[FUG-BR] PFSense + Squid + Custom Options

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Terça Dezembro 30 11:22:52 BRST 2008 

Infelizmente para "Custom Options" não dar para definir a ORDEM das ACL.

Se não me engano o autor do módulo squid para pfsense é brasileiro... vou 
ver se consigo o email para enviar essa pergunta... enviei também para o 
fórum squid-br.

Por isso mesmo decidi perguntar no fórum, porque eu já sabia que a ORDEM das 
acl é que define a prioridade, e que não existe um "quick" da vida...

Alterar o código do pfsense para gerar primeiro o "Custom Options" 
teoricamente não seria difícil (php), mas no futuro isso dar um pau e outro 
tenta ajeitar... tá ferrado =)

Welkson


----- Original Message ----- 
From: "Giancarlo Rubio" <gianrubio em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Tuesday, December 30, 2008 10:14 AM
Subject: Re: [FUG-BR] PFSense + Squid + Custom Options


2008/12/30 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>

> Bom dia Giancarlo!
>
> Então, eu até sei qual regra está dando match, a bronca é que não posso
> alterar o squid.conf manualmente, já que o pfsense quando reinicia
> recarrega
> o xml e escreve dinamicamente o squid.conf novamente.


Nd que um backup das regras e uma alteração não resolvam :). Dps vc volta
atrás.


> A regra que está dando match é essa:
> http_access allow unrestricted_hosts
>
> Ou seja, todos os ips que estão na whitelist tem acesso liberado 
> (allow)...
> como essa regra vem primeiro que as "Custom Options" então tem prioridade.
>
> A pergunta é, tem como alterar a acl para dizer que ela tem prioridade?


A "prioridade" no caso é a regra que ele casa primeiro, é dessa forma que o
squid lida com as acls, no caso acima cada http_access é uma regra.

Não mexi na interface do pfsense com squid, mais deve ter alguma opção para
você colocar uma regra acima da outra ou algo assim.


>
> No pfsense as "Custom Options" sempre são geradas NO FIM do squid.conf, ou
> seja, após todos os "Allow".... se tivesse algo como um "quick" do pf 
> seria
> show =)



Não tem quick porque como lhe falei, uma vez que um http_access case com a
regra, ele interrompe o processamento e executa a  ação que você mandou
(allow/deny)


-- 
---
Giancarlo Rubio
Getech - Soluções em rede
(41) 4063-9039 / (11) 4063-5470
www.getech.com.br
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd