1251 What to do with requests that have whitespace characters in the URI - тут оставляем strip Ниже по тексту привожу принт скрин как это выглядим у меня. Следующая вкладка с настройками это Upstream proxy - в которой можно настроить адрес и прочий конфиг вышестоящего прокси сервера, у меня его нет и по этому я прохожу мимо. Далее вкладка CacheMgmt - ну тут понятно, кэш менеджер, я оставил без изменения и глубоко не вдавался в детали настройки. Идем дальше, вкладка Access control - удобная вещь с помощью которой можно проводить разные манипуляции по блокировке например доменов занося их в поле Blacklist или наоборот в поле Whitelist, и некоторые другие функции по блокировке, в принципе все интуитивно понятно (я эти вкладки не трогал, т.к. все разрешения и запреты делал через SquidGuard - об этом в следующей статье). Далее вкладка TrafficMgmt - с помощью нее можно так же проводить разные манипуляции, название полей говорит само за себя (я эти вкладки не трогал, т.к. все разрешения и запреты делал через SquidGuard - об этом в следующей статье). Остаются две вкладки, Auth Settings и Local Users которые нам не нужны т.к. прокси у нас прозрачный. С настройками Squid мы закончили, теперь остался фаервол и его правила. Идем в Firewall - Rules и выбираем Lan. У меня несколько интерфейсов, два канала и несколько IPSEC тунелей, при таком раскладе правила в фаерволе для работы через Suqid следующие (первое правило у вас может отличаться от моего, а именно порты в нем стоять 22 и 80), второе же правило должно быть таким же, wan интерфейс не трогаем и оставляем как есть: Так, настройка правил закончена, переходим к моменту статистики (кто куда  когда ходил). Идем в меню Status - Proxy Report, вкладка Settings Language - выбираем Russian IP resolve method (future) - ставим IP (так у нас будет статистика по каждому IP в отдельности) Refresh sheduler - интервал обновления, у меня стоит 10 минут (в том случае если железо позволяет, в противном не меньше 30) и жмем кнопку Save,  а потом RefreshFull. Теперь ждем 10 минут и нажимаем кнопку-вкладку Lightsquid Report в котором видим всю картину, кто куда и когда заходил, если статистика не показывается и выдается ошибка, подождите еще чуть чуть. Если вы нашли неточности в статье, просим их прокомментировать.  
1 звезда2 звезды3 звезды4 звезды5 звезд (Рейтинг отсутствует)

Загрузка...
  1. Сергей
    6 марта 2012 в 08:55 | #1

    Хорошая статья, спасибо.
    Настроил все как написано, заработало, статистика появилась.
    Но. По каким портам эта статистика? Торренты она не учитывает, проверено… по крайней мере по настройкам из статьи. Где копать не подскажите?

  2. chum
    6 марта 2012 в 09:06 | #2

    Эта статистика на сколько я понял учитывает только http (возможно https) трафик, т.е. все, что идет так сказать не по УРЛ тут не учитывается, возможно нужно крутить уже сам модуль (пакет) фильтра, но до этого еще не добрались. Если будет ответ на Ваш вопрос, пожалуйста сообщите нам. Мы в тоже время постараемся найти ответ.

  3. sdd101
    13 марта 2012 в 03:33 | #3

    @Сергей
    Копать надо в сторону IPCAD.
    статья называется «Подсчет трафика с помощью Squid и ipcad в pfSense 1.2.3»
    http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_1.2.3

    Автор скрипт написал, который статистику трафика полученного ipcad в формате сквида в его же лог складывает. Ну а там уже LightSquid нормально обработает.

  4. chum
    13 марта 2012 в 05:47 | #4

    Ммм интересно, спасибо за статью, чуть ниже в статье есть ссылка на 2.* версию PFsense, если не заметили там чуть чуть отличаются настройки.

  5. free
    21 мая 2012 в 18:35 | #5

    Вопрос, те кто прописан в : Bypass proxy for these source IPs
    в логе участвуют?

  6. chum
    21 мая 2012 в 20:13 | #6

    Вообще нет, т.к. они идут в обход прокси и он их не обрабатывает. Во всяком случае я у себя не смог найти логи по айпи, которые указаны в Bypass proxy

  7. free
    22 мая 2012 в 04:05 | #7

    Отлично 🙂 Спасибо!

  8. Den
    18 декабря 2014 в 22:44 | #8

    Доброго времени суток, уважаемые. Вопрос у меня не очень тривиальный и ответа я не нашел. Может подскажете?.. В общем нужно настроить прокси так, чтобы он прогонял через себя трафик юзеров из интернета. То есть я, сидя у себя дома, назначал браузеру свой прокси, который стоит у меня на работе и весь трафик шел через него. И, при этом, он был закрыт для всех, кроме тех, кто прописан в юзер-листе. Подскажите, плз, где и что включать? и где какие настройки прописывать?

    • chum
      14 мая 2015 в 15:23 | #9

      Разобрались? У нас были проблемы с ответами на комменты.

  1. Пока что нет уведомлений.


пять × 5 =

Heads up! You are attempting to upload an invalid image. If saved, this image will not display with your comment.