Opa.
Pessoal, notei algo curioso no pfSense, vou deixar reportado aqui, ás vezes
é bug, ou é vacilo meu.
No pfSense 2.0RC3, amd64(built on Mon Jul 4 16:49:48 EDT 2011), fiz as
instruções contidas no pdf[1], para que o squid funcione com balance ou
failover. Tudo funcionou OK.
Resumidamente o que o pfSense faz neste cenário é:
1 - no squid.conf criar as seguintes acl:
http_port 127.0.0.1:3128
http_port 127.0.0.1:80 transparent
2 - no rdr do pf, altera de
rdr on rl1 inet proto tcp from any to ! (rl1) port = http -> 127.0.0.1 port
3128
para
rdr on rl1 inet proto tcp from any to ! (rl1) port = http -> 127.0.0.1 port
80
este cenário foi testado e está OK.
Porém, fiz o mesmo no 2.0RC3, i386(built on Sun Sep 11 21:36:53 EDT 2011) e
encontrei com o cenário descrito aqui[2].
1 - no squid.conf, ele não criou a acl de transparent corretamente, já que
rodou na mesma porta opção "normal" e "transparente".
http_port 127.0.0.1:3128
http_port 127.0.0.1:3128 transparent
2 - a regra de rdr continuou entregando prá porta 3128.
A solução que fiz foi editar o /usr/local/pkg/squid.inc e alterar a linha
$conf .= "http_port {$real_ifaces[$i][0]}:$port\n";
Colocando lá:
$conf .= "http_port 172.20.0.253:3128\n";
Com isto, ele cria o squid.conf assim:
http_port 172.20.0.253:3128
http_port 172.20.0.253:3128
http_port 127.0.0.1:3128 transparent
Notem que ele cria 2x a acl do IP interno, mas ao menos do loopback ele fica
OK.
Não sei se alguém teve a sorte de ter este caso, mas fica aí minha
experiência para quem quiser trocar ideias.
[1] http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf
[2] http://forum.pfsense.org/index.php?topic=40464.0
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
