2
Pfsense - Captive Portal in verbindung mit Squid(Guard)
Hey ihr,
Ich erkläre einmal, wie das bei mir aufgebaut ist:
1) CP sitzt im VLAN.
2) FW Rule, die jeglichen Traffic auf das Gateway verbietet (außer Port 53 & 8002) sowie in alle anderen lokalen Netze.
Problem:
Squid selber gibt in einem ganz anderen lokalem Netzwerk (außerhalb des VLAN's) seine "Website Deny" Meldung aus.
Ergo: sollte ein User auf z.B. eine geblockte Seite zugreifen wollen, passiert bei ihm aufgrund der FW Rule einfach gar nichts mehr. (Denn die Weiterleitung zu der Site wird durch die FW Rule geblockt)
Ich möchte aber, das der gute Bursche schon bescheid bekommt, das er geblockt wurde. Und das OHNE mein Gateway freizugeben, also, ohne das auch nur irgendein Gast die PFsense Web GUI erreichen kann.
Wie kann man das anstellen?
Ich erkläre einmal, wie das bei mir aufgebaut ist:
1) CP sitzt im VLAN.
2) FW Rule, die jeglichen Traffic auf das Gateway verbietet (außer Port 53 & 8002) sowie in alle anderen lokalen Netze.
Problem:
Squid selber gibt in einem ganz anderen lokalem Netzwerk (außerhalb des VLAN's) seine "Website Deny" Meldung aus.
Ergo: sollte ein User auf z.B. eine geblockte Seite zugreifen wollen, passiert bei ihm aufgrund der FW Rule einfach gar nichts mehr. (Denn die Weiterleitung zu der Site wird durch die FW Rule geblockt)
Ich möchte aber, das der gute Bursche schon bescheid bekommt, das er geblockt wurde. Und das OHNE mein Gateway freizugeben, also, ohne das auch nur irgendein Gast die PFsense Web GUI erreichen kann.
Wie kann man das anstellen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 307244
Url: https://administrator.de/contentid/307244
Printed on: April 24, 2024 at 15:04 o'clock
2 Comments
Latest comment
Du kannst den Port des Webinterfaces der pfSense unter System>Advanced>TCP-Port auf einen anderen Port als die Squidports ändern (443 und 80) und den Zugriff auf diesen Ports in den entsprechenden VLANs verweigern.
Zudem solltest du dort "WebGUI redirect - Disable webConfigurator redirect rule" und "Anti-lockout
Disable webConfigurator anti-lockout rule" aktivieren, ansonsten kann die Pfsense immer erreicht werden.
Zudem solltest du dort "WebGUI redirect - Disable webConfigurator redirect rule" und "Anti-lockout
Disable webConfigurator anti-lockout rule" aktivieren, ansonsten kann die Pfsense immer erreicht werden.
Oh man, so einfach kann's gehen... :D
