@vhugojr: olá, obrigado pela resposta, mas era exatamente isso, eu consegui resolver, era problema de dns mesmo, eu ja ia encerrar o topico, mas uma duvida como eu coloco resolvido neste topico? Edite seu post original e coloque [Resolvido] no campo Subject. Ex.: Subject: [Resolvido] Problema com liberação de site.

@manovelho: Já fiz essa configuração. Qual seria o próximo passo? Bem, se você seguiu o tutorial, seu pfSense já deve estar fazendo loadbalance. Talvez agora você queira configurar o teu Proxy para trabalhar em failover também: http://forum.pfsense.org/index.php/topic,37776.0.html Veja que você não está somando os links (isso seria link aggregation)… está apenas balanceando carga e fazendo failover. São coisas fundamentalmente diferentes. Veja mais sobre Link Aggregation aqui: http://en.wikipedia.org/wiki/Link_aggregation Abraços! Jack

Blz @vina18, Apenas como dica final, procure fixar o IP público da respectiva empresa no campo "Source" da Rule que está aplicando o NAT. Assim você ganha um pouco mais de segurança, já que a priori, apenas eles seriam redirecionados para o "192.168.0.105". ;) Abraços! Jack

Tenta criar uma rota para esta nova rede, saíndo pelo gw que esta ligado a vpn

@JackL: @marcelloc: @guimair: Eu configurei o firewall como nosso amigo orientou acima, vc saberia me dizer johnnybe ou alguem que saiba, se teria como eu liberar esses ips da faixa livre atraves do MAC…. Voce consegue fazer isso fixando os ips por mac no dhcp. Exatamente como disse o marcelloc… O serviço DHCP Server é independente do serviço de Proxy (Squid)! Nesse caso, veja aqui como proceder: http://forum.pfsense.org/index.php/topic,43368.msg224632.html#msg224632

Não. O skype usa protocolo proprietário via ssl. A única chance de monitorar https é utilizando técnica conhecida como 'men in the middle' onde Voce se faz passar pelo servidor de destino e estabelece a comunicação ssl com o cliente e com o servidor de destino.

não uso o captive portal em nenhum cliente, mas olhando rapidamente no docs.pfsense.com, achei isso http://docs.pfsense.com/index.php/Captive_Portal Allowed IP addresses Allows you to manage a list of IP addresses which can either: Always connect from behind the portal (clients) Always allow clients to an IP address (external servers)

Legal @drvirtua, Bom saber que deu tudo certo pra você! Aliás, o retorno ao fórum e a postagem de feedbacks é extremamente importante para documentarmos os resultados de implementações. Parabéns por fazê-lo! ;) Abraços! Jack

Muito Obrigado Sr!! Na tarde da noite de ontem só fui postar mesmo que tinha conseguido!! O link da documentação foi muito util tambem, tem bastante informação importante! Gosto de usar o Captive Portal como um "Proxy Transparente Autenticado", em clientes que a maioria dos dispositivos é notebooks é muito melhor pois não exige configuração no browser, a unica limitação que ainda não consegui resolver foi fazer um bloqueio de determinados sites a determinados usuários. Mas ainda vou pensar em alguma forma de fazer isso! Agradeço muito! Atenciosamente. Thiago Moura. thiago@thimoura.com 11-8333-9471

Bom, para esse tipo de tarefa, não recomendo o uso de um Servidor Proxy. Por questões de Gerenciamento. Para centralizar as atualizações do Windows, utilize o WSUS(Windows Server Update Services), com ele você baixa as atualizações necessárias em um local apenas e escolhe quais serão ou não instaladas nas máquinas. Isso é ótimo quando possuimos aplicações que podem ser influenciadas por uma atualização critica, por exemplo. Outra vantagem do WSUS, é que se você formatar a máquina, não precisa baixar tudo denovo, basta apenas colocala no Dominio. Sobre antivirus, recomendo optar por soluções de cunho corporativo, como o Kaspersky, F-Secure, G-Data. O investimento é baixo perto do beneficio que podem trazer, principalmente porque essas soluções possuem gerenciamento centralizado, com centralização de atualizações parecidas com o WSUS.

Seu filesystem corrompeu. Se Voce conseguir cair na console, tenta o fsck -y Nas versões mais novas, é automático. Na 1.2 Nao me lembro como era

Bom, testei aqui e funcionou sem problemas. Criei um novo tópico para o imspector. http://forum.pfsense.org/index.php/topic,43250.0.html

@gsilvei, Tem certeza que os teus alunos não estam navegando pelo canal de dados vinculado aos dispositivos (diretamente com a operadora de telefone, sem passar pelo teu gateway)?  ??? Abraços! Jack

Verifica certinho os sites e urls que o pessoal esta usando ai, se por acaso não é HTTPS e se a requisição do streaming esta realmente passando pelo proxy, se possivel tbm postar alguns prints da configuração do seu squid e as urls das radios, assim a gente pode formular juntos uma solução legal para o seu caso.

Posta mais informações para podermos ajudar. Versão do pfsense Equipamento Placas de rede Internet

@johnnybe: Testes feitos e funciona conforme regras da imagem abaixo. Porém, há algumas considerações: Se você optar por utilizar a regra na Lan conforme abaixo, você estará obrigando qualquer cliente (host) a configurar o navegador para utilizar o proxy. Independente se o Squid está configurado para modo transparente ou não! Segundo minhas pesquisas, quando em modo transparente, o Squid redireciona qualquer requisição da Lan para Wan na porta 80 para a porta 3128. Isso independente do firewall. Você vai perceber que, ao utilizar a regra com * conforme a imagem que postei abaixo, o firewall vai bloquear o loopback na porta 80 quando o navegador estiver sem configuração de proxy. Qualquer host que for utilizar a web vai precisar configurar o navegador para o proxy. Daí aquilo que falei antes: Uma vez que o Squid está em modo transparente, isso não vai impedir que um usuário mais espertinho configure o navegador para acessar um proxy externo que utilize outra porta além da 3128. johnnybe desculpa a minha pergunta, se for ignorante, releve por favor, para direcionar as portas 80 e 443 para o Squid basta fazer esse tipo de configuração? Fiz de uma forma um pouco diferente, criei duas regras, cada uma para cada porta e a princípio não funcionou, deixei-as respectivamente como sendo a segunda e terceira regra, apenas abaixo da regra que libero tudo para alguns IPs Existem outras regras já funcionando (Bloqueio do MSN Messenger, GTalk, Facebook), o Facebook está sendo bloqueando agora pelos IPs das networks que ele possui, mas isso muda com o tempo e tem alguns outros sites na minha blacklist do squid que está bloqueando para a porta 80 e passando para a porta 443 (HTTPS) Precisaria que os domínios que coloquei no Squid fossem bloqueados tanto para o http quanto para o https, o proxy está inserido em cada máquina, não preciso dele transparente. Caso tenha algo errado com as regras me informe, e ratifique se o bloqueio do http e https poelas geras é válido apenas para os domínios do Squid Atenciosamente [image: regras.jpg_thumb] [image: regras.jpg]

@Paulo: Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense" O pfsense é fum firewall statefull. Toda regra criada nele tem que estar na interface onde a comunicação inicia. Exemplos: Para impedir que seus usuários acessem sites https, voce cria a regra de bloqueio na LAN Para impedir que acessem via internet sua interface do firewall, voce cria a regra na WAN Para impedir que o pfsense(ou qualquer pacote dele) acesse algum recurso, a regra precisa ser aplicada nas 'floating rules', uma vez que o pfsense nao passará pela LAN para começar a comunicação

Consegui acertar as configurações com ajuda de vocês. Funcionou tanto com ip definido com para todos. Obrigado. Proto      Source  port    Destination  Port                Gateway Queue TCP LAN net * * 443 (HTTPS) WANII none Proto      Source  port    Destination        Port            Gateway Queue TCP LAN net *  200.220.178.3/31    443 (HTTPS) WANII none

@JackL só mais uma dica vocês estão usando o squid ou squid3 ? abs