@landoneves: testei o squid para ver se tava passando tudo por ele mesmo criei um bloqueio simples no blacklist do squid exemplo expression: facebook e o mesmo bloqueia para os usuarios, notei também que estou usando o PFSENSE 2.0.3 squid 2.7.9 e squidguard 1.4_4, notei também que em outro clinete ue tenho com a versão 2.0.2 isso esta funcionando normal. A versão 2.0.3 é a última versão estável do pfSense. Como você mesmo verificou, o seu problema parece estar com o SquidGuard e não com o Squid ou com o pfSense em si. Veja os logs do seu sistema pra ver se não há algum problema (dependência ou algo assim) que esteja impossibilitando o SquidGuard de subir junto com o Squid: https://IP_PFSENSE/diag_logs.php PS: Se você tentar usar o SquidGuard sem referenciar usuários do AD, ele faz o trabalho dele? Abraços! Jack

@marcelloc: @lucasbira: Entao a facilitade do script é que ele busca os ips dos sites e adiciona automaticamente Bom esta função faz parte do alias. Você coloca o nome lá e na regras(não na interface gráfica) ficam os ips. Entendi marcelloc, vou testar por alias e depois por squid. Abcs

@diegogyn: Agora quanto autenticação o ideal e ter uma unica base e fazer o pfsense trabalhar com ela, com por exemplo eu uso a base de usuário do samba, outros usam a do AD, LDAP, radius…. Ai depende onde seus usuários já estão cadastrados. (Tentei usar o iTalc mas obtive muitos erros com o Win7) []´s entao eles estao no sistema da instituicao mas poderei importa-los sem problema.. dai depois eu teria q criar a minha base pra fazer autenticacao dos mesmos.. dai vem a duvida.. sera seria melhor AD - ldap - radius - criar um banco e fazer um scritp pra poder validar esses caras na rede pra poder acesso…

@leandrojpg: galera, pfsense instalado configurei minha wan com ip publico e tudo certo saindo pela internet normal, daí eu ativo a lan e crio uma vlan 100 chamada convidado, em seguida eu habilito o dhcp para lan. a partir daí eu perco gerencia. a ideia é para que entendam um router wireless conectado na lan quem tem vlan 100, distribuindo dhcp para os clientes, mas nao ta dando certo. abracos.. bom amigo.. o que eu fiz aqui no meu o seguinte.. obs: pfsense instalado no xenserver ou seja criei as vlans no xen tbm pra poder add na vm do pfsense pfsense com wan -lan -vlan10 -vlan20 - vlan30 ok habilitei os dhcp normal para eles fui no switch e tagged na porta do firewall as vlans que eu quero mas antes criei vlans_id no switch depois fui nas portas onde quis q passasse as vlans e tagged tbm. pois tenho Aps Unifi entao la no controller dos aps.. criei as redes com suas respectivias vlans.. e blz.. tudo certo AGORA - seguinte esse foi o cenario e o que eu fiz.

@leandrojpg: Pessoal, instalei o pfsense tranquilo em seguida acessei via web e configurei a Wan, mas ao configurar a lan simplesmente nao acesso mais a interface Web, so consigo acesso de desabilita-lo pfctl-d, o que estou fazendo errado. obrigado leandrojpg, Bem vindo ao fórum! :) Depois de habilitar a LAN, as regras de bloqueio padrão da WAN são aplicadas. Já tentou acessar via LAN?

Ivart….. voce poderia me ensinar como que faço uma pagina dessa de bloqueio???

@marcelloc: @johnnybe: Nota: Seria ainda mais interessante se cada membro identificasse o País de origem em seu perfil. +1 ++1 :) Abraços! Jack

@Akill: Então mas por exemplo, o SARG quem estiver a fazer Streamming ou download por torrent, esse tipo de relatórios o SARG guarda?! Se o cliente do torrent estiver usando http, sim. Mas normalmente estes clientes utilizam a porta 443 mas com outro protocolo+ssl(skype  por exemplo). O acesso a vídeos/streamming registra apenas a url solicitada. Se o canal de stream não tiver uma url para cada tipo de transmissão, você é capaz apenas de identificar que o canal foi acessado. O log das regras de firewall(camada 4) vão registrar o acesso completo, com todas as portas de origem e destinos utilizadas para o acesso. Recomendo um servidor de syslog para armazenar todas estas informações. @marcelloc: "… log de acesso a internet..." ?!?!?! pelo teu ponto de vista, então qual é a diferença desses LOG para os outros?! Quis dizer que só a justiça pode pedir estes logs. O acesso a ele é restrito. Uma empresa que sofreu um ataque por exemplo não pode te ligar ou mandar um email solicitando os logs, o que normalmente se faz é avisar que houve um ataque a partir do seu ip. Pelo menos por aqui, se a informação de acesso a partir do ip X é solicitada e você não tem, você corre grande risco de virar suspeito do crime ou pelo menos co-responsável uma vez que o ip em questão está sob sua responsabilidade. att, Marcello Coutinho

@edge540: A VPN é estabelecida do meu client que passa pelo PFsense que tenho em casa….com destino ao servidor PFsense na empresa..onde esta o receptor da VPN pptp... Bem, antes de qualquer coisa, considere fortemente a opção de NÃO usar PPTP. Este protocolo é extremamente inseguro, antigo e péssimo em arranjos que exigem roteamento. Procure substituí-lo por IPSec ou OpenVPN (aplicativo). De todo modo, neste seu caso, algumas medidas são vitais: Criar regra na aba 'LAN' do seu pfSense de casa, liberando conexões com destino as portas TCP/1723 e GRE/47 Criar regra na aba 'WAN' do seu pfSense do trabalho, aceitando conexões (do seu pfSense de casa) com destino as portas TCP/1723 e GRE/47 Cheque os logs do pfSense do trabalho pra saber se a conexão está chegando onde deveria Atente-se a limitação do PPTP no pfSense, que não permite 2 ou mais clientes conectando no mesmo server a partir do mesmo IP público Abraços! Jack

Bem lembrado JackL, quando passei a dica esqueci desse importante detalhe (já corrigi).

@avarela: desculpa nao queria que previsse o futuro, isto e o meu ambiente. tenho o pfsense configurando na placa lan com o endereço 192.168.0.20 e wan 192.168.10.1. Minha rede LAN esta atras do meu Pf_sense que tambem é meu servidor de DHCP, a minha rede LAN é: 192.168.0.20/24. Meu Pf_sense esta ligado a um roteador, a WAN do meu pfsense esta configurada com o IP: 192.168.10.3/24. E tenho o noip instalado num servidor com o endereco ip 192.168.0.4/24. gostaria que pudesse aceder esta servidor de fora atraves do endereco do noip. como e que faco as regras do nat e port foward, neste momento nao tenho nehuma regra definida na wan e nem no nat. gostaria que me ajudasse a refazer estas regras. Nossa… eis o problema. O seu pfSense, como detectou o johnnybe, está sendo NATEADO. Se você quer que ele gerencie/se conecte com o NO-IP (não era DynDNS.org), deixe seu modem em bridge e seu pfSense fazendo a discagem da conexão e recebendo o IP público. Do contrário, nunca dará certo (seu pfSense recebe hoje um IP privado). Abraços! Jack

O pfSense usa a aplicação ipfw-classifyd para dar suporte a L7 ao netfilter. Para saber mais, leia: http://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7 Quanto ao caso específico do OpenBSD, sugiro que seu amigo se inscreva nas listas de discussão oficiais do projeto: http://www.openbsd.org/mail.html - Já que existem algumas formas do L7-filter ser implementado na plataforma, dependendo inclusive do cenário dele! Abraços! Jack

avarela, seria possível você colocar [resolvido] no tópico?  :)

27mb livre é muito pouco, por isso o sistema operacional já esta usando swap. Vamos pegar esse outro caso então, squid configurado com 512 de memória Maximum Object size in RAM 64, tem cerca de 2400 conexões no proxy, porém está consumindo cerca de 1.3G, 3G inativo e ainda usando 28k de swap. Oque eu questiono é o seguinte, ele vai consumir toda a memória livre se for necessário em vez de liberar a memória inativa? Memória inativa é uma porção que faz parte de um conjunto de trabalho de um processo, ou seja, não é compartilhavel entre os processos. No caso da screenshot vc acredita que o squid esteja ocupando a memoria inativa?  

Olá, No fim resolvi o problema retirando todo o rotacionamento dos LOGs. Também consolidei os arquivos de LOG em apenas um arquivo e gerei o relatório.

@sidiney: Porém o squidguard não inicia, O squidguard é chamado sob demanda a partir da versão 3 do squid. Se não tiver trafego, não tem squidguard, se tiver trafego, o squid executa ele…

Não sei se vc percebeu mas existe uma mascara /24 que vai até /32, no caso de um host utiliza-se a mascara /32. La embaixo tem translation, onde vc pode escolher o alias que vc criou.