Que nem o amigo acima disse, ta dificil de compreender o que vc precisa amigo, precisamos de mais detalhes. Detalha melhor o ambiente, posta exemplos praticos e ips.

Se vc tem duas redes na mesma infra, vc pode criar uma rota estatica.

@lf.fsilva:

não ele precisa de apensa um ip, mas quando ele for conversar com a internet ele tem que sair na range 10.16…  e dentro ip 192.168.1.x...

@hugoeyng:

@baganation:

Pelo tcpdump poderia filtrar o uso desse celular e identificar a porta que ele usa para conectar a vpn ai seria mais facil efetuar o bloqueio por porta do que pelos ips dos servidores.

Olá. Obrigado pela resposta.

Pensei em fazer isto. Porém esse tipo de VPN alterna as portas e também os protocolos (udp, smtp, https, ssh, etc). Não consegui encontrar um ponto em comum que eu possa interceptar sem prejudicar o tráfego de outras atividades.

Filtra essa máquina joga em um txt e verifica se ele utiliza portas altas provavelmente pra burlar o  acesso , quando fecha qualquer vpn ele cria nat e burla qualquer bloqueio mesmo .
O que pode fazer e  criar um alias com portas padrões  tipo navegação ,  email  somente e aplicar essa regra para esse celular assim ele só terá acesso a sites e portas de emails outro aplicativo que use portas que não são padrões de aplicativos usuais ele não terá o acesso pode liberar também ftp mais creio que celular não precise.

Se não for viável tenta filtrar ele por uns 10 minutos e assim analisar um padrão de acesso , salve o filtro em um txt e poste aqui para verificarmos juntos.

Se quiser add ai no skype alisson.1987 ai vemos mais rapido se quiser

Ele nem salva aquele cache do liquidsquid quando está em NAT + Proxy

Não sou expert, porém vou tentar ajudar…

NO MODEM, procure a DMZ vai ser lá que vc vai direcionar todo o trafego que chega externo para o pfsense.

Depois disso faça um NAT no pfsense redirecionando a porta externa escolhida, tipo 8080 para porta 80 do pfsense..

Acho que isso já daria certo...

Boa tarde,

Eu já tive esse problema em alguns clientes, mesmo configurado para 1 o Payload.
Hoje mesmo, cheguei aqui numa empresa que atendo, e 1 link estava offline.
Alterei o ip monitor do gateway de 208.67.220.220 para o do google 8.8.8.8, ai ele volta a ficar on-line.
se eu retornar para o 208.67.220.220 ele fica normal.
Já aconteceu isso algumas vezes, basta eu apontar para outro ip que ele fica como on-line na hora.
Porém, o que observo que é algo somente relacionado a esse monitor pois o acesso externo ao portal por exemplo nesse ip ou a vpn, continuam normais, porém o failover deixa de funcionar corretamente pois o sistema acredita que aquele link esta fora.

Fala Francisco,

Vc vai precisar usar um filtro de conteudo com interceptação SSL, acredito q utilizando regex vc conseguiria.

Te indico besquisar sobre o e2guardian ou SquidGuardian.

@Francisco:

estou comum problema aqui  na empresa, preciso bloquear as imagens que aparecem no google maps, consegui bloquear partes dela restrigindo o gstatic.com, como minha regra é bloquear tudo e liberar somente o que precisa tirei ele dos sites liberados, mas quero bloquear as imagens que aparecem na primeira pagina, alguem pode me ajudar?

@caiiocos:

Agradeço sua resposta, mas como sou novo na area não consegui compreender bem o que precisa ser feito.

Aqui no forum é complicado te explicar o funcionamento.

Depois de muita briga com o Squid acho que consegui avançar, embora o comportamento dele ainda me pareça estranho…

Alternei várias configurações aqui e cheguei à conclusão que o meu Squid não aceita o uso da Whitelist padrão com autenticação. Se eu uso a Whitelist padrão o comportamento dele fica como descrito no meu primeiro post, pior que isso ainda foi constatar que utilizando a Whitelist padrão, se eu não colocar nada no campo Allowed Subnets, o Squid sequer solicita a autenticação do usuário, a janela nem é exibida no navegador.
Decidi então partir para uma solução de contorno, usar as Custom options (aba General do Squid, botão Show Advanced Options) para fazer as liberações que preciso, mas acrescentei a ACL password, que é criada automaticamente pelo Squid quando configuro a autenticação, na mesma linha em que permito o acesso ao meu arquivo de domínios permitidos, da seguinte forma:

acl DOMINIOS_PERMITIDOS dstdom_regex -i "/var/squid/acl/domains.acl"
http_access allow password DOMINIOS_PERMITIDOS

Com essa alteração tudo mudou, a autenticação passou a funcionar conforme o esperado, permitindo o acesso quando as credenciais são válidas, solicitando nova autenticação quando as credenciais não são válidas e negando quando o usuário cancela.

Outra coisa que me intriga é que mesmo que meu IP não pertença à rede configurada em Allowed Subnets ou que não seja configurada nenhuma rede ali (a opção Allow Users on Interface está desabilitada também) o Squid me permite navegar, é como já comentaram em outro tópico por aqui, o campo Allowed Subnets parece estar lá apenas como enfeite…

Um detalhe menos importante é a mensagem configurada em Authentication Prompt (aba Authentication), preenchi o campo com o texto "Teste" (sem as aspas) e notei que no Google Chrome esse texto é ignorado, a mensagem exibida na janela de autenticação fica assim:

Autenticação necessária
O proxy http://x.x.x.x exige um nome de usuário e uma senha.
Sua conexão a este site não é particular

Já no Internet Explorer e no Edge o texto aparece na janela de autenticação, mas a redação fica até cômica:

O servidor x.x.x.x está solicitando seu nome de usuário e sua senha. O servidor indica que é proveniente de
Teste.

Seguem alguns cenários que testei para chegar a essas conclusões:

Teste 1: Com whitelist padrão e Allowed Subnets vazia
Resultado: Navegador nem sequer exibe a janela de autenticação >:( e o acesso é bem sucedido para os domínios listados na Whitelist :-\

squid.conf:

Custom options before auth Always allow access to whitelist domains

http_access allow whitelist
auth_param basic program /usr/local/libexec/squid/basic_radius_auth -w 123 -h x.x.x.x -p 1812
auth_param basic children 5
auth_param basic realm Teste
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIRED

Custom options after auth Default block all to be sure

http_access deny allsrc

Teste 2: Com whitelist padrão e Allowed Subnets configurada
Resultado: Navegador exibe janela de autenticação :), se o usuário e senha estiverem corretos o acesso é permitido :), se estiverem errados solicita novamente :), no entanto, se a janela de autenticação é cancelada o acesso é permitido :o

squid.conf:

Custom options before auth Always allow access to whitelist domains

http_access allow whitelist
auth_param basic program /usr/local/libexec/squid/basic_radius_auth -w 123 -h x.x.x.x -p 1812
auth_param basic children 5
auth_param basic realm Teste
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIRED

Custom options after auth

http_access allow password allowed_subnets

Default block all to be sure

http_access deny allsrc

Teste 3: Sem whitelist padrão, com Allowed Subnets configurada e com as Custom Options mencionadas lá em cima.
Resultado: Tudo ok como esperado :D, permite o acesso quando as credenciais são válidas :), solicita nova autenticação quando as credenciais não são válidas :) e nega o acesso quando o usuário cancela :)

squid.conf:

Custom options before auth

auth_param basic program /usr/local/libexec/squid/basic_radius_auth -w 123 -h x.x.x.x -p 1812
auth_param basic children 5
auth_param basic realm Teste
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIRED

Custom options after auth

acl DOMINIOS_PERMITIDOS dstdom_regex -i "/var/squid/acl/domains.acl"
http_access allow password DOMINIOS_PERMITIDOS

http_access allow password allowed_subnets

Default block all to be sure

http_access deny allsrc

Teste 4: Sem whitelist, com as Custom Options mencionadas lá em cima e Allowed Subnets vazia
Resultado: Tudo ok com a autenticação :D, permite o acesso quando as credenciais são válidas :), solicita nova autenticação quando as credenciais não são válidas :) e nega o acesso quando o usuário cancela :), mas eu deveria conseguir navegar sem ter nenhuma rede permitida? ??? respondam essa ateus! :P :P :P

squid.conf:

Custom options before auth

auth_param basic program /usr/local/libexec/squid/basic_radius_auth -w 123 -h x.x.x.x -p 1812
auth_param basic children 5
auth_param basic realm Teste
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIRED

Custom options after auth

acl DOMINIOS_PERMITIDOS dstdom_regex -i "/var/squid/acl/domains.acl"
http_access allow password DOMINIOS_PERMITIDOS

Default block all to be sure

http_access deny allsrc

Em alguns casos tera que fazer Bypass para funcionar.

Caro SipriusPT,

bom dia! Você conseguiu resolver esse problema? O que você fez?

Ocorre o mesmo erro comigo, mas de forma esporádica.

Abraço!

boa noite
tenho o meu servidor internamente atraz do do pfsense com portas direcionado, a configuração dos clientes é passivo, instalei o modulo

ftp client ativei na interface lan e tal mais não tem jeito de se comunicar, da um erro ftp passivo, mais meu ftp é microsoft acredito que tenho que validar as portas que microsoft usa par a esta comunicação

Resolvi retirando o ip do servidor do dhcp, nao sei o motivo mas retirando o ip dele mesmo do dhcp resolveu o problema..    vlw a atenção.

@jdlucena:

Tentei algumas regras e não deu certo!

Estou querendo redirecionar um link externo para um ip interno.

Quando o usuário tentar acessar o endereço "testelink.com.br", será redirecionado para o ip interno 192.168.0.10.

Como faço?

Caro jdlucena, você pode alterar o arquivo "hosts" do windows da máquina local dele, porém se o interesse é para todos os clientes da rede realizar esse acesso, você deve configurar seu DNS local (LAN ).

Lembrando que para um domínio público, realmente você deverá trabalhar com um NAT redirect na borda com o pfsense.

Abraços

Desculpe. Percebi agora que o erro é diferente. Vou abrir outro post.