Obrigado pelo interesse em ajudar.
Porem eu preciso liberar outros usuarios acessarem que nao sejam administradores.
Só preciso bloquear o admin de fazer login no webgui ou nao permitir que outros usuarios tenham permissao de alterar a senha do admin.
Alguem ajuda??

@fabcostarj:

Meu amigo,

Servidor Dell R620 a configuração é o seguinte:

Processador= Intel Xeon E5-2620 v2 - 2.10 Ghz

Memoria= 32.0 MB

Placa de rede= São 4 o modelo delas é Broadcom NetXtreme Gigabit.

Controladora= PERC H710 Mini

Servidor Dell R630 a configuração é o seguinte:

Processador= Intel Xeon E5-2620 v3 - 2.40 Ghz

Memoria= 32.0 MB

Placa de rede= São 4 o modelo delas é Broadcom NetXtreme Gigabit.

Controladora= PERC H730 Mini

Os servidores utilizam HD SAS.

Obrigado.

Meu amigo, tu com um servidor desse faz até inveja. Pode ficar tranquilo enquanto a isso. O Pfsense vai rodar lindo e leve nesse serv.

Obrigado galera pela ajuda

amigo como faço isso?

@empbilly:

Pra que tu possa trabalhar abrangendo todos os tipos de dispositivos, tu vai precisar configurar o squid com o Splice ALL.

Dá uma olhada no tutorial abaixo. É bem básico, mas já ajuda.

https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/

empbilly,
Consegui fazer a instalação dos pacotes e ainda estou configurando as restrições que ainda não estou conseguindo aplicar. Mas uma dúvida que venho durante a configuração, sabe me dizer se é possível com e2guardian fazer os bloqueios dos sites e amarzenar os logs baseado no voucher autenticado ou no usuário local?

Grato.

Sim.

Só disse pra facilitar a vida do usuário e você ter tempo de consegui a solução para seu método de acesso mais seguro. Nossa vida é correria e quanto menos tempo resolvermos para o usuário melhor. Ele nem se importa com direcionamento de porta e nem regras de firewall.

Com porta alta você usa o conceito de segurança por obscuridade mas tudo bem.

Agora se você quer fazer ele acessar apenas um host e quer usar vpn cliente do pfsense no modo client-to-site ele vai acessar a rede toda por que vc vai dizer pro cliente conhecer a rede e não um host.

Tenta fazer o seguinte:

na interface de vpn vc cria a regra no topo da lista e diz que o ip do cliente movel vai acessar apenas um host na rede. Mas vc tem que criar um regra logo a abaixo para blok ele do resto da rede e logo a baixo a regra any.

Se der certo posta ai.

só pra ter certeza que é algo do pfsense ou do seu shaper, faz o seguinte:

antes dessa sua regra, cria uma regra acima dela na interface lan, de qualquer lugar para qualquer lugar (* para *) apenas no protocolo IPV4 e ICMP

salva, aplica e testa o ping

essa regra vai fazer com que apenas o ICMP não passe pelo shaper. Se com isso não aumentar o ping para 2k como vc falou, então pode ser seu shaper com alguma configuração incorreta.
Senão, é algum outro equipamento ou configuração

Veirifica na aba Real time quais os hosts/ips estão sendo bloqueados ao acessar o link e principalmente a respeito do captcha, pois deve ser feita alguma chamada externa. Tem também o tcpdump que pode ser utilizado pra analise do pacotes.

Vai ter que verificar na aba Real time quais os hosts/IPs  do plus.google.com que são bloqueados para posteriormente desbloquear. Tu pode também utilizar o tcpdump pra verificar isso.

O que definiu no configuração/grupo Default?

no caso faço uma regra para bloqueio total da rede para os dominios do facebook e outros ,e no firewall libero estas 5 maquinas?

Em alguns casos liberando no SquidGuard Proxy Filter -> Target categories  como o colega citou acima resolve.

Uma coisa a se considerar, percebi que alguns sites mesmo fazendo a liberação ainda permanece o problema, então a solução é ir em Squid Proxy Server >no campo Bypass Proxy for These Destination IPs  e adicionar o ip correspondente.

Ao que parece alguns sites não aceitam passar por proxy mesmo fazendo a liberação no squid, talvez seja esse o seu caso.

Esse notebook está conectado a um roteador comum que então vai depois para o pfSense? Experimenta desabilitar o tratamento ALG para SIP no roteador.

Outra coisa, pelo que parece, a 5060 pode estar fechando por algum motivo. Olha a configuração de keep alive no PAP2T, em Voice - SIP - NAT Keep Alive Intvl.

Pelo que entendi, a conta Voip tá sendo registrada diretamente no ATA/Softphone e não em uma PBX indermediária dentro da tua rede. A regra no NAT tá apontando para os IPs do notebook/ATA então, certo?

Boa noite a todos,

rdvc, então,

Basicamente, além do proxy? Qual serviço usa no escritório central?
o link de 2Mb é dedicado? 2Mb/2Mb? Se for, a sugestão é passar todos do seu escritório para utilizar o proxy no pfsense, dessa forma a conexão com a central ficará livre para acesso aos serviços internos;

Pelo o que foi falado, não utilizam pfSense na central, se utilizassem, poderia sincronizar proxy.

GustavoPru

Assim, temos as seguintes possibilidades:
1- Vc define manualmente os gateways (vc vai ter 2, que é o antigo e o novo no pfsense) nos hosts que poderão usufruir da nova internet;
2- Vc define o gateway novo para as estações privilegiadas no pfsense, mas deixa para o pool restante do dhcp o gateway antigo. Cria uma regra no firewall do pfsense dando um deny para todos os IPs que não sejam os dos privilegiados.

Isso pode ser definido no próprio DHCP server do pfSense, bastas adicionar DHCP Static Mappings (reservar lease) e definir o Gateway.

GustavoPru

Só fique atento que você precisará criar uma outra rota (outro gateway) para os escolhidos também. Digo isso pq acredito que eles precisarão ter acesso ao outro lado da sua rede. Se isso for verdadeiro, tem algumas opções adicionais no DHCP que permitem isso. Particularmente utilizo bastante a opção 33.

Claro as rotas poderão ser definidas no pfsense apontando para o roteador local, e por fim, este fará a entrega.

@Tomas:

Se tem Squid terá que cadastras essas portas em ACLs, Safe Ports

Eu já tinha colocado essas portas neste campo, mas não funcionou.
Mesmo assim, obrigado!

@jeferson.junior:

Boa tarde,

Parece que estas portas não estão permitidas em seu Servidor de proxy.

Faça o seguinte:

Acesse Services -> Squid Proxy Server ->  ACLs

No final da pagina em ACL SSLPorts adicione as duas portas separadas por espaço, salve e tente acessar novamente.

Funcionou amigo! Realmente, ambos os sites que mostrei são sites de conexão SSL.
Muito obrigado pelo apoio!

@marcelloc:

@ironlion:

Alguém sabe como resolver essa bronca?

Nas configurações do captive portal mesmo. Se não for por ip, vai ser por mac.

Putz cara! Mais fácil impossível. So ir em ALLOWED IP ADRESSES e dizer os ips.

Vlw!

@crisbass33:

Eu preciso que essa saída do PF não seja mascarada e sim que va pelo ip correto, veja abaixo o dump.

Crie uma regra de no nat no outbound ou coloque o outbound nat em manual para você  definir quando e como você quer que o pfSense faça o nat.