2
Pfsense - Captive Portal in verbindung mit Squid(Guard)
Hey ihr,
Ich erkläre einmal, wie das bei mir aufgebaut ist:
1) CP sitzt im VLAN.
2) FW Rule, die jeglichen Traffic auf das Gateway verbietet (außer Port 53 & 8002) sowie in alle anderen lokalen Netze.
Problem:
Squid selber gibt in einem ganz anderen lokalem Netzwerk (außerhalb des VLAN's) seine "Website Deny" Meldung aus.
Ergo: sollte ein User auf z.B. eine geblockte Seite zugreifen wollen, passiert bei ihm aufgrund der FW Rule einfach gar nichts mehr. (Denn die Weiterleitung zu der Site wird durch die FW Rule geblockt)
Ich möchte aber, das der gute Bursche schon bescheid bekommt, das er geblockt wurde. Und das OHNE mein Gateway freizugeben, also, ohne das auch nur irgendein Gast die PFsense Web GUI erreichen kann.
Wie kann man das anstellen?
Ich erkläre einmal, wie das bei mir aufgebaut ist:
1) CP sitzt im VLAN.
2) FW Rule, die jeglichen Traffic auf das Gateway verbietet (außer Port 53 & 8002) sowie in alle anderen lokalen Netze.
Problem:
Squid selber gibt in einem ganz anderen lokalem Netzwerk (außerhalb des VLAN's) seine "Website Deny" Meldung aus.
Ergo: sollte ein User auf z.B. eine geblockte Seite zugreifen wollen, passiert bei ihm aufgrund der FW Rule einfach gar nichts mehr. (Denn die Weiterleitung zu der Site wird durch die FW Rule geblockt)
Ich möchte aber, das der gute Bursche schon bescheid bekommt, das er geblockt wurde. Und das OHNE mein Gateway freizugeben, also, ohne das auch nur irgendein Gast die PFsense Web GUI erreichen kann.
Wie kann man das anstellen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307244
Url: https://administrator.de/contentid/307244
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
2 Kommentare
Neuester Kommentar
Du kannst den Port des Webinterfaces der pfSense unter System>Advanced>TCP-Port auf einen anderen Port als die Squidports ändern (443 und 80) und den Zugriff auf diesen Ports in den entsprechenden VLANs verweigern.
Zudem solltest du dort "WebGUI redirect - Disable webConfigurator redirect rule" und "Anti-lockout
Disable webConfigurator anti-lockout rule" aktivieren, ansonsten kann die Pfsense immer erreicht werden.
Zudem solltest du dort "WebGUI redirect - Disable webConfigurator redirect rule" und "Anti-lockout
Disable webConfigurator anti-lockout rule" aktivieren, ansonsten kann die Pfsense immer erreicht werden.
Oh man, so einfach kann's gehen... :D
