certo obrigado pelas dicas pessoal

Obrigado Henrique. Mas minha questão sobre usar ou não usar ainda permanece. Quais vantagens e desvantagens!

brunomota.silva, sem querer ser antipático ou chato, mas vc já leu os tópicos básicos do pfsense? Primeira coisa, leia o básico para entender as funções do firewall, depois foque na parte de proxy transparente, não transparente, autenticado e quais as ferramentas para filtragem que você vai usar, como Squid+Squidguard e o Sarg para gerar relatórios. Isso seria o básico. Bem provável que você vai se deparar com problemas quanto sites que trabalham com SSL, você terá que partir para configurações mais complexas (nem tanto) para contornar essas brechas. Então é isso, comece a ler o básico, leia os tópicos e mais tópicos desse fórum, ele que tem muita coisa interessante. Prepare bastante café  ;)

Segue mais um fornecedor de HARDWARE interessante, ainda não utilizei mas o importante é registrar: http://www.swh.net.br

@Lucas: nao confio muito no virtualbox para ambientes de producao, se possivel tente usar o xenserver ou o esxi para virtualizar o pfsense, creio que agora pode estar ai seu problema.. Voce pode me passar o link correto da aplicação esxi que você está me passando? Entrei no site mais tem varias opções… Ele é free ? Instalo ele no boot da maquina ou com o servidor iniciado? Vlw.

Resolvido coloquei o modem com IP fixo em Bridge, e na interface coloquei o IP fornecido pela net com /25 (pois a net usa subnetmask 255.255.255.128 e adicionei o Gateway fornecido pela Net, funcionou tranquilo. Obrigado! Josemberg

Com grande ajuda do ilustre amigo Alexandre Aguirre  grupo do facebook https://www.facebook.com/groups/499414146739770/ consegui resolver a questao no que tange ao acesso externo ao pfsense e a liberação das portas, onde foi necessario fazer umas configurações na DMZ do modem da net (Arris) e fazer as seguintes regras. 1 Primeiro fazer a DMZ dos modens 2 fazer a NAT para cada Link que ira acessar externo 3 verificar se o firewall dos modens tiver ativo tem q desabilitar Ou seja, meu muito obrigado a este grande profissional Alexandre Aguirre, sem suas informações e ajuda acho que ficaria batendo cabeça mais uns 20 dias.

Eu acho mais fácil instalar o snort para detectar ataques e também preveni-los. Na GUI do pfsense na parte de logs em system também mostra alguns detalhes.

@Lucas: verifique a posicao da regra no seu firewall, as regras funcionam de cima para baixo, ou seja, o que estiver acima vai ser a primeira aplicada… verifique também se nao esta setado proxy (se vc usa) nesse equipamento, se estiver tudo vai sair pelo link do proxy.. Olá Lucas, obrigado pela pronta resposta. Achei o problema e vou compartilhar aqui, caso alguem tenha dúvida parecida. Meu pfSense possui várias Vlans e a Vlan em que se encontrava as máquinas era a Vlan1, logo as regras deveriam ser feitas nessa aba. A ponto que o Lucas tocou também é importante, se ela tiver abaixo da regra que aponta todo mundo para o Gateway padrão, também não funcionaria. Obrigado pela ajuda.

Bom dia Lucas obrigado pela dica , coloquei do google e ainda tive que marcar essa opcao abaixo Do not use the DNS Forwarder as a DNS server for the firewall obrigado pela ajuda abs Marcos

a regra de LAN fica assim: IPv4 * alias_ip_slan * alias_ip_destino * gateway_que_precisa none

@faustovianna: Obrigado Reginaldo! A proteção da tela funcionou, mas não entendi como o squid3 e o squidguard3 bloqueia o https…, fiz os bloqueios do facebook e youtube por ips mesmo, tem como você me explicar melhor? Mais uma vez obrigado! Boa tarde, também sou novato aqui no fórum mais com a ajuda do pessoal e muita pesquisa consegui fazer rodar tranquilo o pfsense com squid3-dev+squiguard3 bloqueando tudo que quero. Primeiro aconselho a usar o squid3-dev que é encontrado aqui: https://forum.pfsense.org/index.php?topic=62263.0 ele que fará o controle de filtro do protocolo http e https, com ele somado ao squidguard3, vc só precisará utilizar alguma blacklist, e posteriormente bloquear facebook, youtube ou o que desejar somente selecionando eles nas categorias de bloqueio da blacklist, é só atualizar a blacklist sempre que começar a passar os sites bloqueados pelo bloqueio, foi o meio mais fácil e prático que encontrei pra controle de acesso a internet na empresa onde trabalho.

Olá Rogério, Tenho essa regra em meu firewall e funciona. Só criei um ALIAS FTP com as portas 20 e 21. WAN 188.8.8.88 IP FTP Server 172.16.0.5 TELEFONICA TCP/UDP * * 188.8.8.88 FTP (20,21) 172.16.0.5 FTP (20,21)  - Crie

Tem essa opção, caso tenha rotas estáticas configuradas no seu firewall. System: Advanced: Firewall and NAT - marque essa opção:  - Bypass firewall rules for traffic on the same interface.

para usar a internet de cada filial creio que vai precisar um server em cada.. a autenticacao ate funciona centralizada.. mais o bloqueio acredito que nao..

crie dois alias, um com ip origem e outro com ip destino.. faca a regra com esses alias, coloque ela antes das demais no seu firewall.. dessa forma a origem "alias x" tem permissao de saida na porta espeficica para os ips do "alias y"

o gateway do terminal é o ip lan do pfsense?

ainda esta meio confuso, essa estacao windows ira receber a conexao externa ou ira fazer uma conexao para um host externo? se ela for fazer a conexao, crie um alias com os ranges de ips que precisa, e faca uma regra de firewall (LAN) liberando as portas e protocolos que precisa do ip da estacao para o alias que vc criou..  se ela irá receber a conexao, ai a regra é NAT fazendo o redirect da portas e protocolos que precisa..

Problema resolvido, temos o kaspersky 10 em nossa rede e nos servidores onde não conseguia pingar ele estava com o firewall ativo, foi desativar e os problemas se resolveram. Agora consigo adicionar a maquina remota ao dominio na matriz. Obrigado