Boa tarde, consegue resolver Rafa as portas estavam liberadas mais não tinha nenhum serviço rodando nelas ainda…Obrigado a todos

Da 2.1 até a 2.2, os pacotes ficam dentro de /usr/pbi.
Pesquise sobre backup bacula no Freebsd. Acho que vai servir para o pfSense também.

Não esqueça de fazer o backup do config.xml.

Pois é, parece uma limitação, tentei aplicar um limite de link tanto na regra nat quanto em uma regra na interface lan, mas sem sucesso ….

Olá Victor,

Não estava sim, porque criei uma interface específica para esta comunicação entre pfSense e Fortigate via RIP, mas deu certo já, não sei ao certo o que rolou, mas mudei o cenário botando dois pfSense 2.2.6 e vi outro vídeo no Youtube com um cara configurando uma rede com RIP, usando 3 pfSense.

Abraço !

@rvl:

Da uma olhadinha nesse topico que eu respondi para ver o que eu fiz.

https://forum.pfsense.org/index.php?topic=91670.msg507463#msg507463

Cara! Obrigado. Vou dar uma olhada sim!

Coloca um php nessa url de redirect.
A idéia dela é mostrar uma página de erro, não um acesso para outra página.

Esse site eu conhecia já…

Porém, não é o que eu preciso... to querendo bloquear so os vídeos...

Mas obrigado rvl.

@WILLINUX:

php-fpm[38848]: /pkg_edit.php: Checked cron job for /usr/bin/nice -n20 /usr/pbi/squidguard-amd64/etc/rc.d/squidGuard_logrotate, no change needed

Essa mensagem é de informação e não de erro. Procure no log do squid se aparece DENIED para o site em algum momento.

@rjdiniz:

Na porta 80 do pfSense acesso tranquilamente e manipulo o mesmo sem falhas, já a porta do Oracle, bem como outras (MS Terminal Server, ou até VNC usadas para teste) não consigo acesso de forma alguma! e já no Endian Firewall esta tudo funcionando perfeito, mas não tenho experiência com o mesmo!

Provavelmente você esta enviando o pacote para o servidor mas como ele tem o outro fw com gateway, o pacote não volta pro pfsense.

Você pode ou alterar o gw do servidor ou forçar um outbound nat no pfsense para chegar no server com ip do fw não do cliente externo.

Obrigado pela dica, poderia tirar uma dúvida qual está sendo seu consumo de memoria ram?

Consegui Resolver Via DNS criando um apontamento para o endereço da pagina de autenticação e deu certo.

@marcelloc:

@murilocamargo:

Existe algum problema em relação a segurança utilizando o certificado gerado pelo pfSense?

Se deixar bem claro na politica de segurança da empresa que o trafego ssl é monitorado, não vejo problema. A boa pratica é sempre excluir sites de banco da interceptação

@murilocamargo:

Ex: Se alguém sniffar a minha rede, conseguira interceptar as informações.

Não. Só o proxy vai ter acesso ao conteúdo interceptado e no log ficam registradas as urls.

Entendi, então irei dar sequencia na configuração do SSL Man In the Middle Filtering e qualquer problema abro um novo Post.

Obrigado!!!

@santeLLo:

A função do WPAD é configuração automática de proxy, não tem ligação com autenticação. Logo, se seu proxy é transparente, não vai precisar distribuir a configuração de proxy nos navegadores.

Acrescentando: WPAD é o equivalente é marcar o proxy nos navegadores, isso é "proxy ativo", tem muita gente que chama isso de "autenticado" como santeLLo  mencionou.

Ou você vai usar proxy transparente ou ativo, o WPAD é uma das formas de usar "proxy ativo";

@marcelloc:

Configure o nat na fase2 do ipsec, não em outbound nat.

Marcelo, obrigado pela ajuda, tinha me esquecido deste detalhe. fiz o que você falou. Criei uma nova faze 2 com a rede dos servidores e colocando o VIP da Lan.

Valeu!!!

@Gydeon:

Eu só quero trocar o processador, no caso então posso trocar sem problemas?

Sim.

@brunorrjj:

esse é um dos sites

https://cav.receita.fazenda.gov.br/eCAC/publico/login.aspx

Disse verificar o certificado gerado pelo squid nesse site. Adianto que qualquer certificado gerado pela icpbrasil vai precisar da instalação da cadeia de certificados no fw e na estação para ser valido.

amigo,

como está a regra padrão de bloqueio do squidguard? aquela que fica em Commom Acl

nela as opções da ShallaList estão em branco ou estão setas como Deny?

Abraços,

Diego

aqui no meu caso criei duas target categories. Bloqueados e Liberados

em group ACL coloquei uma primeira de IPs Liberados.. essa é de quem tem sempre o IP liberado para todos os sites

Depois coloquei (em Groups ACL mesmo) a regra WorkTime em segundo. Nela deixei a target de bloqueio como deny e a de liberados como allow
no item time dela coloquei a minha regra de horario.
Em target rules ficou assim:
Target Categories -                Liberados=Allow  Bloqueados=Allow  Default Acces=Allow
Target Categories Offline -      Liberados=Allow  Bloqueados=deny  Default Acces=Allow
(nao uso shallalist)
Como a regra tem uma regra de horario definida, o SquidGuard vai ver em Target Categories como ele vai ler as regras dentro desse horario.
Em Target Categories OffLine, ele vai ver como deve ler as regras fora desse horario. Aí ali ponho o deny na target "Bloqueados"

Nesse meu caso, coloco regra para o horario de almoço, então, o pessoal tem bloqueio das 08:00 as 12:00.
das 12:00 até as 12:59 tem tudo liberado.
a partir das 13:00 voltam todos os bloqueios.

Testado e aprovado, não tenho problemas com essa regra.