por ejemplo: todos los enlaces de publicidad en una web

No. Eso no se puede hacer. Simplemente porque los registros de un servidor proxy sólo contienen las URL a las que se accede y no saben si ha sido un acceso directo por parte del usuario o una llamada dentro de una página.

¡Hola!

Lo que propones no es seguro. Falsear un DNS es de lo más sencillo y, por tanto, no se puede confiar la seguridad a una identificación por DNS.

Debes montar una solución VPN para que el usuario se identifique como tal ante tu pfSense.

http://forum.pfsense.org/index.php?topic=20123.0

Útimos posts sobre OpenVPN:

http://forum.pfsense.org/index.php/topic,24712.0.html

http://forum.pfsense.org/index.php/topic,23938.0.html

Tambien creo q hay otra opcion en el traffic shapper que es limitar la conexion luego de cierto tiempo, me explico que por ejemplo los primeros 30 segundos tengan acceso a todo el ancho de banda disponible, pero luego de este tiempo se baje la tasa de descarga/carga a un porcentaje o un valor de velocidad establecido, esto creo que se hace en el Service Curve al momento de configurar las colas o "queues", pero no he configurado esto ni tengo claro como es el funcionamiento de esta caracteristica.

Si has habilitado el fireewall completamente entonces el drama no va por ahi.
Pueden ser problemas de ipes- mascaras- dns.
te recomiendo que pruebes en forma local (en un solo segmento de red), lo mas simple posible.

Hola y disculpa por no responder antes.

Si la verdad es que todo esta regularizado solo me confundí y aun no me queda claro si el trafico de la lan o vlan en este caso. Es el que sale en rojo, o en transoparente del "primer gráfico"?
No se si me lo puedes aclarar.

Gracias

Hola!

Finalmente fui capaz de configurar el pfSense 2.0 para la subrede de mi centro. Con el pfSense 1.2.3 es imposible hacerlo mediante la interfaz web, puesto es una ambiente SINGLE LAN(1) <-> MultiWAN(3).

En cuanto tenga un chance publico una guia de como lo logre hacer.

Amigo lo que debes hacer es separar tus servicios en varias computadoras, ejemplo yo tengo montado DHCP server en 1 PC, portal cautivo en otra, squid y lihtsquid en otra todos estos servicios utilizando pfsense y a parte tengo un File server un mail server y 4 game server, para balanceo de cargas utilizo tambien 2 pfsense con 4 Wan C/U y una lan que a su ves van conectados a otro servidor de balnaceo con 2 wan y una lan proveo conexion a mas de 270 personas y no he tenido problemas fuera de los normales soy WISP en venezuela, deberias seguir los manuales del Sr. Ballera son exelentes y te sacan de esas dudas que tienes.

Me respondo a mi mismo por si alguien tuviera un problema similar. El fallo en cuestión estaba en la velocidad del puerto com. Estos equipos vienen de fábrica a una velocidad de 19200. Ha sido cambiarla a 9600 y problema resuelto.

Muchas gracias de todos modos

Postea tu config

Gracias a todos ud por las respuesta , era la maldita regla de permitir todo desde la LAN lo que me estaba marenado la regla de bloque o de los puertos , gracias

Atte

cesar -chile

Logré resolver el problema, con la configuración que menciono con el script que presenta el sr. Bellera en:
http://www.bellera.cat/josep/pfsense/indice.html, iré explorando las caracteristicas. cualquier duda ya se los presentaré.

En nat deberia crear una regla en nat redireccionando todas las peticines al puerto 80 a la ip de tu squid.

Aunque se aplica a un squid dentro de pfsense quizas te ayuden

http://forum.pfsense.org/index.php/topic,15571.0
http://forum.pfsense.org/index.php?topic=21083.0

Otra opcion
http://www.shallalist.de/Downloads/shallalist.tar.gz
lo colocas en blaclist url en la solapa proxy filter

http://doc.pfsense.org/index.php/Setup_Snort_Package

Checa esto.

He conseguido contactar con gente de Pfsense y he explicado el problema y la respuesta ha sido, sencillamente: "In short, yes, that's normal" así que tendré que hacer algún invento.

OK voy a hacer un tuto solo denme un poco de tiempo que estoy en examenes

Esperen resultados y saludos!!!!!!!!! 8)

Así es, fijate que en el lightsquid me figuran las entradas que estan como "no cacheables" en las opciones del Proxy

squid2.jpg
squid2.jpg_thumb
squid.jpg
squid.jpg_thumb

Hola.
primero que todo el load balancing no te va a duplicar ni sumar tus anchos de banda lo que va a hacer es realizar un balanceo de trafico se podria decir entre las dos salidas a internet.

Por otro lado revisa este post quizas te ayude en algo
http://forum.pfsense.org/index.php/topic,24521.0.html

postea la config de los pools que has creado y ademas la reglas corresppndientes

Estimado Bellera, cierto es lo que dice, son dos cosas diferentes.

Pero aun así, es un doble reaseguro, primero la de los certificados y luego la autenticación. Capaz mi redacción genera confusión, pero mi idea no es que con el authenticate de user/pass contra mi dominio automáticamente utilice todos los servicios de mi AD (para eso esta la vpn), sino mas bien, asegurarme que por mas que tenga el certificado y el mismo no este revocado, si tengo controlado a los usuarios contra el AD (situación que tengo mas controlada que los certificados) puede (adicionalmente a revocar el certificado), deshabilitar el usuario en el AD, por lo cual cualquiera de los dos métodos me permite seguir controlando quien ingresa y quien no.

Aprovecho para consultarte, Usted ya pudo realizar autentícate contra LDAP en openvpn?

Salu2

Es automático, por NTP. Pero como te han dicho la hora en la BIOS tiene que estar cerca de la real, ya que en caso contrario no se produce la sincronización por NTP.

Esto es característico de NTP, por seguridad. Si la diferencia es grande (no recuerdo cuál es el valor por defecto) no hay sincronización horaria. En un FreeBSD normal puede forzarse la sincronización con el comando ntpdate, http://www.freebsd.org/cgi/man.cgi?query=ntpdate