@marcelloc: Eu já usei, funciona 100%. ++

@mantunespb: quanto a ipsec em iOS ainda continua sonho no pfsense ? Nos tutoriais de VPN tem um especifico para ipsec entre pfSense e IOS.

@fneto: Caso não tenha quer que eu envie para você hospedar também?? fneto, faça como o kelsen. Crie uma conta gratuita no github e publique por lá. :) Um link que pode ajudar na resolução de problemas com a re0 http://forum.pfsense.org/index.php/topic,57352.msg309585.html#msg309585

@johnnybe: hhmmmmm… O que pegou? A VPN? A porta de acesso? Se você seguir alguns procedimentos básicos a coisa não é tão temerosa assim, mesmo sem VPN: 1- Sempre HTTPS! Mas em porta diferente da 443. Um exemplo: Tenho clientes rodando em portas altas, acima de 10000. O importante aqui é que seja HTTPS, porta alta e utilize uma que não seja alocada à nenhum dos aplicativos conhecidos. Principalmente aplicativos malvados. :D 2- Mudar o nome (username) desabilitando o usuário admin. 3- Senhas seguras, com pelo menos 12 caracteres incluindo caracteres especiais e numeros. 4- Mudar também a maneira de acesso ao console (SSH), alterando a porta e solicitando senha. Acredito que você tenha conhecimento sobre senhas seguras, então suponho que não preciso entrar em maiores detalhes. É evidente a camada de proteção a mais que uma VPN oferece, porém nada desmerece um teste com as dicas acima citadas. Ou até mesmo que você opere dessa forma, mesmo sem VPN. Basta saber usar as regras (rules) restringindo acesso e, com isso, estar suficientemente seguro. Na verdade tenho conhecimento no que você falou, o que eu não sei é aplicar essas configs no pfsense, pois, realmente sou "novado" em firewall e Linux :-, se puder por alguns prints de exemplo agradeço imensamente, (risos), algumas regras já consegui fazer com ajuda dos prints de vcs aqui do fórum e necessito pois, já pus o pfsense em produção… Obrigado desde já...

Já tentou cadastrar o domínio na white list do Squid e/ou do SquidGuard?

@mendax: Teria alguma boa prática para nos ajudar neste caso ?  Muito obrigado. Além das informações repassadas pelo marcelloc, fica a dica deste post com links interessantes a este respeito: http://www.pfsense-br.org/blog/2013/01/exploit-pfsense-2-0-1-xss-csrf-remote-root-access-nada-de-panico/ Abraços! Jack

@gilmarcabral: Jackson você tem razão mas temos que lembrar como se trata de uma rede sem fio alguém pode chegar com um notebook que não pertence a rede e colocar um ip manual assim ele só ira precisar da senha de rede de algum usuário. Sim… Mas é exatamente para estes casos que você reserva/utiliza um hotspot (Captive Portal), não?! Ele vai precisar de um usuário/senha e/ou um voucher para acessar a rede. Na medida do possível, deixe estes usuários esporádicos num segmento de rede diferente da sua LAN, por exemplo. Assim não tem que se preocupar com IP + MAC. Abraços! Jack

Galera descobri o motivo disso ocorrer. Eu tinha uma rota criada no pfsense adicionando a rede 10.9.9.0/24 com o gw 10.9.9.5 ai retirei a mesma e o problema parou de ocorrer. Agora irei testar se a retirada desta rota ira implicar em algum acesso. Agora sim tudo funcionando.

@marcelloc: Robsonsb, bem vindo ao forum.  :) Para ter uma ideia do que o pfSense faz e ter acesso a um volume bom de informações e passo a passos detalhados, consulte os turoriais aqui n parte de cima do forum. Basicamente você precisa de uma regra na LAN bloqueando qualquer destino nas portas 80 e 443 TCP. Obrigado, Marcelo, estou muito feliz, pois, em pouco tempo, já pus em produção meu pfsense, vou estar olhando nos passo-a-passo.

Que bom que conseguiu resolver  ;D O IP válido realmente fica no modem da NET no seu caso, mas irá responder ao redirecionamentos de porta normalmente.

Obrigado marcelo , desinstalei o lightsquid e o sarg , parei o serviço do squid , removi todos os arquivos do diretorio /var/squid/cache, após isso rodei o comando squid -z , reisntalei o sarg, depois rodei o comando sarg no shell do pfsense , e está funcionando novamente os logs.

@marcelloc: @jonathacardoso: No segundo caso, o echo request apareceu nos dois tcpdumps, apenas com um echo request, sem um echo reply. Se o request esta saíndo pela interface de destino, significa que o pacote está indo para a estação de destino mas não esta voltado. se o reply aparece na interface de destino mas não na interface de origem, significa que o pacote esta sem permissão ou pode existir uma regra forçando o trafego para outro gateway No caso, Marcelo, os pings todos aparecem só na interface de origem, tanto o request quanto o reply. Entretanto, o ping entre as estações da DMZ e da LAN, vice-versa, aparece os quatro requests tanto na interface de origem como na de destino. Neste caso, o que pode ser? Não tenho noção, amigos!

Eu geralmente uso os DNS da Google, por terem uma latência baixa e afinal, se falhar serviços da Google é porque a internet está um lixo mesmo kk Também utilizo os DNS da OpenDNS para monitorar os gateways. Google 8.8.8.8 8.8.4.4 OpenDNS 208.67.222.222 208.67.220.220

comunicar em que sentido? trocar regras ou trafego? Este tutorial parece bem específico para sua situação Usando o pfSense para interligar 2 lojas via Internet (ponto-a-ponto)

@marcelloc: você deu esta permissão ao usuário? já tentou redefinir a permissão do usuario? Já tentou acessar a url direto? Bom dia! Sim todos os testes que mencionou eu fiz !  Infelizmente eu tive que liberar um usuário com privilégios de ADMIN para ir quebrando o galho ! Se encontrar algo post no fórum por favor!  Obrigado à todos !!! Mendax

Você criou um gateway aleatório no seu pfsense? tenta explicar melhor a situação.

Blz… Você ja respondeu minha pergunta.

@mendax: Estou com o mesmo problema, poderia postar por favor como ficou sua regra ? A alteração aplicada foi configurar o dns da rede interna no pfsense.

@marcelloc: @mendax: Sim claro… temos ciência disso, sobre o IPFW... a idéia da nossa parte é compartilhar e não CORRIGIR termos técnico, obrigado. Troque corrigir por esclarecer  ;) Quem corrigiu não fui eu e sim nosso amigo sabe TUDO aí… Mendax

@damaceno02: BlZ com a ajuda da galera funciono…. mas agora eu preiso liberar ex: do 1000 até o 65000 que é da central telefônica, acho que é algo pabx... mas pra um determinado IP e nas opções ele fica habilitado a porta tbm... o nat já tem a opção de port range, basta prestar atenção nos campos que você preencheu  ;)