@jhonny.sanches:

@empbilly:

… efetuar o bloqueio dos sites http, https e demais sem precisar usar uma CA interna?

Pode sim.

Squid como proxy transparente + interceptação ssl ativada utilizando a opção Splice ALL.

Procura aqui pelo fórum que tu acha conteúdo a respeito.

Editado: A respeito de não precisar usar uma CA interna.

Boa noite a todos,
  Estou vindo aqui só para informar que da forma em que o empbilly mencionou acima funcionou para mim de boa e agora consigo ter o acesso tranquilo. Efetuei uma nova configuração e usei o Splice ALL na INTERCEPTAÇÃO SSL, com isso não preciso mais instalar o certificado nas minhas maquinas.
Até o momento não tive nenhum problema de lentidão nem consumo de memoria, mas só terei certeza com o tempo pois esta recente.

Muito Obrigado pela ajuda de todos.

Bacana que tu resolveu!

Edita teu primeiro topico e no inicio do titulo coloca como [RESOLVIDO].

Cria um Aliases chamado WindowsUpdate e você adicionar a lista de grupo de rede

157.54.0.0/15 157.56.0.0/14 157.60.0.0/16 65.52.0.0/14 70.37.0.0/17 70.37.128.0/18 207.46.0.0/16 131.107.0.0/16 66.119.144.0/20 23.96.0.0/13 204.79.195.0/24 204.79.196.0/23 208.76.44.0/22 208.68.136.0/21 216.220.208.0/20 209.240.192.0/19 204.14.180.0/22 206.191.224.0/19 192.92.90.0/24 208.84.0.0/21 104.40.0.0/13 192.197.157.0/24 204.231.192.0/24 104.208.0.0/13 129.75.0.0/16 204.79.179.0/24 64.4.0.0/18 167.220.0.0/17 167.220.128.0/18 167.220.192.0/19 192.92.214.0/24 207.68.128.0/18 13.64.0.0/11 13.96.0.0/13 13.104.0.0/14 146.147.0.0/16 52.145.0.0/16 52.146.0.0/15 52.148.0.0/14 52.152.0.0/13 52.160.0.0/11 52.224.0.0/11 52.96.0.0/12 52.112.0.0/14 52.120.0.0/14 52.125.0.0/16 52.126.0.0/15 52.130.0.0/15 52.132.0.0/14 52.136.0.0/13 138.196.0.0/16 150.171.0.0/16 40.74.0.0/15 40.76.0.0/14 40.80.0.0/12 40.96.0.0/12 40.112.0.0/13 40.120.0.0/14 40.124.0.0/16 40.125.0.0/17 40.64.0.0/13 40.126.128.0/17 40.127.0.0/16 40.126.0.0/18 204.13.120.0/21 204.152.18.0/23

Então você vai Services –-> Squid Proxy Server ----> Bypass Proxy for These Destination IPs
Escrevem os aliases criado chamado WindowsUpdate
e desta forma você pode atualizar todas as versões do Windows com proxy transparente

Esta tudo funcionando perfeitamente, o que esta me encomodando é desviar as rotas da porta 80 para a 3128, se eu desviar as rotas da porta 53 para a 3128 funciona mas fica uma pequena lentidao. gostaria de entender se não existe alguma outra alternativa dentro do pfsense para isto

Não sei se entendi direito, mas tente o seguinte.

Vá em Firewall > Aliases e crie um alias com o nome portas_liberadas e dentro dele coloque as portas 80, 443, 8080 e 8443

Vá em Firewall > Rules e crie uma regra.

Action: pass
Interface: lan
Address family: ipv4
Protocol:tcp
Source: any
Destination: any
Destination port range: portas_liberadas

Coloque uma descrição e clique em Save. O ideal é que antes dessa regra tu crie uma liberando o DNS (53), caso esse firewall ainda não tenha regras de liberação.

@OtSuAf:

O tutorial em português funcional dentro do que pergunto ta nessa sua busca? Porque só vi o que já havia visto, acho que a finalidade do fórum é também a troca de conhecimento, se for pra mandar os outros buscar no google perde o sentido, mas obrigado mesmo assim.

Ok. Em nenhum momento eu disse "vá buscar no google"! Simplesmente postei uma busca do google onde tem vários links sobre o que tu queria. Se tu se ofendeu com isso, me desculpa, pois em nenhum momento foi minha intenção.

Em um fórum onde o português é apenas um sub-fórum e o restante praticamente é em inglês, tu vai encontrar muito mais tópicos "funcionais" em inglês. Os tópicos que o Reinaldo lhe passou são em português, mas que levam a tutoriais em inglês. Disso tu não vai conseguir fugir.

Troquei o modem e só sucesso agora!! valeu pessoal!!

@fidenco:

Interessante Reinaldo que subi a sua página e seus arquivos para fazer um teste e apresentou o mesmo problema. A página aparece sem formatação. Aparentemente ele não está pegando as configurações de formatação.

Muito estranho, poste suas configurações e se possível uma imagem do seu portal para analisarmos o que pode ser

Veja com o tcpdump se tem mais alguma porta…

Você pode desativar esta regra e criar uma liberando tudo, somente para testar.

tenta fixar para cada usuario um IP na VPN

e dai ja que você esta direcionando trafego total para a VPN, cria regras baseadas no IP da VPN que ele usa, e não no IP de origem da conexão.

Ou seja, crie regras da interface OpenVPN –> Rede local

Se o acesso é direto para o IP das impressoras (exemplo: impressão RAW, jetdirect ou LPR) então podes fazer a regra no firewall liberando apenas o acesso os IP das impressoras

Caso seja impressora compartilhadas via windows/samba, dai tem que fazer o bloqueio via ACL do windows mesmo, não tem nada a ver com o pfsense

Recentemente tive uma experiencia nada agradavel, estava com um problema de queda de conexão e imaginava que poderia ser um dos três: Cabo de Rede, Palca de Rede ou modem.
Substituí o cabo e vi que o problema não era este.
Como não tinha um modem ADSL para fazer o teste, optei por trocar a placa, visto que tinha 2 placas TP Link do mesmo modelo das que estava instalada.
Resumo: Deu pau e não tinha backup recente  :'( apenas de 2 semanas antes.

Meu conselho: Antes de pensar em mexer, faça o bkp de suas configurações.

@fidenco:

Depois de várias tentativas e sem fazer nenhuma alteração em configuração o blacklist carregou normalmente. Ontem fui fazer o download e deu certo. Obrigado pela atenção de todos

Bacana que resolveu!  :D

Edite teu primeiro post e no inicio do titulo coloque como [RESOLVIDO].

REsolveu foi isso mesmo que fiz coloquei o site em whitelist e em Squid Allowed Ports coloquei a 81 deu certo grato;

@brunok:

Para descontrair…

Já que você é novo no pfSense, porque não usa a versão mais recente?

2.3.3  ;)

Bom dia.

Vc sugere que eu atualize ?

@luciano.saulo:

Bom dia Srs,

Tentei configura  o failover no pfsense 2.3.2 e ele não levanta nem a pau o outro link.

Pingo os dos roteadores,  mais se eu tira o cabo do primeiro link para testar ele não levanta.
  Vou postar minhas configurações para os colegas analisarem e verem se fiz algo de errado por favor.

abraços,

Cara, tive esse mesmoproblema e resolvi ativando aopção System > Advanced > Miscellaneius > ativa a opção "Default gateway switching"

@empbilly:

Esta bem confusa esta tua explicação.  :o

Desculpa, tentei deixar o mais claro possível

Em uma inteface WAN eu configurei um IP público e um IP virtual, de rede privada (RFC1918). Hoje é assim que funciona com o Linux + iptables.

Na WAN tu tem o IP publico e um IP privado!? Ip virtual é diferente de IP privado. Pelo menos no pfsense quando tu usa a nomenclatura "Ip virtual", entendemos que tu configurou um IP virtual em "Firewall > Virtual IPs".

Isso, na interface física da WAN,eu tenho um IP público que está configurado na internace física normalemente, mas também tenho um um IP privado que está como IP virtual. É isso mesmo, configurei um IP privado na interface WAN em Firewall > Virtual IPs

A dificuldade é que, para determinados destinos, eu preciso sair pelo IP virtual por um gateway que eu adicionei (que não é o gateway do IP público da WAN) para o IP da rede privada.

Tu precisa sair pra internet? Se sim, esse gw é um novo IP publico configurado com um IP virtual no NAT 1:1? Esse gw tem saida pra internet?

Sim, eu preciso sair para a internet e preciso ir para a rede 10.10.1.0 que está atraz do outro roteador. Esse outro roteador não tem e não pode ter acesso a internet.
O gateway da WAN é um IP público, que faz funcionar a internet normalmente.
O gateway criado é um IP privado de um roteador interno que conhece a rede 10.10.1.0 e tem uma perna na rede 10.10.11.0. O IP virtual criado na interface WAN também está na rede 10.10.11.0

O que esta ocorrendo? As vlans do slave não recebem as configs?

@jr4000:

Apareceu embaixo uns pacotes que precisam ser instalados. Porem clico neles, porem não instala…

Depois de instalar você vai em Diag -> ntopSettings: Habilita ele, configura uma senha de acesso e eu marco a opção Disable Alerts pois uma vez ficou enchendo de Mensagem acho que de broadCast, MultCast não lembro.

Bem provavel, atualizei a versao depois de anos usando a mesma, o grafico estava um pouco diferente e eu fiz meio que na correria as regras iniciais…

Agora eu estava pensando e acho que sei como me travei,

Eu tenho um NAT da porta 80 e 443 que deveria ser na interface WAN, mas acho q qdo criei a regra, ficou ANY interface. Se bem que usando o pfctl -d isso deveria ser anulado

Anyway eu dei um factory reset voltei o backup e joguei ele na porta 88, e por enquanto ta ok.

Obrigado senhores!!

@chipbr:

O que aconteceu para você se trancar?
Criou uma regra bloqueando a si mesmo?

Tenho um lab com as mesmas configurações de squid + squidguard e firewall liberado para testes. Fiz testes em relação a anexos e todos abriram normalmente.