natioli você pode utilizar o tcpdump e o iftop para monitorar essas conexões no PF  com tráfego de origem de um dispositivo que saiba o IP, assim verificar as portas e endereços de conexão. utiliza o DIG para maiores informações sobre os domínios de interesse.

Obrigado pelo help Marcello, Comecei a verificar e me deparei com alguns itens (hehehe)…. Tenho dois servidores com o PFSENSE na mesma versão 2.1-RELEASE (i386). No servidor que está apresentando o problema na opção de Tables tenho mais de 3mil entradas, no outro servidor tenho só 10. Acredito que o problema já esteja ai. Dúvidas: Essas várias entradas, são corretas? Como que funciona esse repositório de atualizações? Verifiquei que o range de IPS do Provedor está na lista, caso eu edit o arquivo (Seria correto?), quando atualizar o mesmo vai sobrescrever? Obrigado, Abraços [image: 0001.png] [image: 0001.png_thumb] [image: 0002.png] [image: 0002.png_thumb]

Teste em ambiente separado antes. Os pbis para os pacotes tem problemas sérios na 2.2 e vão deixar de existir somente na 2.3.

@jhones.petter: Peguei dois bugs no cenário que utilizo, Squid e SquidGuard. Use o squid3.

@marcelloc: @doguibnu: Da mesma forma está configurado o ftp. Porém, se algum usuário da rede MPLS tentar acessa-lo, ele até pede usuário e senha, ao inserir ele fica um bom tempo tentando e acaba por não conseguir. Alguém teria alguma sugestão ou sabe porque ele não permite que usuários da rede mpls se conectem ao ftp? A propria definição do protocolo pode te ajudar. O seu relato indica que você acertou o nat apenas da porta de comandos(21), falta fazer/acertar a publicação da porta de dados e modo de acesso ao ftp(ativo ou passivo). Veja os outros tópicos sobre ftp aqui do fórum, esta é um dúvida bem frequente. Olá Marceloc! Tudo bem? Eu verifiquei alguns post e também o manual do PFsense. O pfsense pede para ativar o modo pasv no servidor onde está o ftp e configurar um range de portas altas e então configurar uma Nat com a porta do ftp e outra com o rage de portas altas. Outros também dizem pra configurar o NAT 1:1. Configurei o vsftpd : pasv_enable=Yes pasv_address=10.x.x.x pasv_min_port=20000 pasv_max_port=20999 Mas estou meio perdido pra configurar os rages no pfsense ou a Nat 1:1. Bom, de qualquer forma obrigado pela atenção e continuarei pesquisando! Douglas

Senhores bom dia problema resolvido. oque foi feito: 1 - desabilitado a regra de redirect gui em SYSTEM>ADVANCED>ADMIN ACESS ( ou seja, assim liberamos a porta 80 ) 2 - No mesmo MENU, em FIREWALL/NAT, campo NAT modo Enable(NAT+PROXY) 3 - Adicionar a regra NAT, no MENU FIREWALL>NAT, nota use o ip virtual( ip alias)na opção Destination e na opção,  4 - Na opção NAT reflection  selecione ENABLE PURE NAT 5 - Na opção Filter rule association, marque como Pass Crie a regra de firewall na aba correspondente manualmente e pronto Observação, para caso de quem tem apenas um endereço válido, todas essas alterações não são necessárias.

@avner_ads: reinaldo.feitosa A opção está desmarcada, mas em Proxy Server > Custom Options tinham algumas configurações personalizadas de Refresh Parttern. Que me parece fazer exatamente o que você tinha dito: refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/..(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims; range_offset_limit -1; refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/..(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims; range_offset_limit -1; refresh_pattern ([^.]+.|)avg.com/..(bin) 4320 100% 43200 reload-into-ims; refresh_pattern ([^.]+.|)spywareblaster.net/..(dtb) 4320 100% 64800 reload-into-ims; refresh_pattern ([^.]+.|)symantecliveupdate.com/..(zip|exe) 43200 100% 43200 reload-into-ims; refresh_pattern ([^.]+.|)avast.com/..(vpu|vpaa) 4320 100% 43200 reload-into-ims; Não sei dizer porque tinham colocado isso, pois comecei a administrar esse PF recentemente. uelitonjunior Por mim o tópico pode ser classificado como Resolvido. Exatamente as regras para cache de download dinâmicos

Luiz não consegui entender o que você fez para resolver o problema. Poderia postar um print para nos ajudar aqui? Obrigado.

@vipersbr: Para aqueles que tiverem a mesma dúvida ou problema, segue o que fiz. O Squid3 + Squidguard na versão do pfsense 2.2.1 não funciona com a opção "Redirect Mode" habilitada para "ext url redirect", agora você terá que habilitar para a função "int error page". esse "int error page" aponta para o arquivo sgerrord.php que fica dentro de /usr/local/www basta editar esse arquivo conforme queira, eu usei o exemplo do post: https://forum.pfsense.org/index.php?topic=51016.0 obrigado! Vipersbr… Vc conseguiu retornar a pagina de erro tanto para bloqueios HTTP quanto HTTPS???? Para paginas http funciona normalmente, mas quando o bloqueio é para páginas https o erro continua... abs

@reinaldo.feitosa: libera a url do video da receita sem liberar o youtube colocando a regra em whitelist. Coloque a url em url list de uma target que está em whitelist, pois o video da receita está hospedado no youtube e não tem .gov.br e para não liberar tudo no youtube tem que liberar só a url do vídeo Obrigado reinaldo. Era o óbvio ululante!!! Funcionou perfeitamente. abs

@Bruno: Onde se lê: redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u leia-se: http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u Bruno. A sua dica funciona quando a página bloqueada está usando o protocolo HTTP… se ela usa o HTTPS nenhuma pagina de erro é retornada... Vc consegue retornar a pagina de erro nos 2 casos? (usando proxy não transparente .. com proxy transparente + filtro ssl ativo + certificado funciona)

Tenho um cenário parecido, mas com 3 LAN, sendo duas com o captive portal. Posta a configuração do captive portal para analisar

tenta verificar pelo log da interface web se aparece algum bloqueio Status->System Logs guia firewall

Pular o proxy não vai. O erro acontece porque o certificado não esta assinado por nenhuma certificadora autorizada. Esta é uma dúvida que tenho, inclusive já coloquei aqui no fórum mas ninguém me esclareceu ainda. Se eu comprar um certificado assinado pela certisign resolve o problema de não ter que instalar o certificado em casa estação? Conseguiria abrir normalmente em dispositivos móveis (android/IOS)?

Ouvi no forum que a versão 32bits não está 100%, que era pra testar na versão 64.