http://wiki.squid-cache.org/SquidFaq/TroubleShooting

Referencing to Tuning Kernel Limits of the FreeBSD based on Adrian Chad article.

The docs describes that the basic "server accept" socket is bounded to a queue of 128 connections.

You would probably see something like "connection reset by peer" and you will need to increase the kern.ipc.somaxconn to 2048 to match something useful for production network of about 300 users.
    In a case you have a loaded server you would need to increase it past the 16384 limit.

Sí la hay…

https://forum.pfsense.org/index.php?topic=73759.0

1. Modificar el código para que no se genere automáticamente squidGuard.conf

2. Modificar "a mano" squidGuard.conf, ajustando el orden de categorías.

Conectarse desde fuera a un servicio es igual a hacer NAT Port Forward. Nada a ver con NAT OutBound que, en principio, debe ir en modo automático.

En nuestro apartado de Documentación hay información sobre cómo publicar servicios en internet.

Eso puede no ser debido al proxy.

Google facebook loads without css

http://www.techchore.com/facebook-not-loading-properly/

Las reglas suelen hacerse por IPs o rangos.

Las IPs pueden ser fijadas en el DHCP de tal forma que una MAC siempre tome la misma IP.

Que yo sepa, el portal cautivo sólo obliga a que él mismo sea la puerta de enlace. No a que sea también el DHCP.

Se deshabilita el DHCP en la interfase que haga de portal cautivo y ya está. Que lo haga otro equipo en la propia subred, si se precisa DHCP.

Google hp nc364t freebsd

No queda claro si funciona.

Esto parece bastante nuevo para poder forzar no ssl:

http://www.dnsredirector.com/faq/163.asp

@egamarra:

sin embargo en OUT el trafico promedia por los  6Mbps practicamente

OUT se refiere a lo que sale de la interfase.

Si es una LAN quiere decir lo que te está entrando en tu LAN desde la interfase.

Como se trata de un promedio significa que es como si de forma continua (24 horas, los 7 días de la semana) tus equipos estuvieran pidiendo 6 Mbit/s.

Deberías mirar en tiempo real qué pasa. Y hacer algún test de descargas con un solo equipo en LAN.

Pero, en principio, como te dijeron puede ser un valor perfectamente normal.

@dementekuatiko:

Consulta para poder permitir puertos adicionales en squid por ejemplo 5938 teamviewer, 110 pop y otros. es obligación crear una regla en el fw para que salgan o basta con agregarlo en squid y que por 3128 salgan todas las aplicaciones?

Eso es para las aplicaciones que tengan declarado el uso del proxy.

El caso habitual son los navegadores de internet. Pero pueden ser otras.

Servirá pues si, por ejemplo, el navegador tiene que ir a http://servidor:5938

Si la aplicación no usa o no puede usar un proxy esto no sirve de nada.

El ejemplo más claro es la recogida de correo POP3 (TCP 110). Squid es un proxy para http/https. No he visto nunca usarlo para correo u otras tareas.

Espero haberme explicado.

Puedes mitigar el problema con la siguiente lista de expresiones:

(/gwt/n?u=|ZmFjZWJvb2suY29t|privoxy|proxi|proxy|)

/gwt/n?u=  –-> Google Web Proxy

ZmFjZWJvb2suY29t --> facebook.com, http://base64decode.net/decode/ZmFjZWJvb2suY29t

Resto, variantes usuales de la palabra proxy.

Google sans institute detecting and preventing anonymous proxy usage

Activa !in_addr en squidGuard, http://www.squidguard.org/Doc/extended.html

como pueda saber que puerto utiliza una aplicacion para salir a internet y bloquear acceso

Abriendo la aplicación en un equipo y mirando en él con netstat qué hace.

¿Tenemos que saber qué un TMG?

¿ Es esto,

https://en.wikipedia.org/wiki/Microsoft_Forefront_Threat_Management_Gateway#Microsoft_Forefront_Threat_Management_Gateway_.28TMG.29

?

Te diría que para hacer esto tienes que tener en cuenta lo de siempre cuando hay una red privada en WAN:

1. En la definición de la WAN, tener en cuenta que no hay que bloquear el tráfico de IPs privadas.

2. En NAT Outbound ajustar según sea necesario, para no hacer NAT de todo.

Raro.

No indicas qué tipo de conexión a internet usas.

Un parche sería poner alguna tarea periódica que descargara algo de internet.

@rasluis20:

bump sched buckets to 256 (was 0)

Google bump sched buckets to 256

https://forum.pfsense.org/index.php?topic=105714.0

Sin importancia…

https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_with_the_pfSense_PPTP_server_enabled

@dementekuatiko:

al habilitar la opcion "Do not allow IP-Addresses in URL " para evitar que usen ultra surf. el problema que al habilitar esto los servicios que comento anteriormente dejan de funcionar correctamente  y se me hace imposible conectarlos. existe la posibilidad de que squid no filtre esto

Debes elegir o, si sabes los destinos, hacer bypass del proxy para ellos.

Periko buenos días:

Se pone demasiada lenta la coneccion hacia Pfsense
Si dejo a mi equipo haciendo ping a Pfsense hay en ocasiones varios paquetes perdidos
Las pruebas de velocidad si dan 1mb

Esto que te comento no lo hace todo el tiempo, la moyoría de veces es por la mañana, ya instale cron para que se reinicie todos los días a las 06:00 am pero igual sigue pasando

Adjunto imagen de los servicios que tengo de alta

Pfsense.png_thumb
Pfsense.png

Muéstranos (capturas de pantalla) cómo tienes las Reglas y los Port Forward, y de allí partimos ;)

Los AP, tienen como "GW" la IP de la LAN del pfSense ?

Postea capturas de tu configuración para ver en que te estás equivocando.

Saludos!!

En opciones avanzadas de la conexión WiFi de los Android se puede indicar el proxy.

Si los equipos se saltan el proxy es porque hay reglas en pfSense que permiten la navegación directa.

Por tanto no deberían admitirse destinos para TCP 80, TCP 443 u otros puertos de navegación posibles gestionados por el proxy.

Espero haberme explicado.