Olá.

Não sei se seria isso, mas pela sua topologia acredito que você precisaria inserir as redes que quer acessar no campo "IPv4 Local Network/s", na configuração do servidor.

@andrefreire:

Bom dia !

Altere a origem para LanNET e o destino para Any na suas regras de bloqueio e veja se resolve.

Deu tudo certo, obrigado

Como o Gustavo comentou. Essas ONT são configuradas pra entregar IP via ppoe. Não tenho vivo aqui em casa, mas tenho net via fibra e a ONT que tenho aqui está em bridge, pois fiz essa solicitação devido a acesso remoto que preciso no meu trabalho. Tenho uma RB da mikrotik fazendo o ppoe.

Obrigado pelo retorno marcelloc  :)

Segue um grep do squid.conf filtrando pela string "access"

grep access /usr/local/etc/squid/squid.conf

access_log /var/squid/logs/access.log
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports
http_access allow localhost
delay_access 1 allow allsrc

http_access allow whitelist
http_access deny sglog
http_access deny allsrc

A única coisa que encontrei liberando acesso para algo que possa remeter às minhas redes foi a linha destacada em negrito acima.

Lendo a documentação eu não entendi que essa seja a função da diretiva "delay_access", mas eu posso ter interpretado errado.

@dreivi:

é a BIOS resolveu sozinho e ainda ajudou outras pessoas.

Amigo,
Boa tarde

Já que resolveu, sem o auxílio da comunidade, poste seu processo de resolução. Assim, todos podem compartilhar do conhecimento adquirido.
Em tempo, nós brasileiros temos a "cultura" que o opensource é "grátis", e assim, podemos pedir ajuda no fórum, e terá sempre um MarcelloC ou Jackson para nos ajudar a tirar dúvidas. Essa é uma falha minha, nossa.

Também somos os que podemos mudar essa cultura.

Ola pessoal, também estou com o mesmo problema, uso o pfsense 2.4.1 com squid e squidguard (proxy autenticado), porem o Lightsquid não lista os sites bloqueados pelo squidguard. Não sei em que parte do arquivo do sgerror.php que tenho que inserir o código proposto na parte de logs do squid. No access.log o site bloqueado aparece como TCP_MISS/302.

@ogoid:

Ola.
Problema resolvido.
Refiz a instalacao do pfsense ja com a configuracao do nat na wan aplicada e agora resolveu. Por algum motivo quando instalei anteriormente e nao tinha NAT configurado mesmo reiniciando nao estava resolvendo.

Obrigado.

Bacana!! :D

Edita teu primeiro post e poe no inicio como [RESOLVIDO].

To achando que vou fazer uma fresh install+xmlrestore.

Acredito que também seja a melhor opção.

marcelo

poderia me informar como instalar com seus pacotes não oficial

Dá uma olhada no docs. Quem sabe tem algo que tu esqueceu de configurar.

https://doc.pfsense.org/index.php/Captive_Portal_Pre-authentication_Redirect

Devo desabilitar as restrições implementadas no Mikrotik?

Se tu vai utilizar somente o pfsense, sim, pode desabilitar o mikrotik.

Preciso habilitar o redirecionamento de portas, pois o ERP utiliza as portas 20 e 21 e 211 e 212. Obs: Esta aplicação é acessada através de um aplicativo instalado na maquina cliente.

Tu precisa liberar as portas e depois redirecioná-las atraves de NAT pro teu servidor ERP.

Habilitar o redirecionamento de porta para acessar o servidor via Remote Desktop

Sim. Outro NAT.

95% da banda do link de fibra, deve ser reservada para o ERP.

Dá uma lida sobre o Traffic Shaper do pfsense.

Como montar um ambiente de testes com este cenário?

Instala um virtualbox; Cria uma vm com o pfsense com no minimo 2 interfaces de rede; Cria algumas vms de acordo com os serviços que tu tem em produção;

No pfsense tu deixa uma interface em NAT ou bridge e a outra como "rede interna". As outras vms tu pode deixar somente com 1 interface na "rede interna". A partir dai tu pode configurar teus serviços e começar os testes.

@isaiasbertin:

meio grande mesmo

agora queria saber este endereço fornece que serviço é armazenamento de dados

Se eu não me engano eles hospedam alguns sites de Bancos do Brasil.

Pessoal fiz o procedimento que me pediram e deu certo, consegui atualizar o pacotes sem precisar de atualizar versão pois estou com ela em teste de homologação e não posso de antemão atualizar o de produção, mas em fim meu ambiente e proxy não transparente e preciso liberar o gmail durante o horario de almoço, mas impendir que os usuarios façam downloads, ate ai consegui liberando o acesso ao google drive, mas ambos os dois impedi de fazer downloads dos arquivos, e para que no gmail os usuarios possam visualizar os arquivos precisei liberar o drive.google.com, e o mail.google.com, mas ao enviar email pela conta google, não consigo impedir que eles façam upload dos arquivos, vocês podem me ajudar por aqui, ou preciso abrir outro topico?

Bom dia amigo,

Sim estava perfeito mas agora não bloqueia.

Eu já vi isso quando a rede usa proxy autenticado.

A rede possui proxy autenticado?

@eghijs:

@empbilly:

Tente mudar o acesso pra http.

Já tentei,  não vai, dei uma googada e descobri que e um bug, então achei melhor voltar para 2.3.5. Agradeço sua ajuda…

Tive muitos problemas com o PFS no XenServer7.2 , fique atento aos bugs.
Boa Sorte

Amigos, preciso de ajuda para configurar parâmetros do squid/squidguard. Não tenho experiência com ele, porém foi necessário implantação de última hora do squid devido problemas administrativos. Instalado o Pfsense 2.4.0 + squid + squidguard (não está sendo usado como firewall, apenas funcionalidade proxy). Instalado em uma VM (ambiente vmware + storage IBM v7000) com 64GB RAM, 4 CPU, 80GB de disco (instalação default). O proxy atende a quase 100 localidades diferentes espalhadas pelo Estado, ele tem um link de 1GB para atender mais ou menos 1200 usuários simultâneos conectados a internet. Monitorando, os recursos estão sendo subutilizados: CPU 40%, memo 30%, traffic graph wan (in) + wan (out) = 120Mb. Os usuários estão tendo problemas para acesso a internet: lentidão, timeout, perda de sessão, etc. Já alterei diversas vezes a configuração Local Cache e não cheguei a um consenso, fiz uma alteração também após consulta em foruns na linha "url_rewrite_children 256", alterando o valor default de 16 para 256, isso deu uma melhorada. Alguém teria uma sugestão de configuração? Fiz esta configuração abaixo hoje que vou testar na próxima segunda dia 6/11/17 retornada com o comando squid -k parse. Obrigado desde já.

2017/11/04 09:47:11| Startup: Initializing Authentication Schemes …
2017/11/04 09:47:11| Startup: Initialized Authentication Scheme 'basic'
2017/11/04 09:47:11| Startup: Initialized Authentication Scheme 'digest'
2017/11/04 09:47:11| Startup: Initialized Authentication Scheme 'negotiate'
2017/11/04 09:47:11| Startup: Initialized Authentication Scheme 'ntlm'
2017/11/04 09:47:11| Startup: Initialized Authentication.
2017/11/04 09:47:11| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2017/11/04 09:47:11| Processing: http_port XXXXXXXXXXXXXXX ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB
2017/11/04 09:47:11| Starting Authentication on port 127.0.0.1:8080
2017/11/04 09:47:11| Disabling Authentication on port 127.0.0.1:8080 (interception enabled)
2017/11/04 09:47:11| Processing: https_port 127.0.0.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB
2017/11/04 09:47:11| Starting Authentication on port 127.0.0.1:3129
2017/11/04 09:47:11| Disabling Authentication on port 127.0.0.1:3129 (interception enabled)
2017/11/04 09:47:11| Processing: icp_port 0
2017/11/04 09:47:11| Processing: digest_generation off
2017/11/04 09:47:11| Processing: dns_v4_first off
2017/11/04 09:47:11| Processing: pid_filename /var/run/squid/squid.pid
2017/11/04 09:47:11| Processing: cache_effective_user squid
2017/11/04 09:47:11| Processing: cache_effective_group proxy
2017/11/04 09:47:11| Processing: error_default_language pt-br
2017/11/04 09:47:11| Processing: icon_directory /usr/local/etc/squid/icons
2017/11/04 09:47:11| Processing: visible_hostname localhost
2017/11/04 09:47:11| Processing: cache_mgr admin@localhost
2017/11/04 09:47:11| Processing: access_log /var/squid/logs/access.log
2017/11/04 09:47:11| Processing: cache_log /var/squid/logs/cache.log
2017/11/04 09:47:11| Processing: cache_store_log none
2017/11/04 09:47:11| Processing: netdb_filename /var/squid/logs/netdb.state
2017/11/04 09:47:11| Processing: pinger_enable on
2017/11/04 09:47:11| Processing: pinger_program /usr/local/libexec/squid/pinger
2017/11/04 09:47:11| Processing: sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/squid/lib/ssl_db -M 4MB -b 2048
2017/11/04 09:47:11| Processing: sslcrtd_children 5
2017/11/04 09:47:11| Processing: sslproxy_capath /usr/local/share/certs/
2017/11/04 09:47:11| Processing: sslproxy_options NO_SSLv2,NO_SSLv3,NO_TLSv1,SINGLE_DH_USE,SINGLE_ECDH_USE
2017/11/04 09:47:11| Processing: sslproxy_cert_error allow all
2017/11/04 09:47:11| Processing: sslproxy_cert_adapt setValidBefore all
2017/11/04 09:47:11| Processing: logfile_rotate 7
2017/11/04 09:47:11| Processing: debug_options rotate=7
2017/11/04 09:47:11| Processing: shutdown_lifetime 3 seconds
2017/11/04 09:47:11| Processing: acl localnet src  200.198.3.0/24
2017/11/04 09:47:11| Processing: forwarded_for on
2017/11/04 09:47:11| Processing: uri_whitespace strip
2017/11/04 09:47:11| Processing: acl dynamic urlpath_regex cgi-bin ?
2017/11/04 09:47:11| Processing: cache deny dynamic
2017/11/04 09:47:11| Processing: cache_mem 32768 MB
2017/11/04 09:47:11| Processing: maximum_object_size_in_memory 5120 KB
2017/11/04 09:47:11| Processing: memory_replacement_policy heap GDSF
2017/11/04 09:47:11| Processing: cache_replacement_policy heap LFUDA
2017/11/04 09:47:11| Processing: minimum_object_size 1 KB
2017/11/04 09:47:11| Processing: maximum_object_size 300 MB
2017/11/04 09:47:11| Processing: cache_dir ufs /var/squid/cache 51200 256 256
2017/11/04 09:47:11| Processing: offline_mode off
2017/11/04 09:47:11| Processing: cache_swap_low 90
2017/11/04 09:47:11| Processing: cache_swap_high 95
2017/11/04 09:47:11| Processing: cache allow all
2017/11/04 09:47:11| Processing: refresh_pattern ^ftp:    1440  20%  10080
2017/11/04 09:47:11| Processing: refresh_pattern ^gopher:  1440  0%  1440
2017/11/04 09:47:11| Processing: refresh_pattern -i (/cgi-bin/|?) 0  0%  0
2017/11/04 09:47:11| Processing: refresh_pattern .    0  20%  4320
2017/11/04 09:47:11| Processing: acl allsrc src all
2017/11/04 09:47:11| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  8080 3129 1025-65535
2017/11/04 09:47:11| Processing: acl sslports port 443 563
2017/11/04 09:47:11| Processing: acl purge method PURGE
2017/11/04 09:47:11| Processing: acl connect method CONNECT
2017/11/04 09:47:11| Processing: acl HTTP proto HTTP
2017/11/04 09:47:11| Processing: acl HTTPS proto HTTPS
2017/11/04 09:47:11| Processing: acl step1 at_step SslBump1
2017/11/04 09:47:11| Processing: acl step2 at_step SslBump2
2017/11/04 09:47:11| Processing: acl step3 at_step SslBump3
2017/11/04 09:47:11| Processing: acl allowed_subnets src 10.0.0.0/8 192.168.68.0/24 192.168.65.0/24 172.27.58.0/24
2017/11/04 09:47:11| Processing: acl unrestricted_hosts src "/var/squid/acl/unrestricted_hosts.acl"
2017/11/04 09:47:11| Processing: http_access allow manager localhost
2017/11/04 09:47:11| Processing: http_access deny manager
2017/11/04 09:47:11| Processing: http_access allow purge localhost
2017/11/04 09:47:11| Processing: http_access deny purge
2017/11/04 09:47:11| Processing: http_access deny !safeports
2017/11/04 09:47:11| Processing: http_access deny CONNECT !sslports
2017/11/04 09:47:11| Processing: http_access allow localhost
2017/11/04 09:47:11| Processing: request_body_max_size 0 KB
2017/11/04 09:47:11| Processing: delay_pools 1
2017/11/04 09:47:11| Processing: delay_class 1 2
2017/11/04 09:47:11| Processing: delay_parameters 1 -1/-1 -1/-1
2017/11/04 09:47:11| Processing: delay_initial_bucket_level 100
2017/11/04 09:47:11| Processing: delay_access 1 deny unrestricted_hosts
2017/11/04 09:47:11| Processing: delay_access 1 allow allsrc
2017/11/04 09:47:11| Processing: url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
2017/11/04 09:47:11| Processing: url_rewrite_bypass off
2017/11/04 09:47:11| Processing: url_rewrite_children 256 startup=8 idle=4 concurrency=0
2017/11/04 09:47:11| Processing: http_access allow unrestricted_hosts
2017/11/04 09:47:11| Processing: ssl_bump peek step1
2017/11/04 09:47:11| Processing: ssl_bump splice all
2017/11/04 09:47:11| Processing: http_access allow allowed_subnets
2017/11/04 09:47:11| Processing: http_access allow localnet
2017/11/04 09:47:11| Processing: http_access deny allsrc
2017/11/04 09:47:11| Initializing https proxy context
2017/11/04 09:47:11| Using certificate in /usr/local/etc/squid/serverkey.pem
2017/11/04 09:47:11| Initializing http_port 127.0.0.1:8080 SSL context
2017/11/04 09:47:11| Using certificate in /usr/local/etc/squid/serverkey.pem
2017/11/04 09:47:11| Initializing https_port 127.0.0.1:3129 SSL context
2017/11/04 09:47:11| Using certificate in /usr/local/etc/squid/serverkey.pem

Ola ramalave.

Criei uma regra no firewall impedindo qq acesso a https (porta 443) em 2 ip´s da minha rede.
Com isso, o windows não consegue atualizar.
Seguindo sua sugestão, criei um aliases da forma que indicou, coloquei tanto no bypass, quanto nas regras do firewall, e mesmo assim esses dois ip´s não atualizam.
Alguma idéia de onde estou errando?
Obrigado.