@matheusfenolio:

Tenho uma Target Category bloqueando as seguintes extensões:

(./..(exe))|(./..(mp3))|(./..(avi))|(./..(iso))|(./..(3gp))|(./..(mov))|(./..(mp4))|(./..(mpeg))|(./..(wmv))|(./..(wma))

porém preciso liberar o proxy para baixar um arquivo de update do sistema, ele é um .exe que vem de um FTP da empresa que vendeu esse sistema pra gente, já tentei fazer uma TC como Whitelist com o endereço URL e mesmo assim nada, como poderia criar essa exceção ?

Criei um target com os destinos, marca como Whitelist e coloque antes da target de bloqueio.

Obrigado Pessoal,
Vou verificar, meu problema principal e o alto volume de dispositivos fora do domínio que utiliza a rede.
Mas vou ver a questão do certificado.
Pensei que teria algo similar em rules como o squidguard.

Recomendo desligar o cache em disco.

Amigo, conseguiu a solução para sua Dúvida ?

Eu tenho interesse em implantar um server com Captive Portal liberado pelo CPF.

Primeira coisa pra você verificar é se nenhuma das redes está com a mesma faixa de ip, incluindo o ip que o segundo provedor entrega.

No caso preciso fazer o nat para a rede do pppoe tambem é isso?

Falei estação, mas nao…é um servidor que precisa de um ip valido...

Resolvi esse problema usando esse código: Services, squid proxy server, show advanced options, custon options (before auth).

acl https_proto proto https
always_direct allow https_proto
ssl_bump none localhost
sslproxy_options NO_SSLv2,NO_SSLv3,No_Compression
sslproxy_cipher ALL:!SSLv2:!ADH:!DSS:!MD5:!EXP:!DES:!PSK:!SRP:!RC4:!IDEA:!SEED:!aNULL:!eNULL

TLS/SSL bumping definitions

acl tls_s1_connect at_step SslBump1
acl tls_s2_client_hello at_step SslBump2
acl tls_s3_server_hello at_step SslBump3

TLS/SSL bumping steps

ssl_bump peek tls_s1_connect all
ssl_bump splice all

peek at TLS/SSL connect data splice: no active bumping

@marcelloc:

O problema aparentemente está na versão do squid ou parâmetros de compilação.

Veja este tópico no fórum internacional

https://forum.pfsense.org/index.php?topic=126309.0

O splice all na 2.4 está ok.

Interessante, obrigado.
Espero que não demore a sair.

@Brsvtzk:

Bom, pessoal. Criei um NAT para o IP do servidor local com a porta 3306 do mySQL (não sei se seria necessário, mas…), e outra http para o mesmo IP e enviei exatamente o mesmo link que o amigo marcelloc me indicou, "http://ip.externo/sistemaweb/..." para o pessoal que gerencia o site. E, vejam só, está funcionando lindamente.

Normalmente a porta do banco não é publicada.

@Brsvtzk:

Obrigado, mais uma vez  ;D

De nada  :)

Marcelo,
Esquece, a versão que coloquei só demorou mais para aparecer o erro ¬¬
Não sei mais o que fazer!!!

O squidguard faz isso.

Suas regras aparentemente estão ok. Se não estiver com problemas na definição do gateway internet ou no outbound nat, confere se o cliente de email está usando uma porta para comunicação smtp diferente da 25.

Você tem que isolar os segmentos de rede antes de tentar colocar o segundo dhcp. Pelo o que descreveu, todos os equipamentos estão conectados na mesma rede.

@jlcarvalho:

Eu acho que seja alguma coisa com a configuração dos certificados SSL do servidor com o cliente.

Se não está usando proxy nem qualquer outro metodo de interceptação, o certificado SSL no firewall é irrelevante.

Veja no firefox por exemplo, detalhes do certificado do site que está acessando pra ver exatamente do que ele está reclamando.

@marcelloc:

O refused que está recebendo indica problema de configuração no bind. Pode estar faltando incluir o 127.0 ou localnet na lista de ips que podem fazer busca recursiva

Marcello,

Quando reconfigurei o pacote, por falta de atenção, não inclui o 127.0.0.0/8 na ACL interna. Isso causou o problema.

O que seria desse fórum sem vossa excelência. Mais uma vez obrigado. Problema resolvido.

Realmente, porque nunca tive esse problema até a última atualização…  Não sei se de repente atualizar o pfsense para a versão 2.3.4 possa afetar a forma como o squid trabalha, pela documentação não... enfim o jeito é aguardar a próxima versão.

de qualquer forma obrigado pela ajuda.

Corrigi a instalação. Veja se o erro persiste.

Você pode criar essas entradas manuais no dns resolver ou forwarder como no post abaixo

https://forum.pfsense.org/index.php?topic=86986.0

ou configura um arquivo de hosts diferente para o seu squid

http://www.squid-cache.org/Doc/config/hosts_file/

Galera Valeu resolvido!!

Apesjr Marcelo muito obrigado pela ajuda de vocês, forte abraço

OK, no meu caso seria acesso interno para servidores interno.

seria da seguinte forma 192.168.150.0/28 para 192.168.150.100 servidor web interno para porta 8530:8531