Olá Marcelo,

Muito obrigado pelo seu retorno.

Funcionou perfeitamente Marcar para não filtrar o trafego na mesma interface.

Respondendo a sua pergunta, trata-se de uma rede de testes/Laboratório, onde temos que testar algumas particularidades que encontramos. Nesse caso é para simular uma situação onde não teríamos como utilizar o pfSense para gerenciar a rede por completo e também há um servidor de DHCP separado do pfSense e da VPN ainda.

Fizemos o roteamento no pfSense para alterar o mínimo da rede atual possível.

Mais uma vez obrigado, pela atenção e ajuda na solução do problema!!

@andrezaomac:

Se você tivesse 2 placa ethernet Dária para
Eliminar o router 01.
Pode fazer que funciona 100%

Possa crer brother, me falaram isso! vou ver como posso fazer! obrigado a todos!

Em um hotel eu optaria primeiro em garantir mais banda aos hóspedes assim fazendo um traffic shaper.
Se tiver mais de 1 link optaria por dividir esse link entre recepção, administração e apartamentos, assim iria garantir mais qualidade, sobre utilizar um proxy para cache acho um pouco defasado sendo que hoje em dia a navegação é tudo dinamica e encriptada eu optaria por utilizar o pfBlock para manter um nivel de segurança. Caso tenho mais de um setor separa em Vlans ou interfaces fisicas mesmo.
Mas se tiver mais de 1 links e querer fazer um loadbalance o traffic shaper pode não surtir tanto efeito pois ele atua na LAN assim quando um link cair seu shaper pode não ficar legal.

Resumindo Garanta banda aos hóspedes e segurança a eles também, pode começar pelo QoS e depois se aprofundar no pfBlock ou até um suricata mesmo. Outra dica seria utilizar um filtro DNS para mater bootnet e outros malwares fora de sua rede como o NxFilter ou um OpenDNS, alias o NxFilter na ultima versão tem cache de DNS local para 1mi de domínios assim terá uma boa agilidade nas consultas.

Você está usando que tipo de Resolver de DNS na sua rede?

Seu roteador esta em modo bridge ou como router mesmo?

meu pfsense está configurado dentro do dhcp do firewall que está ativo. tenho vários bloqueios de sites pornográficos e todos funcionam. ontem testei meu pc ligado direto no firewall e tb não funcioniou

@marcelloc:

1- depende da capacidade de processamento que você deixou para a vm

2- sim. É importante saber a saúde do Gateway

3- veja como funciona o ping da morte(se é que algum so ainda morre disso) e deixe somente os tipos de icmp que achar útil para você.

4- isso também depende de que tipo de aplicação Você está publicando para a internet. Se não tiver nenhuma aplicação publicada, o pfSense já bloqueia qualquer tráfego wan por padrão.

5- o snort pode detectar e bloquear o ip, mas novamente se não tiver nada publicado, nada vai estar aberto para scanear

6- ???

7- libere somente os serviços que precisa e use o snort ou o suricata como ids/ips

Boa noite Marcello, muito obrigado por me responder.

Segue abaixo:

1 - Possuo um processador com 4 nucleos, e destinei dois deles para o pfSense. Acredito que é o suficiente, pois as especificações do pfSense são muito baixas.

4 - Entendo. Mas queria saber se existe alguma forma no pfSense de limitar o numero de conexões, requisições ou o tamanho do pacote.

5 - Já que você mencionou as portas abertas, precisei liberar o skype aqui, e no site da microsoft pede para liberar umas 15000 portas altas. Isso não cria uma vulnerabilidade nessas portas? Tendo em vista que também pode ocorrer ataques vindos da rede interna.

6 - pulei esta né kkkk

7 - Valeu a dica!

@marcoafm:

Descobri como fazer. Eu não estava sabendo era configurar o Radius do Windows Server.

A grande questão é que no meu caso específico (pode ser que também ocorra em outras infras por aí) é que os critérios que o Radius/NPS do Win server para decidir qual dos ADs vai autenticar qual conta não tem pontos em comum com minha infra estrutura.

Se alguém quiser, explico em detalhes.

Vou fazer testes com o FreeRadius do PF agora.

Bacana!!

Se tu quiser explicar aqui, já fica mais fácil de resolver futuros problemas para outros usuários. :D

@andrezaomac:

@admclayton:

Bom pessoal,

Instalei pfsense 2.3.3 com squid + squidguard integrado com AD com interceptação de tráfego SSL, tudo funciona bem, porem eu gostaria de saber como eu faço para liberar uma maquina/host acesso total a internte sem passa pelo proxy, já tenteu incluir o do maquina/host na opção "Unrestricted IPs" do ACLs do Squid mas não funcionou, tentei criar regras no firewal e também não funcionou.

Alguém ja passou por este problema?

Outra forma alem da qual já foi falado abaixo é:
Crie uma Aliases com o nome EX: foradoproxy

Dentro dessa Aliases acrescente os IP que vc quer que fique fora do proxy, e Salvar e Aplicar.

2º passo, Em Regras do Firewall

Crie uma nova regra para LAN Liberando todos os acessos e na Origem vc adiciona a Aliases que criamos acima.
Feito isso é só salvar e aplicar.
Funciona perfeito.

É assim q eu uso aqui, funciona sem problemas, porém a maquina acaba ficando numa zona totalmente sem segurança

@Helpfast:

Bom dia pessoal…

Já resolvido vários bugs e dúvidas em relação ao pfsense, hoje, estou com ele, com 3 placas de rede, sendo o tráfego na LAN_1 somente para os computadores que utilizam computadores com enlace físico, LAN_2 será somente para 5 hotspot's que estarão rodando na plataforma Tanaza, são Ap's Ubiquiti e a terceira na WAN.

Qual o problema em questão, o usuário acessa via cabo, irá logar no captive portal e ter a segurança do Squid e Squidguard, o usuário que logará via conexão wifi, passando pelos Ap's Tanaza, irão fazer o check-in conforme configurado, facebook, gmail, twitter etc, e após, cairá na rede, por fora do captive portal, uma vez que a Tanaza, precisa de um link válido com a internet, para realizar os check-ins etc...

Se eles estiverem passando pelo captive portal, não terão acesso ao facebook etc, existe uma forma de realizar esse "Desvio" de rota?

Exemplo:

Acesso liberado nas portas Tanaza, 5050/5051, após o check-in, volta para Captive portal.

É possível?

Muito obrigado!

O Tanaza possui algum IP da rede atribuído nele??? ou está direto em modo Bridge?

Se obtiver IP, crie uma regra para o IP dele com acesso total, fazendo isso seu Tanaza terá acesso total a internet.

O que aparece no lugar? já tentou abrir o plugin firebug do firefox ou o f12 do navegador para ver se tem erro no carregamento de parte da página?

Windows, com AD, precisa usar o DNS do Windows.  O Servidor de DNS do Windows pode ser configurado como forwarder apontando para o pfSense como rodando como resolver.

Faça a configuração do wins pelo DHCP, marcando o servidor (ad) e o tipo (0x8).

Você pode configurar também o sufixo de dns para facilitar a resolução de nome sem domínio.

@empbilly:

@Helpfast:

@marcelloc:

A interceptação de ssl não tem relação com o captive portal.

Configure um site http no navegador para ser a página inicial e coloque ele no bypass do squid em modo transparente. Dessa forma ao abrir o navegador, você vai cair no captive.

Putz, muito obrigado!!!

Por que então, após eu ter feito a configuração do wpad, perdi o acesso ao captive portal?

Eu estava tendo acesso normal, porém, ao usar o Proxy automático, parou…

Pode me responder?

Tu tem alguma regra de firewall redirecionando tudo pra porta 3128?

Tinha, porém, como não tive sucesso, tirei as regras…

Neste momento, tenho o captive portal, com as restrições, basta ver os erros de certificado.

Abraços!

ninguem?

@morais2707:

ok, e essa questão de usar duas ranges de ip no switch

é pq aqui tem o monitoramento das cameras

Eu faço redes fisicamente separadas, câmera gera bastante trafego.
VLAN como foi dito é uma solução se não pode passar outro cabo.

agora aparece um erro no log do squid:

08.05.2017 16:55:19 ERROR: URL-rewrite produces invalid request: GET ERR HTTP/1.1

@anemacuore:

boa noite

algum poderia me ajudar, ao configurar diversas acls por grupo no squidguard, o usuario da acl X nao acessa o que a ele foi liberado, no erro que aparece na pagina do browser quando ele loga o grupo cliente aparece como CLIENT GROUP:defoult.

o que posso estar fazendo de errado que ele nao busca a ACL especifica do usuario e nao a default.

tenho como excluir essa default e permanecer somente as que eu for criando?

obrigado

Leia esse post que vai te ajudar muito!
https://forum.pfsense.org/index.php?topic=129617.new;topicseen#new

Esta tentando acessar a interface web via LAN ou WAN. Caso seja via wan terá que liberar a porta 443 com destino o IP da WAN. Na LAN já vem regras liberando esse acesso.

Valeu Marcello, foi o que imaginei.
Estou usando uma versão VM do Fortigate pra fechar túnel IPSEC com o pfSense, só que o modelo do FGT aqui suporta apenas DES, diferente do appliance em hardware que suporta vários outros e entre eles o 3DES.

Abs !