@jimmyaa: Estou com o mesmo problema, alguem ja conseguiu a solução? Tambem estou com o mesmo problema. alguem achou alguma solução ?

Obrigado por responder Bruno vou ver aqui e posto os resultador forte abraço.

Olá! Não vou puxar citação, mas Bruno Pinheiro, obrigado pelas explicações bem elaboradas. Quando eu falei do "stateless" é que não há etapas de verificação como no TCP, então é mais difícil mitigar esse tipo de ataque. A verdade é que você deu uma resposta muito mais completa para o colega. Recomendo trocar o título desse tópico para "Como lidar com ataques DDoS UDP Spoofing no PFSense" e pedir para o Marcelloc adicionar aos tutoriais.

Bem provável de ser mesmo. Irei fazer esta alteração e testar. Desde já agradeço.

Tranquilo. Tem no fórum nos tópicos fixos como fazer a interceptação SSL. Teria que testar pra ver se faz o cache, nunca testei.

Executou os dois ping simultâneos :P , tranquilo, consegui entender aqui. O endereçamento parece esta correto. Fernando, mais um teste para isolar o problema. Faça o seguinte: Navegue até "Firewall > Rules > vlan70" e adicione um regra bloqueando protocolo ICMP de any pra any; aplique Faça isso na vlan80 também; aplique COLOQUE ESSAS REGRAS NO TOPO DE CADA INTERFACE NÃO ESQUEÇA. Agora repita os passos anterior, mas dessa vez ping um espere acabar e logo depois pingue o outro. @Bruno: 1- Abra duas sessões ssh do pfsense; 2- Na primeira sessão, execute o seguinte comando: tcpdump -ni re0_vlan80 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan80.txt 3- Na segunda sessão, execute o seguinte comando: tcpdump -ni re0_vlan70 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan70.txt 4- Na maquina 172.16.4.103, execute um ping para 192.168.1.127; ping 192.168.1.127 -n 10 5- Na maquina 192.168.1.127, execute um ping para 172.16.4.103; ping 172.16.4.103 -n 10 3- De volta aos terminais, pressione a sequencia de teclas Control + C. Post aqui os dois arquivos. aguardo os logs, att, Bruno Pinheiro

Legal, veja bem, quando você utiliza protocolos que fazem uso de métodos  HTTP (http, https, ftp, etc…), essas conexões podem ser trafegadas por proxy (caso você tenha um configurado). Então a filtragem é feita no proxy e não no firewall. Quando se utiliza proxy ativo, tudo do navegador passa em um túnel proxy (mais ou menos essa analogia). Então o firewall não vai enxergar o IP do banco do brasil ou do itau por exemplo. O firewall vai enxergar somente a conexão do proxy ex: 192.168.1.1:3128. E os dados desse tunel vai ser entregue na camada superior. Sendo assim, você vai fazer o bloqueio e liberação na camada da aplicação, no caso o proxy. Então faça a liberação no proxy filter. qualquer duvida estamos aqui. att, Bruno Pinheiro.

Aconselho fazer o seguinte: 1 - Utilize o Moden da Speedy como Router com ele mesmo fazendo a autenticação no serviço pelo IP fixo que recebeu para configurar. 2 - Configure a WAN do PFSense para acesso a internet. 3 - Coloque o IP que utilizou na WAN do PFSense no DMZ do Router para facilitar qualquer configuração para acesso externo como por exemplo: Terminal Services ou DVRs Faço isso sempre quando o provedor de acesso instala aqueles roteadores integrados com Moden e nunca tive problema, fica como se o próprio PFSense estivesse logando no seu serviço de internet.

@Tomas: Para minhas necessidades o Lightsquid atende bem. O Sarg é mais completo. Vai ter que testar mesmo! rs estou testando o Sarg .. :P

Está tudo no padrão. Já testei de todos os modos. Com -1/-1 ou com outro valor e nada. Vou fazer mais testes.

@gst.freitas: gostaria de saber essa configuração de bloqueio de streamming de vídeo, solução igual só vi via fortigate. Boa tarde. Uso o Shallalist. Coloca a url no blacklist e baixa. Se já houver um blacklist, remova-o. http://www.shallalist.de/Downloads/shallalist.tar.gz E habilite e configure o Layer7 em Firewall - Traffic Shaper.

@maiquel_adam: ele sai sem proxy proxy transparente Sai com proxy e esse proxy é transparente na porta 8080, certo? Mas o seu problema não é proxy pelo que percebi. Mande a saída dos seguintes comandos no terminal (se puder anexar no bloco de notas é melhor.) netstat -rn pfctl -sn aguardo, att, Bruno Pinheiro

Então Cristiano, ainda não achei como isso acontece especificamente, mas é mais ou menos assim. O navegador precisa receber uma reescrita de url do proxy (pag de erro do proxy), mas ainda não sei como, por essa conexão chegar criptografada no proxy, ele não consegue enviar a pagina de erro. Acho que isso é padrão do protocolo para evitar ataque "man in the middle". Nós entendemos que voce quer usar proxy ativo, mas para você ter sua pagina de erro para acesso de sites https bloqueado, você precisará ativar o bump-ssl (–enable-ssl) o mais conhecido https transparente. (eu acho que não vale a pena no seu cenário). att, Bruno Pinheiro.

Valeu pessoal, vou testar e qualquer coisa posto aqui! Abs.  ;D

Irei verificar esta possibilidade. Acabei fazendo uns teste de madrugada e descobri o problema. Estou utilizando um appliance ServerU, sendo que o PFsense esta instalado no cartão flash, e tenho outro hd SATA no appliance para gravar os logs e cache. Quando criei os diretórios do logs e cache do squid+SquidGuard não me atentei as permissões de diretório que tem que estar com o grupo proxy:proxy (squid) para o outro HD. Fiz a alteração e funcionou. Fica a dica Agora falta eu descobrir para alterar o arquivo squid_monitor.php para mostrar em tempo real no PFSense os logs pelo shell sei que ta rodando Obrigado

Pra falar a verdade não sei se precisa fechar.