Olá! Ja vi casos assim onde as placas de rede eram 10/100. Lembre-se, as placas de rede do seu PFSense precisam ser Gigabit dos dois lados, na WAN e na LAN.

@Sidaum: Olá sou adm de redes windows mas sou novo com  Free BSD e PFsense, tenho um cenário parecido com o seu. Temos 1 link dedicado de 2Mb GVT e ADSL GVT 50Mb como Wan Principal. Quando tínhamos somente a dedicada, consegui publicar nosso servidor FTP, que roda em um dos servidores com windows server 2012, o server roda com ISS 8 e está em modo passivo, usando as portas de 5000 a 5020, publiquei sem problemas. Após uma queda de energia a maquina ndo firewall queimou, tivemos q trocar e logo em seguida chegou nossa ADSL, fiz as configurações de Load Balance dos links e FailOver. Porem não consigo publicar mais o FTP. Esses códigos que você colocou eu não faço ideia onde devo usa-los e se é só trocar as portas pelas portas usadas em nosso servidor. Seria pedir muito se vc colocasse umas imagens das suas regras e configurações? Aguardo ansiosamente. Obrigado desde já. Sidaum, primeiro verifique se existe uma regra de redirecionamento das portas passivas e da porta 21 para seu IP interno do servidor FTP em Firewall -> NAT. FailOver, balanceamento não interfere no seu problema. Pesquise aqui no Forum sobre redirecionamento de porta, é bem simples

Segmebta a rede com vlans, fica muito melhor e mais seguro que picotar faixas no mesmo segmento de rede.

Com o proxy na mesma máquina do firewall, só com floating rules

Olá Marcello Não tem proxy e coloquei a regra no topo da lista

Sugiro uma configuração com o return DIRECT só por garantia function FindProxyForURL(url,host) {         if (url.substring(0, 6)=="https:")             return "PROXY 10.0.4.1:3128"; return "DIRECT"; }

verdade, misturei tudo.. rsrsrs nao tenho especificamente essa NAT, tenho outras funcionando, mais ja utilizei NAT com DVR em outras situacoes, lembro que precisei fazer NAT de portas UDP tambem senao nao mostrava video, era uma necessidade especifica do DVR que estava utilizando nao lembro agora qual a marca ou modelo dele

Obrigado LCavalcante, sobre a data eu havia notado, somente esta informação  que marquei me deixou duvidas sobre trazer algo de diferente na compilação.

Renato, obrigado mas eu já usei a versão 2.1.1 e tive alguns problemas que impediram que eu continuasse a utulizar esta versão. Grato!

Realmente com SSHDCOND funcionou.. obrigado

tive problemas parecidos, pra resolver tive que liberar no firewall os ips do servidor q hospeda meus e-mails e no squid o dominio em whitelist, porem se vc usa exchange o problema é bem maior, pois ele funciona de forma diferente de contas pop/imap

ola marcelloc, ja havia conseguido resolver, realmente era o pvid, mesmo assim obrigado pela resposta!

@amaica: devo adicionar esse apontamento de gateway em cada regra? Na lan(trafego saindo) sim, na wan(trafego entrando) não.

Não use a mesma faixa de ip da WAN na LAN.

@JonCkt: Por acaso, alguem teria alguma ideia do que pode ser..? pois o problema está no squid, mas nao consigo descobrir o que é.. =\ Primeiros passos tcpdump access.log e cache.log do squid

redirect do squidguard. Se não estiver engadando, uma acl especifica para este site com um redirect no lugar de tela de erro. Outra alternativa é alterar o ip de destino do site via dns forward.

O primeiro passo é configurar o roteador em modo bridge ou colocar ele ligado em outra interface do pfsense. Depois desta configuração, você pode usar o squid(proxy configurado no cliente) ou o próprio captive portal(sem proxy configurado) para autenticar os usuários.

Como dica adicional, pesquise por configuração destes pacotes squid3-dev captive portal sarg

Coloque os hosts de destino deste serviço nas acls do squid para não exigir autenticação.

Se voce colocar na lan voce ira limitar toda a rede lan a 2M O que voce pode fazer é, criar um Alias com os ips que precisam estar com limite de 2M e depois criar uma regra apontando o Source(essa regra) e escolhe o limiter q criou. Caso voce queira q uma ou outra maquina nao faça parte desse limitador, só não inserir o ip no grupo acima.  Ou caso queira criar um outro limitador para outra maquina, faço o mesmo procedimento só que com outros valores