Se liga nesse print…
E esse state.....

states1.jpg
states1.jpg_thumb

Você já olhou a questão dos log?

Boa Tarde, KFellipe e elmotecnologia,
Muito Obrigado pela ajuda, irei realizar os testes, minha duvida era realmente se iria funcionar, vlwww mesmo galera..

Nem fala, meu amigo! Complicado!

Dessa forma tu vai ter trabalho dobrado sempre. Agora que tem poucos sites a bloquear, fica mais tranquilo. O problema é quando isso começa a crescer. Sugiro já ir dando uma olhada no squid pra esse tipo de bloqueio.

@empbilly:

Isso. Na interface Ipsec.

Por padrão deve ter uma regra liberando tudo. Após isso tu pode criar outras regras liberando somente o necessário e depois remover a regra que libera tudo.

Valeu por tirar minha duvida, Obrigado

Qual a versão do teu pfsense?

To usando a ultima versão 2.3.4-RELEASE-p1 (amd64) e a principio tá normal.

Os IPs que estão no Alias "Tablet" estão com DHCP estático ou dinâmico?

@marcelloc:

Se a vlan está isolada na camada 2, as regras de fw em cada uma das interfaces lan e vlan são suficientes para bloquear ou liberar qualquer tráfego.

Se atribuir ip no switch para as vlans, ele vai rotear via camada 3 e pode "ignorar o fw" dependendo de como estão ad rotas.

Alguns switches fazem broadcast do tráfego para todas as portas em algumas circunstâncias, mas esse comportamento não é padrão.

Agradeço a resposta.
As regras de firewall estão Ok, estou conseguindo bloquear e liberar o tráfego entre as duas redes, porem, o meu problema é a ultima coisa que você apontou ,quando coloco um host com o Wireshark rodando na rede VLAN, ainda consigo escutar o tráfego de broadcast e multcast da rede LAN.

As configurações do Switch estão como padrão, alterei somente as taggs das portas que iriam participar da VLAN.

Sabe de algo que posso fazer para que a VLAN seja totalmente isolada para que ela pare de escutar o tráfego de broadcast da rede LAN?

Maravilha!
Edita o subject do primeiro post, coloca resolvido e marca a resposta como thank you!

Firewall - nat - outbound

@hugoeyng:

Algum tráfego, de um determinado IP da rede, é bloqueado mesmo não havendo regra específica para isso.

Em system logs é exibido motivo Default deny rule IPv4 para bloqueio.

Onde está essa "Default deny rule IPv4"?

The rule that triggered this action is:

@9(1000000103) block drop in log inet all label "Default deny rule IPv4"

Implícita nas configurações. Se quiser mudar isso, crie uma regra liberando tudo(não recomendo)

@crisbass33:

Boa Tarde Pessoal,

Alguém sabe como criar regras na mão ou se tem como, por exemplo no linux eu crio regras ou libero via iptables.

Possível é usando o pf mas a regra será sobrescrita após qualquer alteração no pfSense ou Scripts de rotina.

Controle por mac só no mesmo segmento de rede e quando o squid foi compilado para isso.

Não acha mais simples fixar o ip no mac via dhcp?

@empbilly:

No log do dmesg nem sinal da placa? Muito estranho.

Pois é. Nada.

Algo que também acho estranho é a ausencia do módulo if_ath no diretorio do /boot/kernel. Ele não deveria estar aqui ?
ls /boot/kernel:

aesni.ko alpm.ko amdpm.ko amdsmb.ko amdtemp.ko coretemp.ko dummynet.ko fdescfs.ko glxsb.ko hwpmc.ko ichsmb.ko if_ic.ko if_ixgbe.ko if_stf.ko iic.ko iicbb.ko iicbus.ko iicsmb.ko intpm.ko ipdivert.ko ipfw.ko ipmi.ko ipmi_linux.ko ismt.ko kernel.gz linker.hints lpbb.ko ndis.ko nfsmb.ko nmdm.ko opensolaris.ko pcf.ko sfxge.ko smb.ko smbus.ko viapm.ko vmm.ko zfs.ko

Quando eu verifico quais estão carregados eu recebo:
kldstat:

Id Refs Address            Size    Name 1  15 0xffffffff80200000 225f380  kernel 2    1 0xffffffff82611000 7577    aesni.ko 3    1 0xffffffff82619000 29eb    coretemp.ko 4    1 0xffffffff8261c000 2a9bf    ipfw.ko 5    1 0xffffffff82647000 d299    dummynet.ko

Como verifico se os modulos do chipset atheros foram corretamente carregados? Pq no /boot/loader.conf.local os comandos estão lá:

kern.cam.boot_delay=10000 legal.intel_ipw.license_ack=1 legal.intel_wpi.license_ack=1 legal.intel_iwi.license_ack=1 if_ath_load="YES" if_ath_pci_load="YES" if_ath_hal_load="YES" hw.ath.debug="1" hw.ath.hal.debug="1"

Bom dia! então galera eu cometi um grande vacilo, o squid não estava instalando por causa da versão do pfsense, instalei o pfsense atualizado recuperei as configurações e reinstalei os packages e voltou tudo , desculpa  :-[ , mais me ajudaram demais

@danilosv.03:

Vai rodar, esse é meu ambiente é transparente, trabalho praticamente com esse mesmo cenário que o seu.

Realizei o teste no ambiente virtual e funcionou a configuração do Squid sem ter que habilitar o modo transparente para conexões HTTPS.

Irei reinstalar o pacote no ambiete de produção e refazer as configurações do Squid, provavelmente funcione também.

@lfcarvalho:

@Tomas:

Crie os limiters para cada velocidade, no seu caso com mascara 24, depois Aliases com os ranges, e faça 3 regras atribuindo como origem cada alias e em opções avançadas defina o limiter de cada regra.

Primeiramente muito obrigado pela solução. A sua solução combina exatamente com a que encontrei ao continuar a procurar enquanto aguardava um reply a este meu post.

https://www.youtube.com/watch?v=3Jjed9gHYZw

Obrigado. ;) ;)

Tomas mais uma vez muito obrigado mesmo.  ;) ;) ;)

@Tomas:

No Squid, Traffic Mgmt campos Overall Bandwidth Throttling (total), Per-Host Throttling (por IP)

Ótimo, deu certo vlww pela dica.  ;)