Denna guide beskriver vad man måste lägga till manuellt i confen för att få PFSense att fungera bra i en upstream-proxy setup.

Anta att du har en huvudrouter(pfsense) som du vill att all webbtrafik skall passera genom. Denna ställer du in som vanligt genom att installera squid-paketet och konfigurera transparent proxy.

På den pfsense-burk (slave proxy) som det andra nätet sitter på och som skall vidarebefodra all webbtrafik till ovanstående proxy gör du nästan likadant. Några små skillnader dock. Konfigurera squid som ovan, samt att du under fliken ”Upstream proxy” Fyller i adress till ovanstående proxy, portar (3128. 3130). För att allt skall fungera måste man dock ändra lite manuellt i /usr/local/etc/squid/squid.conf

På din ”slave proxy”, lägg till följande i slutet av raden som börjar med cache_peers så den ser ut ungefr såhär:

cache_peer adress.till.proxy.se parent 3128 3130 no-query default

Starta om squid på slave-proxyn med ”killall -HUP squid” och nu bör det fungera.
Du måste ju givetvis också ha regler att tillåta trafiken mellan burkarna ovan för att det skall fungera.

I mitt fall fick jag problem med att komma åt sajter som ligger bakom min ”huvudrouter/proxy” när jag går genom proxyn med klienter från det andra nätet. Jag kunde lösa detta genom att på slave-proxyn i /usr/local/pkg/squid.inc ändra några rader så att dessa ip’n aldrig passerar proxyn.

Leta rätt på raden nedan:

$rules .= ”rdr on $iface proto tcp from any to ! ($iface) port 80 -> 127.0.0.1 port 80\n”;

Ändra denna rad till:

$rules .= ”rdr on $iface proto tcp from any to ! <noProxy> port 80 -> 127.0.0.1 port 80\n”;

Därefter får du skapa ett alias i PFSense GUI som innehåller de ip’n du inte vill ska passera proxyn. Lägg också till en regel som tillåter trafik från ditt subnät till detta alias.