Testei essa "Bypass firewall rules for traffic on the same interface" mas ela não faz efeito algum

Ok. Obrigado. Vou dar uma olhada

Legal cibernetico! Quando tiver concluído, será muito bem-vindo compartilhar o resultado com os demais colegas aqui do fórum. ;) Abraços! Jack

@Nelson: Meu pfsense acessava qualquer site http e a regra da porta 443 https estava criada porém não conseguia acessar nenhum site https.Depois de muito pesquisar descobri no caminho Firewall > NAT > Outbound que o modo estava manual quando alterei para automático consegui acesso em todos os sites https.  :D Nossa… deve fazer muito tempo que não apareço por aqui mesmo. Tomei um certo 'choque' com a mudança estética do fórum. Acho que sou conservador demais, já que preferia o design antigo! :) Em relação a sua colocação Nelson, isso realmente faz todo sentido... Nada como manter a tradução automática de endereçamento entre as redes (LAN e WAN). Certamente este era o problema e não as regras de fw! ;) Abraços! Jack

Isso na verdade é muito mais relacionado ao hardware do que ao software. Em teoria, o que o hardware suportar, é possivel "tunnar" ou customizar no Pfsense para se utilizar. Hoje temos placas de rede com suporte até 10Gbit. O kernel do FreeBSD (usado no Pfsense) tem suporte a essas placas.

Foi mal pessoal. Não tinha percebido que aliases de portas tem de estar no campo "destination port range". Vlw pela força.

@marcelloc: Só lembrando que ftp não é só porta 21. Você provavelmente estava passando pro problemas com o proxy de ftp. Complementando a informação do marceloc, Além da 21, temos a porta 20 no modo ATIVO ou portas altas (variaveis) no modo PASSIVO… Esse é o cara complicador quando se tem um ambiente com NAT. Antigamente, usava-se um proxy de ftp para gerenciar isso, hoje isso já vem padrão no modulo do pf (Packet Filter) e não precisa mais de um helper. Veja mais no link: http://doc.pfsense.org/index.php/FTP_Troubleshooting

@edge540: Boa tarde! Hoje fiz a atualização de um PFSense e verifiquei que existem algumas coisas diferentes na versão 2.0.3….o que me chamou a atenção foi a função LDAP Options dentro do Squidguard. Esta função habilita o SquidGuard a buscar os usuário direto nos grupos do AD depois de configurado as ACL Groups com ldapusersearch? Olá, o squidguard agora vem com uma customização na compilação do mesmo (patch) para filtrar expressões via ldap (incluindo AD). A filtragem é feita em tempo de execução, ou seja, assim que requisitada o filtro, o mesmo irá consultar na base AD. No mesmo momento que alterar alguma coisa na base ldap, você terá o resultado nos filtros (ACL). Veja mais detalhes nesses posts: http://forum.pfsense.org/index.php/topic,59246.msg342012.html http://forum.pfsense.org/index.php/topic,59242.msg344298.html

@darksyd: Obrigado pela ajuda sou novato no PFsense,  vou usar o PFsense para substituir duas soluções. 1. o BRMA que faz VPN S-2-S e redirecionamento de portas, (consegui no PFsense  a VPN com OpenVPN e Redirecionamento de porta Firewall: NAT: Port Forward). 2. e o ForeFront TMG 2010 que faz Proxy, filtro de conteúdo e Failover de 2 links (PFSense já fiz o proxy com squid e filtro com squidguard autenticando no AD por grupo, só as imagens proibidas q não consegui bloquear) o Failover que ainda não testei, também no PFsense já gera relatório com SARG. Estou querendo testar também Captive Portal para o WIFI e o controle de banda (Traffic Shaper). Resumendo..rsrsrs Cenario:- Isso para atender 2 sites conectados por VPN e com um domínio (4 ADs, 2 em cada site) e aproximadamente 800 usuários,  Site01 – 2 links de 10Mb Full e Site02 um link de 20Mb Full. Pacotes instalados:- Lightsquid, Open-VM-Tools-8.8.1, Sarg, squid e squidGuard. Serviços:- Proxy, Filtro de conteúdo, VPN Site 2 Site e client, Failover 2 links, Traffic Shaper e Captive Portal. Seria interessante ter esses serviços separados em 2 PFSNESES? Obs.: As soluções que estão funcionando é graças os tutorias do forum.pfsense.org. Eu pessoalmente separaria o Squid (proxy) se houver necessidade de gerenciar cache, trataria melhor a questão de gerenciamento de disco e aplicaria o ambiente em um FreeBSD puro mais tunado. Claro, isso depende da demanda do seu ambiente. Agora se for somente filtro, pode ir de boa com tudo num ambiente unico de Pfsense (com Failover)

Olá! Vá ao PFSense diretamente com teclado e mouse. Abra o console, abra o Shell e pare os serviços do Squid e do SquidGuard. Depois entre na interface e ative o anti-lockout em SYSTEM>ADVANCED.

Que bom que conseguiu. Obrigado por compartilhar a informação.

Senhores, devido a dificuldade em resolver o problema, eu restaurei um backup que tinha e o site que não abria voltou a abri.

Marcello, Consegui fazer depois de alguns testes. Era necessário ativar  uma opção no Dansguardian. Na aba “general” do Dansguardian ativei a opção “forwardedfor(off)” em “Misc settings”. Alem disso foi necessário fazer as seguintes alterações: • Fazer um NAT(redirecionamento) da porta 80 para a porta do Dansguardian no IP que será liberado. • Liberar a porta 80 e 443 no Firewall para o IP que será liberado. • No Squid adicionar as seguintes linhas em “Custom Options”:                   acl fwdpc req_header X-Forwarded-For 10.4.0.245                   http_access allow fwdpc

Bom dia Marcelo, obrigado pelo retorno. Então efetuei o update de hoje e fiz o download das bibliotecas hoje novamente… fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libasn1.so.10 fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libgssapi.so.10 fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libheimntlm.so.10 fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libhx509.so.10 fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libkrb5.so.10 fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libroken.so.10 porém ao tentar startar o squid2-dev retorna o seguinte erro no log. php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was '/libexec/ld-elf.so.1: Shared object "libheimntlm.so.10" not found, required by "squid"' E já conferi as bibliotecas estão lá, será que alterou alguma coisa nesse update?

@johnnybe: Traffic Shaping: http://forum.pfsense.org/index.php/topic,64689.0.html Observação: Certa vez usei uma Realtek chipset 8139D na LAN do pfSense e os sintomas eram os mesmos. Na WAN tinha uma onboard nForce. Toda vez que alguém na minha rede do escritório fazia download de Torrents a navegação ficava impraticável, demorava séculos para abrir qualquer página. Troquei esta Realtek por uma D-Link DGE-530T Gigabit PCI com chipset Marvell e este problema desapareceu. Nem precisei utilizar o Traffic Shaping, porém não deixa de ser útil.  :) Estou com uma onboard (se nao me engano a pl. mae e intel) e  uma off (via) Então acho que não é isso. Estou estudando a possibilidade de usar o limiter, mas tenho que ver aqui como vou implantar pois tenho muitas regras. @eumesmoluiz: Mais ou menos isso q percebi q ta acontecendo comigo, update do windows ta travando e fritando a net toda, se colocar mais banda ele chupa a banda inteira sem condições de outros usuário navegarem. Conseguiu resolver seu problema ??? alguma dica ??? vlw Ainda não uma solução pode ser o limiter no pfsense mas não consegui configurar. @marcelloc: Usando proxy, o mais indicado é colocar o squid para limitar o download. As regras de qos podem ignorara conexões vindas de localhost(proxy). O problema do squid é que para ele limitar a banda o download tem que passar por ele, e no caso do windows update, eu coloco pra passar direto e tenho alguns ips liberados na rede tb!  :-[

Boa dica +1 e bem lembrado. O pfblocker é um excelente pacote  ;)

Obrigado pelas respostas Marcelloc. ;D

Olá marcelloc, Foi justamente este post que vi, como o autor do post mesmo fala fica mais fácil de filtrar os logs de firewall. Aguardando ansiosamente pelo 2.1… :) Obrigado pela resposta!

voce criou essa regra onde? Captive portal ?