Squid в составе PfSense не дает загружать пользователям сайты

Question

[Роман Кулакович]

Squid не пропускает через себя ни один сайт из вне. Если указать адреса которые могут ходить мимо прокси [Bypass proxy for these source IPs], то этот компьютер выходит в сеть нормально. Сами адреса сайтов пингуются, как по ip-адресам так и по dns имени. Вся эта гадость началась после перезагрузки сервера, где в качестве шлюза стоит PfSense.

В какую сторону можно капнуть?

http_port 192.168.11.1:3128
http_port 127.0.0.1:3128 transparent
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/Russian-1251
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/log/access.log
cache_log /var/squid/log/cache.log
cache_store_log none
logfile_rotate 0
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src 192.168.11.0/255.255.255.0
uri_whitespace strip

cache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 500 16 256
minimum_object_size 0 KB
maximum_object_size 4 KB
offline_mode off
cache_swap_low 70
cache_swap_high 75

# Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535
acl sslports port 443 563
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin \?
acl blacklist dstdom_regex -i "/var/squid/acl/blacklist.acl"
cache deny dynamic
http_access allow manager localhost

# Allow external cache managers
acl ext_manager_1 src 127.0.0.1
http_access allow manager ext_manager_1
acl ext_manager_2 src 192.168.11.1
http_access allow manager ext_manager_2

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

quick_abort_min 30000 KB
quick_abort_max 30000 KB
quick_abort_pct 55
request_body_max_size 0 KB
reply_body_max_size 512000000 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 10240/10240
delay_initial_bucket_level 100
# Throttle extensions matched in the url
acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl"
delay_access 1 allow throttle_exts
delay_access 1 deny all

# Custom options
never_direct allow all
cache_peer 127.0.0.1 parent 8080 0 name=havp no-query no-digest no-netdb-exchange default
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
redirector_bypass off
url_rewrite_children 5
# Block access to blacklist domains
http_access deny blacklist
# Setup allowed acls
# Allow local network(s) on interface(s)
http_access allow localnet
# Default block all to be sure
http_access deny all

Answer 1

[Никита Парфенович]

Вместо transparent необходимо указать intercept, и обязательно создать еще одну директиву http_port без указания intercept для пользователей, которым прокси надо указать вручную Это необходимо, или кальмар будет материться.

Comments

[Роман Кулакович]

Проблема уже решена. Виной кривые руки, накосячил в таблице маршрутизации.