Saludos

Tengo esta duda con respecto a squid-arp, se puede configurar en varios segmentos squid por mac-adress por decir 192.168.2.0, 192.168.3.0; ya que logre configurarlo como esta en el manual con un proxy ubicado en el segmento 192.168.2.0 y me funciona bien, pero si trato de navegar en un equipo del segmento 192.168.3.0 me indica acceso denegado, ya revise configuracion, ruteos y todo esta bien.
Mi pregunta es se puede usar en varios segmentos o esta destinado en funcionar en un solo segmento

Gracias por su atencion a todos

Hola, por experiencia te comento que si se puede utilizar en varios segmentos, yo lo tengo asi.
Pregunta, declaraste las interfaces de tus segmentos adicionales en el squid?, de igual manera, generaste las acl correspondientes para cada segmento?

Saludos.

---

Si he llegado tan lejos es porque me he subido en hombros de gigantes.

Saludos J Francisco

gracias por responder, si ya tengo generados las acl correspondientes para cada segmento; como declararia las interfaces de los segmentos adicionales en el squid

agradeciendo nuevamente

Solo una pregunta mas, desde los demas segmentos ves la interface que tienes declarada en el proxy? te contesta desde cualquier equipo de los demas segmentos diferentes al segmento que si te esta fucnionando?

Saludos.

---

Si he llegado tan lejos es porque me he subido en hombros de gigantes.

si veo la interface del proxy y me contesta cualquier equipo, las reglas y el acceso por mac-address me funcionan bien en el segmento 192.168.2.0 pero en el segmento 192.168.3.0 me indica acceso denegado

Saludos

Pudieras postear las acl que pusiste para el segmento que no te esta funcionando?

---

Si he llegado tan lejos es porque me he subido en hombros de gigantes.

estas son mis reglas
para el segmento2 son ip's 192.168.2.0
para el segmento3 son ip's 192.168.3.0 (estas ip's son las que me indica acceso denegado)

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl libres arp "/etc/squid/sinrestriccion"
acl cntr arp "/etc/squid/segmento2"
acl cnt arp "/etc/squid/segmento3"
acl sitios-inocentes url_regex "/etc/squid/sitios-inocentes"
acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados"
acl porn url_regex "/etc/squid/porn"
acl noporn url_regex "/etc/squid/noporn"


http_access allow localhost
http_access allow cntr !porn !noporn !sitiosdenegados !sitios-inocentes
http_access allow cnt !porn !noporn !sitiosdenegados !sitios-inocentes
http_access allow all sitios-inocentes
http_access allow all libres
http_access allow manager
http_access deny all

Todo esta correcto, lo último sería revisar los logs del proxy, en especial los que apuntan al segmento con problemas.

---

Si he llegado tan lejos es porque me he subido en hombros de gigantes.

Una pregunta mas Francisco como declaraste tus acl para tus segmetos
ya que por mas que reviso y checo configuraciones todo esta correcto,
o si alguien mas tiene configurado el acceso por mac-address en varios segmentos me pudiera orientar donde o como podria investigar, ya que he estado buscando y no he podido encontrar algo parecido

por su atencion gracias

seguire buscando

Que tal.

Quizá un comentario muy básico, pero este segundo segmento sin salida por el proxy que puerta de enlace tiene configurada, es la misma que la que utilizas en el segmento 2?

Recuerda que si tienes un gateway entre squid y el host, la función de arp no funcionará.

Por otro lado como ya lo mencionaron, ayudaría si pones el log de squid en la parte del bloqueo y verificar si no esta registrando otra MAC (posiblemente de un segundo GW)por lo cual no permite el acceso
Saludos

No me queda mas que agradecer a Pablo y Francisco por sus comentarios
y sugerencias los cuales me llevaron a resolver mi problema

El cual lo comento a continuacion

mi problema se resolvio a que tenia mal declarada mi puerta de enlace
en el ruteo de mi tarjeta y ademas un gateway entre squid y el host destino en el otro segmento 192.168.3.0, ya que el proxy lo tengo en el segmento 192.168.2.0

Gracias