Senhores, obrigado pela ajuda, descobri que era o pfblocker, que estava barrando ele. demorou para cair a ficha.

Obrigado a todos!

That´s right!
I usually use the site https://bgp.he.net/ to find domains and IPs specific.

Aydesk.JPG
Aydesk.JPG_thumb

Muito obrigado galera pela força!!!!
Valeu mesmo!

Infelizmente, não resolveu meu problema. Uma solução que encontrei, foi um script feito em PHP, que fica monitorando a memoria ram e swap, quando chega num determinado valor, ele para o squid e reinicia. Encontrei esta solução aqui mesmo no forum.

@KAISERLOOK:

Bom dia,
Prezados, preciso de um auxilio.
Atualmente meu pfsense tem como default a Lan liberada com  apontamento para um Gateway especifico (LB - LoadBalance).
Porém aos meus olhos abre brechas de segurança, todos sabemos que a maioria dos ataques e falhas vem dos nossos queridos usuários, a minha duvida é a seguinte:

Tenho protocolo SIP na minha rede, já criei uma regra onde libero a porta 5060 UDP, porém observando o status nada passa por ela, quando bloqueio a regra dafault (tudo liberado) os telefones param de funcionar, assim como diversos sistemas da empresa.

Alguem pode me dar dicas de como criar regras mais detalhadas ou uma estrutura bacana para que o Firewall filtre tanto a entrada da WAN quanto da LAN.

Vc criou a regra para o Sip na Wan ou Lan ???

É complicado te passar regras de Firewall, pq isso é muito independente de Adm para Adm, cada um tem um forma diferente para trabalhar.
O segredo de tudo é intender bem o conceito de como o Firewall trabalha e tbm ter uma boa abstração do que vc quer fazer!!.
Em outras palavras, não há receita de bolo.

Algumas coisas padrão que eu particularmente uso.

Na Wan: Libero apenas o essencial, libero apenas protocolo ICMP para o meu IP, Libero uma porta do acesso ao pfSense (Não é a mesma porta da rede interna). E a porta para DNS, basicamente isso, o resto é conforme a necessidade de cada Cliente.

Na Lan: Bom aqui, é zica, vai depender demais da politica de segurança da empresa, então costumo não usar nada padrão, vou montando as regras conforme a necessidade, na verdade só deixo o ICMP padrão, o resto bloqueio e libero aos poucos.

========
No seu caso sobre o SIP, nos explica melhor o que vc quer fazer??? Acesso externo/interno.. o que exatamente ??
Post preent de como esta montada suas regras.

Se não está enchendo o disco, o squid gerencia a atualização do cache sozinho. O consumo de memória não está relacionado ao uso do cache. Quando você limpa manual, você força um reload do squid, liberando memória.

Agende no cron, um restart do squid de acordo com sua monitoria de consumo de memória.

Status > System Logs > Firewall

Só pra compartilhar, +/- 120 usuarios, 10 vlan, 4 filiais com openvpn + 1 para acesso a usuarios externos, 3 links WAN

Uso em uma VM no Hyper-V com 2 cores de processador, 1 GB de memória e 10 GB de HD

Para proxy é outra VM separada, mas com a mesma configuração

Em meu setup, tenho 4 server openVPN site-to-site e uma quinta conexão para acesso peer-to-server para os usuários com notebooks

Funciona normal.

O que uso aqui é que em TODOS, eu disse TODOS os lugares e configurações da rede e do pfsense, eu aponto os DNS do AD.

Veja se na aba GENERAL SETUP se você está usando os IP do AD da sua rede, e mais nenhum.
É estes IP que ele entrega pelo OpenVPN por padrão

E desabilite o forwarder (ou configure ele para usar o AD - acho mais "certo" desabilitar)

Eu uso pfsense com Hyper-V a anos já

Aqui na matriz ele gerencia 10 VLAN, então posso dizer que funciona muito bem.

Sem o System Center, você só consegue colocar UMA vlan por interface de rede na GUI, e não consegue colocar ela como trunk.

Se for o seu caso de não ter o System Center VMM, utilize os seguintes comandos powershell abaixo, é o que eu uso aqui.

Set-VMNetworkAdapterVlan -VMName pfsense -AllowedVlanIdList 2-100 -NativeVlanId 1 -Trunk -VMNetworkAdapterName LAN_Pfsense Set-VMNetworkAdapterVlan -VMName pfsense -Untagged -VMNetworkAdapterName LAN_Pfsense

O 1º comando transforma a interface em Trunk, sendo a VLAN 1 a nativa e as VLAN que responde são 2 até a 100
O 2º comando volta a interface ao modo untagged, caso precise

Pesquise e leia a documentação da Microsoft sobre eles.

Confere na console se o ip da mesma rede não está atribuido em outra interface, em uma das interfaces fisicas do lagg por exemplo.

Essa é uma questão mais de ajustar o Freebsd com o Hyper-v do que uma questão de pfSense

https://www.reddit.com/r/sysadmin/comments/2k7jn5/after_2_years_i_have_finally_solved_my_slow/

@thiagocarlossilverio:

@marcelloc:

@thiagocarlossilverio:

Utilizo proxy transparente, visualizo o trafico pela aba Realtime

A aba realtime le o mesmo access.log. Confere sua lista de bypass, provavelmente o trafego está passando direto sem cair no squid.

Em minha lista de bypass está apenas os IPS do servidores que eu não quero que passe pelo squid.

Observei uma coisa:

Se eu deixar como na imagem 01 só o trafico do avast que é encaminhado para o Squid já a imagem 02 funciona normal o squid

01.png
01.png_thumb
02.png
02.png_thumb

@juliocp1976:

Olá Murilo olha a resposta do CORE TEAM

Issue #8503 has been updated by Jim Pingle.

Status changed from New to Not a Bug
    Affected Version deleted (2.3.4)

It was an intentional change, see #8220 - https://redmine.pfsense.org/issues/8220

Embora não concorde com a decisão tomada, mas pelo que entendi foi proposital. Mas para minha não faz sentido um servidor deixar duplicar IP, você do principio de ser dinânico (automatizado controle de ip e mac duplicado). Concordo parcialmente em poder duplicar o nome do host. Mas para mim, IP e MAC devem ser únicos na rede.

Enfim amigo não tem o que fazer, ou somente mesmo se utilizar versões anteriores.

Abraços

Concordo com sua opinião isto aconteceu aqui na empresa, usando mapeamento estatístico imagina o BO,
uma falta de atenção do meu amigo quando eu estava de férias, conseguiu atribuir o mesmo IP para MAC's distintos…
Até entender o porque que isto aconteceu, perdi meu tempo de férias.

*Porém depois de um tempo entendi melhor a ideia, exemplo um Notebook Wlan e Lan, ou seja só usa 1 IP indiferente da escolha!!!

Marcello, bom dia.

Baseado nas imagens você identificou algo de errado?

Marcelloc, só Deus para lhe pagar pela ajuda! Agradeço pela paciência, fiz apenas com um modem e agora funcionou, acho que ontem o cansaço me fez fazer algo errado. Li e reli tudo que você postou e agora foi. Que a sabedoria e o conhecimento faça parte da sua vida sempre para ajudar meros mortais como eu.

Obrigado de coração!

Se for bypass do proxy, você configura via navegador ou serviço wpad.

Exceção no squidguard, procura nos diversos tutoriais que tem fixado na parte de cima do fórum. Um com certeza vai te atender.

Se não fizer questão de usar ferramenta x ou y, sugiro usar o e2guardian. Proxy poderos, cheio de configurações e rápido.

@verdura:

Qual seria a melhor maneira de usar p pfsense para permitir o acesso aos alunos aqui da escola controlando o acesso por utilizador? Tipo user1@domain tem acesso e user2@domain não tem acesso?
Recomendaria também o E2Guardian? Se sim, apareceria pop-up para colocar login e password? Gostava de evitar isso. Já que os alunos fazem login em dominio, usava as credenciais já introduzidas…

Bem, eu sou um tanto quanto suspeito em responder esta questão, porque acabamos de lançar um módulo específico de integração WMI, Captive Portal, E2Guardian para pfSense - chamado UserAuth (http://conexti.com.br/userauth). Dê uma olhada no site e no vídeo de 'demonstração', acho que vai gostar.

De todo modo, o próprio E2Guardian consegue fazer o meio de campo entre o cliente e o squid/ntlm. Não vai ter a mesma performance do wmi, mas funciona.

Abraços!
Jack