Obrigado pelas informações. Tentarei investigar isso novamente e assim que conseguir algo, posto aqui. Obrigado

@dossantos: Se eu tiro o proxy a maquina navega normalmente. Você precisa de regras de firewall na LAN para bloquear o acesso direto. att, Marcello Coutinho

Walter, recomendo utilizar o squidGuard visto que o Dansguardian não é tão simples de implementar para iniciantes, apanhei muito e depois de tudo pronto, percebi que ele não filtrava subdomínios no modo whitelist, por exemplo: talk.google.com; se você libera o google.com, o talk.google.com também está liberado; já no squidGuard isso não acontece. Tenho um squid autenticado no AD com squidGuard rodando, se precisar de ajuda caso queria insistir, é só falar.

kkk.. oque importa é a intenção!

@synap: Moderadores, podem dar este post como RESOLVIDO, por favor…. Feito  :)

@sosmicro: neste cenário a autenticação transparente se daria para os usuários logados no AD, mas e os que não estão logado??? Eles receberiam uma janela de autenticação??? sosmicro, você pode colocar no campo custom options outros métodos de autenticação e criar acls específicas para isso. att, Marcello Coutinho

Marcelo o Sarg gera de 1 em 1 dia, não, não pensei não… como faço para fazer que o site do ERP não passe pelo proxy?

@leotomé: O que devo fazer então? Verifica suas regras então, ué  ???

@synap: O cache do navegador, como disse.. A maioria é Control+Shit+Del Opa, foi mal, sim, o cache dos navegadores eu limpo algumas vezes por dia, além de utilizar um CCleaner adicional!

@Glauber: A topologia é essa mesmo router: 192.168.0.1 255.255.255.0 WAN: 192.168.0.2 255.255.255.0 LAN: 192.168.0.4 255.255.255.0 LAN e WAN no mesmo segmento de rede não vai funcionar a não ser que você queira configurar uma bridge. Passe o router para modo bridge e configure o ip válido na wan usando pppoe.

@marcelloc: Se cada dvr tem sua porta específica (3777 e 37773), basta fazer o nat (port forward) de cada porta para o seu respectivo servidor. wan address 3777 -> 192.168.1.2 3777 wan address 37773 -> 192.168.1.3 37773 Veja na configuração do dvr se o acesso remoto vai precisar de mais portas/mapeamentos para funcionar. att, Marcello Coutinho Isto! Esqueci do NAT. Desculpem-me.  ;D

@marcelloc: Entre nas telas de configuração do squid e salve. Vou verificar exatamente que tela esta sem configuração. Opa, está resolvido. Removi tudo, instalei o DansGuardian, Squid3. Configurei o squid3, DansGuardian e funcionou legal, serviços em execução.

Sim sim, e podemos enquadrar ai as soluções Mikrotik, Ubiquiti e afins. Não são exatamente do mesmo "ramo", mas a popularização dessas soluções tem ajudado. Hoje estou usando Intel Atoms para Servidores de "micro" porte. Mas comprar uma Appliance para isso não parece interessante. Pesquisei no eBay e da pra montar com RB e Case com $ 400, só que adicionando importação, fica mais caro do que o PC com Atom, por isso estou procurando algo nacional.

Boa tarde, Eu concordo com o Marcelloc e com o Johnnybe. Trabalho a 10 anos com TI, hoje sou gestor e tenho uma equipe de trabalho, atendo várias empresas de vários ramos e portes, o que aprendi principalmente foi a ser realista. Quando começei a trabalhar com soluções de Rede, tinha a exata noção de que eu estava apenas iniciando, mesmo após dois anos trabalhando com o Smoothwall e IPCop, descobri o PFSense, percebendo que sabia menos ainda do que pensava. Procurei aprender tudo que pude para implantar o PFSense plenamente, desde usar o Firewall corretamente até ferramentas como Snort, só então me aventurei. Por isso eu recomendo a todos que estão começando: Instalem o VMWare ou Virtual Box e criem uma rede virtual "subindo" o PFSense virtualizado nela e assim aprendar a utilizar as funções, ainda mais do que isso, aprenda o que cada pacote, função, parametro faz, para estar sempre no controle da situação. Ter trabalhado com outras soluções anteriormente não necessariamente significa que você possui bom conhecimento. E sinceramente a sua pergunta foi estranha, a interface do PFSense é algo crucial, deve ser mantida sob o máximo de segurança, assim a escolha pelo HTTPS e até a troca da porta padrão de acesso, são na minha humilde opinião, escolhas mais do que lógicas. Eu também troco a porta SSH. As opiniões do pessoal foram corretissimas, pois estar a frente de uma rede com 600 usuários é algo realmente complexo e cheio de oportunidade. É por isso que eu montei uma equipe com profissionais qualificados, com cursos pela Furukawa pra parte de cabeamento estruturado, tenho um Analista Sênior certificado CISCO CCNP, dois MCP e dois analistas com LPIC-2, além dos workshops e conferências que vamos eventualmente. Estou cursando o ITIL e Cobit em paralelo, tem sido um porre junto com a faculdade(Bacharelado em SI), mas tem valido a pena, além da LPIC-2 que já tenho. Uma rede desta dimensão possui muitas variaveis técnicas, financeiras e politicas. O nosso conselho é para que você esteja sempre em dia com os estudos e conhecimentos na área. Um erro em uma estrutura deste porte pode compremeter sua carreira na área. Use sim o PFSense, é uma ferramenta maravilhosa, mas em paralelo, recomendo estudar mais a parte "Hard". Eu comentei sobre a equipe que trabalho e os respectivos cursos/certificações somente para dar um exemplo do que é básico, na minha opinião. Espero que nos entenda bem, este fórum é composto por vários membros muito experientes na área que compartilham conhecimentos valiosos. ;)

@marcelloc: Você vai perder um pouco de performance no link entre as lojas por conta da dupla criptografia mas o acesso vai funcionar. Você também pode implementar uma VPN do tipo L2TP. Até onde eu sei/testei, na L2TP pura não há criptografia por default. ;) Em outras palavras, você cria um túnel mas não faz criptografia. Jamais utilize L2TP puro (sem IPSec, por exemplo), caso não tenha outro dispositivo fazendo criptografia. ;) Abraços! Jack

Olá. Eu enfrentei esse problema algumas vezes, os três casos mais recentes foi resolvido de maneiras diferentes: 1 - Verifique se não há muito uso de memória RAM 2 - Faça como foi falado, usando o CRON 3 - Instale o Squid 3

Já descobri, Pensei que o Common ACL era um comum a todos, que seria comum a todos os grupos. mas no final o Common ACL é somente para os IPs que nao estao definidos em algum grupo. E a ordem dos grupos nao interfere se os IPs nao estiverem compartilhando os grupos… e se tem dois grupos com os mesmos IPs, o que tem primeiro os IPs garante as regras. Valeu

Se estiver em bridge, deixe em bridge. É melhor, isto é: evita que você tenha que fazer NAT para um montão de coisas que podem lhe dar um baita dum trabalho.

Se 192.168.1.x for ip da sua lan não precisa fazer mais nada.

Sacanagem, ele parou de pingar pra fora, devo ter feito alguma besteira.