@marcelloc: Tente o mais simples, configure o etc/hosts do pfsense para responder o nome do servidor no ip interno. Olá Marcelo, Essa configuração que o colega Robson fez no DNS_Forward é justamente isso que você indicou. Quando adiciona-se uma entrada manual no DNS_Forward, esta é gravada diretamente no /etc/hosts. Se no terminal voce executar o comando cat /etc/hosts , verá que a entrada supracitada, consta no arquivo. Para testes, se eu permitir o nat + proxy, em Firewall / NAT, funciona, mas não sei se essa é a forma correta Caro Robson, o nat + proxy é sim uma das soluções, mas eu recomendo fazer uso de um servidor DNS para isso (se possível dedicado) encontrei muitas informações sobre performance do proxy a respeito disso. Em fim, faça o seguinte teste em seu cliente e servidor e verifique se ambos respondem o IP interno. Cliente: ping intranet.dom.com.br Pfsense: ping intranet.dom.com.br Verifique também a ordem de consulta do pfsense: cat /etc/resolv.conf a saída deste comando deve ser mais ou menos assim domain domain.local nameserver 127.0.0.1 nameserver X.X.X.X Verifique também em "Services > DNS Forwarder > Interfaces" se a interface Localhost está marcada para ouvir requisições. Agora não lembro se quando utiliza-se proxy transparente, ele resolve o dns a partir do cliente para chegar no gateway e ao chegar no proxy ele faz uso da mesma resolução ou se ao chegar no proxy, o proxy faz uma nova requisição dns para o domínio solicitado. Vou ler a respeito, aguardamos suas respostas att, Bruno Pinheiro.

Ola estou com um problema com face aqui também, fiz bloqueio por esses mesmos endereços na alias, mas mesmo assim esta passando, mas sinceramente eu não cheguei a reiniciar. Verifique essas questões no meu ultimo post do tópico abaixo, caso você faça uso de um proxy server. https://forum.pfsense.org/index.php?topic=69380.msg435393#msg435393 att, Bruno Pinheiro

Roger, boa noite! De que forma você está tentando acesso (Ex: WEB, VPN, ssh)? Enquanto ao local de acesso, quando você não consegui, dar algum erro? Será que na rede você origina o acesso está bloqueada. Da rede bloqueada faz o seguinte teste: "telnet ipdestino: porta de acesso" e veja se dar erro. Se possivel, detalhe mais…

Pessoal consegui resolver.. Alterei a regra em firewall -> NAT -> portforward Porém alterei no final da regra em "filter rule association" para "pass" antes estava "add associated filter rule", em outro firewall que tenho está assim, e funciona. Desta forma não foi criado a regra em firewall -> rules -> WAN que associa o NAT. Queria saber se tem algum problema deixar "PASS" em "filter rule association"? [image: 1.JPG] [image: 1.JPG_thumb] [image: 2.JPG] [image: 2.JPG_thumb]

Mesmo problema aqui se eu configuro a proxy da bypas no captive to usando o squid3-dev 3.3.10 pkg 2.2.6

@jimmyaa: Estou com o mesmo problema, alguem ja conseguiu a solução? Tambem estou com o mesmo problema. alguem achou alguma solução ?

Obrigado por responder Bruno vou ver aqui e posto os resultador forte abraço.

Olá! Não vou puxar citação, mas Bruno Pinheiro, obrigado pelas explicações bem elaboradas. Quando eu falei do "stateless" é que não há etapas de verificação como no TCP, então é mais difícil mitigar esse tipo de ataque. A verdade é que você deu uma resposta muito mais completa para o colega. Recomendo trocar o título desse tópico para "Como lidar com ataques DDoS UDP Spoofing no PFSense" e pedir para o Marcelloc adicionar aos tutoriais.

Bem provável de ser mesmo. Irei fazer esta alteração e testar. Desde já agradeço.

Tranquilo. Tem no fórum nos tópicos fixos como fazer a interceptação SSL. Teria que testar pra ver se faz o cache, nunca testei.

Executou os dois ping simultâneos :P , tranquilo, consegui entender aqui. O endereçamento parece esta correto. Fernando, mais um teste para isolar o problema. Faça o seguinte: Navegue até "Firewall > Rules > vlan70" e adicione um regra bloqueando protocolo ICMP de any pra any; aplique Faça isso na vlan80 também; aplique COLOQUE ESSAS REGRAS NO TOPO DE CADA INTERFACE NÃO ESQUEÇA. Agora repita os passos anterior, mas dessa vez ping um espere acabar e logo depois pingue o outro. @Bruno: 1- Abra duas sessões ssh do pfsense; 2- Na primeira sessão, execute o seguinte comando: tcpdump -ni re0_vlan80 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan80.txt 3- Na segunda sessão, execute o seguinte comando: tcpdump -ni re0_vlan70 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan70.txt 4- Na maquina 172.16.4.103, execute um ping para 192.168.1.127; ping 192.168.1.127 -n 10 5- Na maquina 192.168.1.127, execute um ping para 172.16.4.103; ping 172.16.4.103 -n 10 3- De volta aos terminais, pressione a sequencia de teclas Control + C. Post aqui os dois arquivos. aguardo os logs, att, Bruno Pinheiro

Legal, veja bem, quando você utiliza protocolos que fazem uso de métodos  HTTP (http, https, ftp, etc…), essas conexões podem ser trafegadas por proxy (caso você tenha um configurado). Então a filtragem é feita no proxy e não no firewall. Quando se utiliza proxy ativo, tudo do navegador passa em um túnel proxy (mais ou menos essa analogia). Então o firewall não vai enxergar o IP do banco do brasil ou do itau por exemplo. O firewall vai enxergar somente a conexão do proxy ex: 192.168.1.1:3128. E os dados desse tunel vai ser entregue na camada superior. Sendo assim, você vai fazer o bloqueio e liberação na camada da aplicação, no caso o proxy. Então faça a liberação no proxy filter. qualquer duvida estamos aqui. att, Bruno Pinheiro.

Aconselho fazer o seguinte: 1 - Utilize o Moden da Speedy como Router com ele mesmo fazendo a autenticação no serviço pelo IP fixo que recebeu para configurar. 2 - Configure a WAN do PFSense para acesso a internet. 3 - Coloque o IP que utilizou na WAN do PFSense no DMZ do Router para facilitar qualquer configuração para acesso externo como por exemplo: Terminal Services ou DVRs Faço isso sempre quando o provedor de acesso instala aqueles roteadores integrados com Moden e nunca tive problema, fica como se o próprio PFSense estivesse logando no seu serviço de internet.

@Tomas: Para minhas necessidades o Lightsquid atende bem. O Sarg é mais completo. Vai ter que testar mesmo! rs estou testando o Sarg .. :P

Está tudo no padrão. Já testei de todos os modos. Com -1/-1 ou com outro valor e nada. Vou fazer mais testes.

@gst.freitas: gostaria de saber essa configuração de bloqueio de streamming de vídeo, solução igual só vi via fortigate. Boa tarde. Uso o Shallalist. Coloca a url no blacklist e baixa. Se já houver um blacklist, remova-o. http://www.shallalist.de/Downloads/shallalist.tar.gz E habilite e configure o Layer7 em Firewall - Traffic Shaper.