Muito Obrigado !! Thank you so much

O captive portal vai bloquear todo o trafego até você autenticar no portal.

As regras de bloqueio, são direto no ipfw, não aparecem na interface web.

Com consegui bloquear o chat do facebook com a expressão regular (.chat.facebook.com.), vale lembrar que pra funcionar você deve user interpretação SSL, no meu caso funcionou bem.

Analise o cache.log e encontrei a falha:

2018/06/06 09:02:52 kid1| Starting new ntlmauthenticator helpers...
2018/06/06 09:03:02 kid1| WARNING: All 20/20 ntlmauthenticator processes are busy.
2018/06/06 09:03:02 kid1| WARNING: 20 pending requests queued
2018/06/06 09:03:02 kid1| WARNING: Consider increasing the number of ntlmauthenticator processes in your config file.
FATAL: Too many queued ntlmauthenticator requests
Squid Cache (Version 3.5.27): Terminated abnormally.
CPU Usage: 89.384 seconds = 64.045 user + 25.339 sys
Maximum Resident Size: 401568 KB
Page faults with physical i/o: 0
2018/06/06 09:03:10 kid1| Starting Squid Cache version 3.5.27 for amd64-portbld-freebsd11.1...
2018/06/06 09:03:10 kid1| Service Name: squid
2018/06/06 09:03:10| pinger: Initialising ICMP pinger ...

Aumentei o NTLMSSP Auth processes de 20 para 40 na aba authentication do Squid e o problema foi resolvido.

Obrigado pela ajuda @marcelloc 😀

O registro.br exige pelo menos dois servidores(master e slave) para publicação, ou seja, dois ips públicos.

acho que já encontrei o problema era o proxy configurado via registro. valeu marcelloc.
vou fazer os testes

@doguibnu said in Ftp Datasus pfsense não se conecta:

Certo marcelloc
Mas vc teria outra sugestão de configuração?
Nesse pfsense não tem regra para bloquear as portas altas. Então, pq não funcionava antes de fazer esta regra?

Só o tcpdump vai te dar a resposta exata do problema. veja se pela wan, não está vindo uma conexão ftp ativo de volta, com porta origem 20.

@mauriliodell nada brother, precisando tamos ai.

Bom dia, a wan está configurada para pegar DHCP, como mostra a imagem abaixo. O log mostra o seguinte: rc.bootup: The command '/sbin/dhclient -c /var/etc/dhclient_wan.conf re0 > /tmp/re0_output 2> /tmp/re0_error_output' returned exit code '1', the output was ''

0_1528120898018_Configuração.jpg

Configure as exceções de proxy com o WPAD na sua rede. Sobre o servidor de TS, para autenticação transparente, só com ntlm, kerberos ou um cliente para informar ao firewall/proxy que usuário está usando cada conexão.

vai no console, seleciona a opção 8.
Digita o comando pkg update
Deve resolver ou retornar algum erro.

@marcelloc

Obrigado!

Funcionou.

Ótimo! inicialmente você havia nos relatado sobre porta 9090 tcp no server interno, por isso pedi para validar essa porta 9090 via telnet dentro da LAN. Na verdade, seu servidor não estava escutando na 9090 e sim na 80 (http).

Portanto, o correto seria isso mesmo:

IP público (9090) ---> IP do servidor (80) ok!
IP público (9090) ---> IP do servidor (9090) não funciona

Primeiro passo é monitorar via tcpdump na lan e wan para ver se os pacotes icmp estão passando pelas duas interfaces.
Segundo, conferir se o nat está acontecendo quando o pacote sai pela wan.

Possível é mas o conceito de segurança por obscuridade é muito falho. A implementação do dhcp server do pfSense não permite essa configuração.

Você vai precisar subir o dhcp em outro server e adicionar a segunda rede como ip alias na lan do firewall e em seguida criar as regras lembrando que LAN NET será somente a primeira faixa.

pfSense é firewall, não servidor de video conferência.

Algumas soluções gratuitas de video conferência para você pesquisar:

Se for liberar só alguns sites, o squid com interceptação de ssl em splice_all deve resolver a questão.

Não esqueça de deixar as regras da lan só com o necessário também.