http://lmgtfy.es/?q=squid.conf+pfsense Primer entrada, tercer post.

Buenas muchachos. Si, efectivamente el problema se solventó solo actualizando la versión de Squid, en estos momentos estoy usando la 3.5.26 y va bien, el consumo de RAM se mantiene. No hice nungun otro tipo de configuración. Saludos

hola saludos pudiste solucionar tu inconveniente??

Si se puede. Lo que debes tener en cuenta que al autenticar el proxy (pidiendo usuario y clave o no)  deja de ser Transparente. Es decir que para autenticar, debes configurar proxy en los navegadores. Ahora si tienes un AD puedes pasar esa política via GPO y te evitas pasar maquina por maquina. En cuanto a que no pida usuario y clave, es algo exclusivo para estaciones Microsoft.  y  tu formula seria: squid + samba + winbind    y en algunos casos kerberos. Referencia: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm

Muchas gracias por la info, tenia entendido que el RDP Web era solo para IE por el tema del activex, pero voy a ver si le engancho la vuelta. Saludos

buenas compañeros, alguien podria ayudarme a configurar estos parametros? "max_user_ip"  y  tambien  authenticate_ip_ttl los cuales son para impedir que un usuario pueda compartir el usuario/contraseña para poder navegar en internet, en la respuesta del compañetro anterior me dijo que se podia configurar esos parametos pero no los encuentro, si alguien me puede dar una luz de donde se encuentran sabria agradecerle mucho. Carlos

Buen día Ese es parte de los inconvenientes de usar squid en modo transparente + SSL, que muchas páginas no aceptanque hayan proxys intermediarios, yo les sugiero que usen proxy explicíto, es jarto poner el proxy en el navegador pero para eso se puede usar wpad, o GPO de windows si tiene dominio microsoft. Saludos

Suba la configuración de sus pfSense y las características de los equipos donde los tienen instalado.

Si no te entendí mal solo te filtra cuando configuras el acceso mediante el proxy, es decir, agregar la ip y el puerto a las opciones de internet. Si es así y no podes configurarlo a mano por ser muchas pcs tenes 3 opciones depende de que los navegadores tengan una opción tildada que no es default pero si es un dominio por GPO podes activarla. https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-force-proxy-settings-via-group-policy.aspx Arma algún archivo de autoconfiguracion WPAD, si los equipos tienen la opción de autoconfiguracion (que activarias mas arriba) van a buscar el archivo en la red y van a levantar la configuración automáticamente. https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid aca te dejo algo de info. Podes ver de configurar el proxy por GPO directamente, yo lo hice pero no me funciono en todos los equipos, puntualmente en los de windows 7 no funciono pero si en xp. https://campus.barracuda.com/product/websecurityservice/article/WSS/ConfigureProxyUsingGP/ Y sino la ultima opción que use y la que mejor me resulto fue crear un script de autoconfiguracion, no es mas que un simple bat que deje para que corra con el login de cada usuario dentro del dominio aunque también podes pasarle el bat al usuario y que lo corra a mano, podes dejarle uno para configurar tu proxy y otro para desactivarlo, para que cuando este en la red labure a través del proxy y cuando no este pueda desactivarlo y salir directo. –--------------------------------------- Creación y configuración del proxy REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v MigrateProxy /t REG_DWORD /d 1 /f REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyHttp1.1 /t REG_DWORD /d 1 /f REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d http://IPPROXY:PUERTO /f REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /t REG_SZ /d "<local>" /f exit Desactivar proxy REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f exit Copia solo las llaves de registro y guardalo como un archivo .bat y vas a poder activar y desactivar el proxy desde ahi. Espero que te sirva. Saludos</local>

Pues como cuesta dinero eso de tener varias IPs publicas yo lo que hago es que  en el nateo mapeo diferentes puertos, por ejemplo en el DNS pues si digamos que mi registro es que www.miempresa.com apuntea  mi ip publica digamos 201.58.8.x eso es todo lo que puedes hacer con los DNS, en los DNS no puedes poner puertos. Entonces en el PFSENSE mapeo digamos el PUERTO 106 hacia un servidor interno y el puerto 107 hacia otro servidor interno y el usuario tiene que poner a fuerzas en su navegador.  www.miempresa.com:106  o 107 de acuerdo al que ocupe acceder. Hay otra opcion pero en lo personal no la pude hechar a andar, jejejeje, que se llama REVERSE PROXY y con eso si se supone que el proxy de reversa lee primero en encabezado de la peticion http y si es para www.miempresa.com te reenvia hacia un servidor interno y si es www.erp.miempresa.com entonces te reenvia al otro. Asi que estan esas opciones. Comprar mas ips publicas. mapear puertos. Proxy de reversa

senores: colsulta mi proveedor ISP me resuelve 4 nombre ejemplo www.xxxxx.com puerto http                                                                         erp.xxxxxx.com puerto http ISP www.xxx.com       owc.xxx.com–-----------------ip publico wan, 192.168.1.1(pfsense)gw ip lan (srv www                                                                                                   srv  owc) ----------- peticion erp siempre responde el servidor www en red wan tengo un solo ip publico por lo tando estoy natendo por puerto hacia mi red lan 192.168.1.X, lo mismo con las reglas permitir trafico desde la wan hacia la red interna el problema radica que cuando acceso a mi www no tengo ningun tipo de problema. solo que cuando quiero acceder a los otros servicios siempre me responde www. saludos.... espero su colaboracion      

Buen día Verifica el swap a los 100 días o cuando se presente la falla. Descarta que sea un ataque DDoS. Saludos

Buen día Si el switch es capa 3 y lo configuras así, debes crear las rutas estáticas en dicho dispositivo con red de destino 0.0.0.0 máscara 0.0.0.0 y next hp  la ip de pfsense, en el pfsense deberás crear un nuevo gateway en la interfaz que conecta con tu switch y asignarle una IP que esté en el segmento  del switch, y por último crear las rutas estáticas en el pfsense que te permitan alcanzar las subredes detrás del switch. Saludos.

If you change pFSense / Services / Squid Proxy Server / GEneral tab Then check the SSL Man In The Middle Filtering area and change the SSL/MITM Mode from Splice WhiteList, Bumb OtherWise to the Splice ALL the problem can be solve with a this shape. OR With a default value of the SSL/MITM Mode with Splice WhiteList, Bumb OtherWise you can goto ACLs atb and add desıred web site url to the WhiteList area ie: online.kktcmaliye.com

Hola, yo tengo mas o menos la misma infraestructura que tu (con un enlace WAN [OPT2_DHCP] adicional asignado al Tier2). No es necesario agregar los 2 últimos grupos de Gateways, y tampoco tus ultimas 2 reglas. Para solucionar lo del problema con los bancos, puedes crear una regla en tu LAN, para que las páginas salgan siempre por el mismo gateway, p.e. "WAN1" o "WAN2"  (con sticky connections activado). A mi me funciona. Saludos!!! [image: gtw.PNG] [image: gtw.PNG_thumb] [image: rules.PNG] [image: rules.PNG_thumb]

Muchas gracias ptt por tus consejos.. ahora me voy a poner a trabajar en ello y los mantendre al tanto! Saludos :D

Hola, ya hare un manual de como hacer y como poner en modo bridge el pfsense, seria como tener Rapor o Thunder.. Saludos

@jhonplanet: Hola buenas tardes, estoy haciendo una prueba en mi lan para que los clientes hagan un login con PPPOE, alguien me puede asesorar por favor ? Muchas Gracias por la ayuda, Abre/Crea un "Nuevo Tema" (New Topic) y plantea Allí tu "inquietud" Explica detalladamente lo que hiciste, que te funciona, y que No te funciona…. Incluye Capturas de pantalla, y seguro alguno de los compañero te podrá ayudar/orientar ;)

Revisa la Documentación, pata entender cómo Funcionan y "Donde van" las Reglas de FW https://doc.pfsense.org/index.php/Firewall_Rule_Basics https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting Si "algo" no te Funciona, vuelves, explicas detalladamente lo que hiciste y lo que no te funcionó (además de la explicación detallada, incluye capturas de pantalla mostrando lo que hiciste).

Estas opciones se pueden poner de forma manual en squid->opciones avanzadas pero su configuracion puede variar de acuerdo a la funcion del proxy padre. Quisiera que explicaras por ejemplo si este proxy padre es unico y si requiere autenticacion o no.