bom galera consegui fazer o que eu queria. para quem quiser segue o que eu fiz. Maximum download size - 0 Maximum upload size - 0 Overall bandwidth throttling - 100 Per-host throttling - 20 ou seja cada usuario vai fazer download nessa faixa.. Squid Transfer Extension Settings - aqui tbm voce configura marca tudo e no campo onde tem pra colocar outras extesoes vc adiciona o que vc desejar salva e testa la.. aqui foi de boa.. abraco isso foi meu exemplo vcs podem testar com os valores que deseja.

@eumesmoluiz: Fiz assim: 40 12 * * * root /bin/sh "/usr/local/bin/squidGuard -k reconfigure" O binário a ser chamado é o squid, não o squidguard. O squidguard é apenas um helper do squid.

@gst.freitas: ,falando regra de saída com o load balance/fail over. Ou um ou outro de acordo com a sua necessidade. Um load balance sempre agirá como fail over caso um dos links fique offline.

O grande ponto a corrigir é habilitar o softupdate na participação de log e cache. Você pode fazer isso, reinstalando, dando boot com o live cd ou instalando um segundo disco. Os procedimentos de melhora de performance de disco estão nos tutoriais.

Seguindo o modelo da regra que você desabilita, crie uma antes desta permitindo o seu ip.

@Joelsonxxl: tem como eu fazer uma rota da minha lan para o meu appliance  no pfsense ? acho que desse jeito seria mais facil. Dá sim, mas você vai precisar segmentar sua rede(uma faixa na wan e outra na lan)

Infelizmente este é mais um tópico que foi aberto sem um mínimo de pesquisa. Nos tutoriais de pacote tem um link específico para este assunto Servidor Proxy(transparente) fora do pfsense Mas de qualquer forma, vou fixar o trabalho do FabianVitali nos tutoriais também.

Pessoal, fuçando mais um pouco Internet afora encontrei a resposta! Também editei o título pra que fique mais fácil caso outros precisem dessa solução. Seguinte, pra dar bypass num IP específico através do script WPAD basta adicionar esta linha ao script: if (myIpAddress() == "xxx.xxx.xxx.xxx") { return "DIRECT"; } Obviamente "xxx.xxx.xxx.xxx" deve ser substítuido (mantendo as aspas) pelo endereço IP que você quer fazer passar direto. Obs.: Pude ver em mais de um site que há ressalvas ao uso desta função (myIpAddress), alegando que ela pode retornar o IPv6 da máquina ao invés do IPv4, o que não é suportado pelo WPAD/PAC. Ou ainda, que ela pode retornar um endereço IPv4 diferente do esperado, caso haja mais de um na máquina. Por fim, há o risco de ele retonar "localhost" ou "127.0.0.1" como endereço: há um tratamento para isso no artigo da Wikipédia (http://en.wikipedia.org/wiki/Proxy_auto-config) sobre o assunto, mas esse tratamento resolve o problema apenas no Internet Explorer 9 ou superior. O que posso dizer é que nos meus testes tudo funcionou como esperado: hosts que estavam configurados da forma acima passaram direto pelo proxy,  e os que não estavam foram barrados. De qualquer forma obrigado a todos, tenho aprendido muito aqui!

Muito obrigado pela força. Só hoje tive tempo de trabalhar com o servidor novamente. Deu tudo certo. Valeu mesmo. Como faço para editar o post e marcar como resolvido?

Já bloqueou acesso sem proxy para as estações? Instalou o filtro de ssl?

@marcosjost: QUanto a minha outra opção é possivel? Usar a interface lan mesmo para sincronia do faillover com carp? Não é recomendado mas é possível sim.

@LFCavalcanti: @ignti: segue prints para identificar. O erro de SSL não estaria relacionado com o certificado usado pelo PFSense? Tente importar a CA ou o Certificado e teste. não entendi!!  ??? como assim importar? pode ser mais claro amigo?

Obg! marcelloc Vou tentar aki, qualquer coisa volto ao forum. abs!

@TicoDePano: @pedrolima88: poxa nem sabia do pfblocker. Valeu Marcello, nao tinha colocado a fonte. Obrigado tambem por inserir como code. Em referencia aos 201 , tem 201 pra caramba ai cara,  da uma checada melhor. Aproveitando, como foi um trabalho danado criar e subir o alias, estou psotando o codigo aqui do alias do xml ja alocado na horizontal. no último post realmente tem um monte de 201.x.x.x mas postei antes disso, sobre o primeiro post que não tem nenhum Realmente Tico, agora que vi. Acho que na hora de editar, comi alguns numeros. rs ] valeu abcs1

@Renato: Nunca tinha feito isso no pfSense, mas já fiz em FreeBSDs, então fiquei na dúvida. Qual seria o problema de habilitar o soft-updates em uma partição do pfSense? Fiz um teste aqui seguindo esses passos e não encontrei nenhum problema. Valeu Renato. Na época tentei vários metodos e tutoriais sempre sem sucesso. Vou fixar este procedimento nos tutoriais de configuração.

Se o sistema utiliza o protocolo SIP, a porta padrão é a 5060, porém, existem as portas UDP usadas para Streaming de Audio e Video, para obter essas portas é preciso pegar na configuração do sistema de VoIP. Em geral depois só criar as regras de Firewall e NAT liberando estas portas.

@zilmar: Galera, Eu ouvi de um cara que trabalha na área de redes do Facebook aqui no Brasil e ele comentou que enquanto um usuário está conectado com o FB, ele mantém uma sessão TCP aberta. Acho que é por isso que esse problema ocorre. Alguém sabe algo a mais sobre isso? Sim, ele mantém uma conexão TCP ativa, porém, se me lembro bem, quando você aciona uma regra que bloqueia pacotes, ele vasculha a tabela de conexões e derruba as conexões que a regra determina.

Com um proxy reverso, você pode direcionar para outro virutal directory no IIS com autenticação habilitada.