@wass:

Na regra de NAT, opção Filter rule association certifique-se de que tem um regra de firewall liberando acesso a porta 3389.

TU É O CARA…...
DOIS DIAS BATENDO CABEÇA EM CIMA DISSO...

@Tomas:

Não, pois não tem registro das urls o máximo será fazer log nas regra com ip origem e destino…

Ok. Obrigado pela resposta!
Forte Abraço!!

@claudevan:

Cara faz isso que vou ti falar!

Primeiro cria um regra em:

Firewall: NAT: Port forward

IF          PROTO          Src.addr      Src.Ports      Dest.addr        Dest.ports        NAT IP              NAT Ports
WAN      TCP/UDP            *                    *                    *                6617        192.168.2.202      3389(MS RDP)

Em filter rule association "PASS"

########################################################################

Agora cria uma outra regra em:

Firewall: Rules

ID              PROTO            Source          Ports        Destination        ports          Gateway          Queue  Schedule
              IPV4 TCP/UDP            *              *          192.168.2.202      6617              *

Faz dessa forma que você vai consegui conectar no server ok…

pra mim nao funcionou…

dhcp não tem nada a ver com DNS

quem é o DNS da sua rede? provavelmente o AD…
ele consegue resolver os nomes lá? ele usa o pfsense como gateway?

amigo, se vc consegue pingar as outras maquinas da rede MENOS um servidor em especifico, com certeza o problema é nele

verifique os erros mais comuns
1 - firewall ativado no micro em questão
2 - micro não esta com o pfsense configurado como gateway padrão (ou não tem rota de retorno)
3 - o ICMP não está habilitado no micro, por isso não pinga

@gui.ap:

Se eu conseguisse fazer o filtro como eu queria, me pouparia criar várias acls de grupos por departamento.

O grupo internet garante que o usuário tenha acesso a internet, e os grupos dos departamentos serão usados para aplicar as regras de acesso.

Se o cara esta no dep1 mas não esta no grupo internet, ele não irá acessar.
Se o cara esta no dep1 e no grupo internet, ele irá acessar e serão aplicadas as regras de acesso destinada ao seu departamento.

Eu sei que da pra fazer filtros utilizando o E e OU lógicos (& e |) no ldapsearch, porém do jeito que fiz não tive sucesso.

Mas não é melhor criar apenas o grupo "Internet" e atribuir no ad somente aos usuários que vão ter acesso a internet?

Agora se você quer criar politicas diferenciadas não é melhor criar grupos "Internt-Padrao", "Intenet-Livre", "Internet-Restrita" e criar os grupos no SquidGuard e dentro você criar a politica para cada grupo do ad?

@manzke89:

Também estou com o mesmo problema mas somente quando meu proxy não esta transparente

Como eu disse, basta mudar pra HTTP ou levantar outra intancia para responder na porta 80;

Se é somente para uma varredura, o nmap está disponível nos pacotes para instalação.

Legal, estava com o mesmo problema na versão Pfsense 2.2.4, squid 4.3.10, sarg 0.6.6, e funcionou perfeitamente, vlw.

Em Filrer Rule Association deve estar a regra que vai liberar o trafego na WAN

só é vc setar o Gateway sendo o pfsense e deixar o dhcp e as rotas com o roteador da cisco.

Não é uma questão de confiabilidade e sim de método, usar os dois não faz sentido.

Como está a configuração de DNS no teu pfSense?

Recomendo fortemente a utilização de configuração automática de proxy através de WPAD, tendo a vantagem de filtrar completamente todo o tráfego (até mesmo HTTPS) facilitando assim bloqueio de Facebook e afins.
Terá de criar uma entrada A no DNS e uma alteração no DHCP também.
Para os navegadores basta marcara a opção que ativa a detecção automática de proxy, o que pode ser feito por GPO.
Para maiores detalhes: https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid
Se precisares de ajuda, pode me chamar que tenho bastante prática neste tipo de implementação.

A questão é saber se usa FTP ativo ou passivo então.

No caso depende do tipo ele usa mais portas, precisa ver sobre isso.

No manual do programa diz que o ip do servidor é: 189.21.233.19

Usa portas altas também, fez a liberação para esse destino?

Se usar proxy transparente, creio que vai ter que fazer bypass também.

Aonde fica essa configuração do MIME types?

Usa a versão 2.1.5 que funciona.