Putz, que vacilo, sempre uso o squid 2.7 e acabei me esquecendo dessa aba no squid 3.

Akill, isso não é de forma alguma limitação do pfsense. Ele esta fazendo exatamente o que você mandou ele fazer. Para impedir que redes internas se comuniquem, basta criar um alias com todas as redes invalidas e em seguida criar no topo de cada interface um deny de alias-redes-invalidas para alias-redes-invalidas.  Desta forma uma regra de liberação da porta 80 só vai funcionar para a internet. Quando se específica um gateway na regra, você força o pfsense a enviar o pacote para ele independentemente das rotas exitestentes no firewall.

Aparentemente um código em perl para derrubar o squid3.3.5. Sabe se na 3.3.8 já está corrigido?

O pacote squid3 ou superior já tem esta configuração. Basta habilitar a opção patch captive portal e pronto. O patch impede o acesso ao squid para ips não autenticados no captive portal.

Criar regras só vai adiantar se você souber o que liberar. Já conseguiu resolver seu problema?

Baixe a lista manualmente para algum servidor web seu e depois altere a url da blacklist do dansguardian para onde você baixou.

Tutorial fixado. Obrigado mais uma vez pela garimpada :)

@UnDr3aD: O limitador do squid não me atende porque ele limita de forma geral e não por acl (me corrijam denovo! ;)) Com custom acls você pode fazer bem mais coisas. Pesquisa sobre como fazer isso no squid, coloca as acls no campo custom options e salva.

Olá Cadu, Normalmente eu faço esses filtros com o squidguard, fazendo a busca por uma linha de search via ldap, desse forma posso classificar por grupo, usuário, OU, etc… e não preciso ficar restartando serviço, já que a busca é feita de forma dinâmica, ou seja, a cada consulta do filtro. Eu tenho trabalhado com o Squid autenticando direto no AD via ntlm com o auxilio do samba, se quiser mais info. entre em contato em PVT. Abraços

Olá! Me da a impressão que existe um problema de NAT. O estranho é usar o mesmo Gateway para Intranet e Internet. Verifique com seu provedor se está sendo usado algum tipo de VPN e quais protocolos estão sendo usados no roteamento. Talvez seja necessário criar uma rota estática na rede 192.168.10.x apontando todo trafego da rede 192.168.70.x para o Gateway 192.168.70.2.

Acho que vou precisar reinstalar mesmo. Removi todos os pacotes PHP que tinha instalado, e instalei via pkg_add o PHP 5.2 (http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/amd64/packages-8.1-release/Latest/), mas ele nao é compilado com "cgi-fcgi".

@marcelloc: @clon¥: De fato, ao criar as duas LANs, as mesmas, por default não se enxergam - é isto que preciso, mas… ...ainda não consegui bloquear a porta 4443 pela LANCLINTE. Por mais que peça usuário e senha, quero evitar dos clientes do bar, fuçarem ou tentarem acessar o firewall. Em system -> advanced, desmarque a opção que impede o bloqueio de acesso via web (anti-lock rule) e auto redirect também. ===== Pelo que entendi, se eu fizer isso, perderei o acesso através da LANADM (na qual eu quero ter acesso). De qualquer forma, resolvi pelo caminho de bloqueio da porta 4443 apenas na rede LanCLIENTE. Funcionou perfeitamente. O "pulo do gato" estava apenas na inversão de posicionamento das regras que eu havia feito. Esta do bloqueio, ficou no primeiro nível. O bloqueio entre as duas redes já havia sido implementado pelo próprio Firewall. Isso foi fácil. Agradeço à todos que participaram e me ajudaram de alguma forma. Tópico encerrado. Valeu!

Oi marceloc! Resolvi de outro jeito, fica o relato pro pessoal. O CentOS para o qual eu estava encaminhando as conexões OpenVPN era um server virtualizado numa outra maquina atrás do pfSense, entre eles as conexões funcionavam bem porém quando envolvia as estações de trabalho acontecia as retransmissões TCP, experimentei colocar as VPNs direto no pfSense eai a coisa fluiu, acredito que esse redirect pra maquina virtual numa placa de rede que tem concorrência de pacotes não flui muito bem, o Linux deve tratar melhor a retransmissão de pacotes por isso não derruba as conexões, mas o Windows… bem... :) Obrigado!

@marcelloc: Criei um tópico para concentrarmos estas informações. Excelente!  :)  8)

Colocar em bridge e/ou criar regras permitindo todo o acesso é quase a mesma coisa que deixar o ad na mesma rede das estações. Dependendo do uso(ad+dns+dhcp+compartilhamento+rdp), sugiro deixar na mesma rede.

@gkmtto: Preciso criar uma regra para passar um bloco de ip por fora do squid(o meu não é transparente), para o pessoal que conectar na rede wireless ter acesso liberado. Como devo proceder? Se não é transparente, o tráfego só passa pelo squid se você marcar o proxy no cliente.

@Andrémartins: Vou utilizar a ultima versão do squid 3.3.5 modo não transparente (estou com dificuldades para filtrar ssl), quando eu instalo o squid e bloqueio as portas 80 e 443 ele redireciona automaticamente para o 3128 ou tenho que configurar este redirecionamento manualmente? Em modo não transparente, basta configurar os clientes (de forma manual, via gpo ou WPAD) para a porta 3128 do squid e bloquear o acesso direto a internet nas portas 80 e 443. Se habilitar o modo transparente, o squid cria as regras de redirecionamento no pf(e não na gui) para você.

O que acontece se você digitar na console/ssh squid -k reconfigure logo após o segundo link virar o gateway default?

@neutonsp: se alguem ver ae o que ta errado eu agradeço. Já olhou nos logs do squid se a sua autenticação está funcionando?

Já tentou pesquisar no fórum internacional ou no doc.pfsense.org