@adert: JackL, Valeu pela dica. E a luta com o Pfsense continua, ate a proxima duvida, cara. ;) "Show of ball" @adert! Se possível, por favor, renomeie este tópico com um "[RESOLVIDO]" antes do título atual. Isso ajuda a manter o fórum organizado. Abraços! Jack

@takaasi: problemas resolvido. Faltou marcar a opção "Transparent Proxy". Legal @takaasi, Seria bacana se você renomeasse este tópico com um "[RESOLVIDO]" na frente. Isso ajuda a organizar o fórum! ;-) Abraços! Jack

@marcelloc: Veja no log do squid as urls que são negadas ao acessar o site do uol por exemplo. Se Voce liberou o www.uol.com.br, vai notar que provavelmente o img.uol.com.br esta bloqueado. Exatamente… O SquidGuard deve estar bloqueando os sites/urls de origem das imagens. A exemplo de vários outros sítios na internet, o uol e o terra fazem "include" de conteúdos e imagens de outros lugares (que se estiverem bloqueados pelo teu proxy, obviamente não serão apresentados para os teus clientes). Abraços! Jack

@gibzo: Srs. Tenho uma vpn PPTP funcionando perfeitamente. Porem quero uma configuracao no cliente, e nao sei se devo fazer isso no cliente ou servidor(pfsense). Quero que o usuario quando conectado ele somente busque dentro da VPN os ips 10.84.189.0, todos os outros ele deve procurar na internet, sendo assim ele navega pela internet usando a internet dele, quando algum aplicativo utilize o ip acima ele vá pelo vpn. o usuario usa windows 7. alguem ja teve um cenário parecido? gabriel @gibzo, Pelo que entendi, você quer se certificar que os pacotes serão encaminhados por parto do cliente (Windows7) ao PFsense (rede da VPN) quando tiverem como destino a rede "10". Em outras palavras, você quer ter certeza que os clientes não vão navegar na web usando como gateway a rota da VPN, certo? Se for isso, não se preocupe, isso é automático. Se você está usando e não alterou nada no discador no Windows (conforme tela em anexo), o padrão é "não usar o gateway da rede remota como roteador padrão". Abraços! Jack [image: vpn_gateway.jpg] [image: vpn_gateway.jpg_thumb]

ricardogarcia, Relatórios de acesso é com o LightSquid: http://forum.pfsense.org/index.php/topic,40153.msg207422.html#msg207422

Marcelo, Estou fazendo os testes com estes parâmetros mas ainda não é exatamente o que preciso, to testando também a janela de popup para desconexão. Mas de qualquer forma valeu a ajuda. Att Bruno Oliveira

fagner.vieira, O dns dinâmico não precisa de regras para 'se atualizar', ele sempre sairá via localhost do firewall para a internet. Basta configura-lo no pfsense e pronto. Depois de associar um nome ao IP, basta criar o NAT na WAN liberando acesso ao seu servidor web na LAN. Se estiver usando o pfsense 2.0 ele já da opções de criar automaticamente a regra de firewall. Se estiver no 1.2.3, depois de criar o NAT, vá na regras da WAN e libere acesso de ANY para IP_INTERNO porta 80. att, Marcello Coutinho

Você pode fazer uma pagina php para interagir com esse arquivo de configuração e colocar em /usr/local/www. Depois de autenticar o usuário usando as credenciais do proprio arquivo(se estiver em 'clear text' mesmo) você dá a opção de alteração da senha. Acontecendo alterações, gera o arquivo e dá um reload no squid. att, Marcello Coutinho

@ricardogarcia: Boa noite, pessoal sou novo aqui, Tenho pfsense 2.0 já atualizado, squid, lightsquid e squidGuard A primeira duvida é fazer a autenticação por usuário no AD.  Até ja consegui mas só com usuarios da OU Users Porem, tenho uma OU com o nome ( funcionários ) com 5 usuarios, quando eu faço a alteração para enxergar os 5 usuarios….ex:(cn=squid,cn=FUNCIONARIOS,dc=dominio,dc=com,dc=br).  ele simplesmente não reconhece. A segunda duvida seria criar os grupos de liberação dentro de uma OU.. OU - funcionarios   e  dentro desta grupo liberado e grupo bloqueado. nao entendi a parte de colar os codigos dentro do squid.inc Pessoal desde já agradeço a atenção de todos. Att Ricardo Primeiramente, sobre as duvidas no arquivo squid.inc, leia o tutorial que escrevi, lá vc entenderá o porque alterar o arquivo squid.inc. O tutorial está em PDF, veja nos posts anteriores o local de acesso ao arquivo. Para trabalhar com os grupos, crie uma OU chamada Internet. Dentro desta OU, vc cria os grupos (e relacione os usuarios aos grupos), e depois relacione estes grupos no squid.inc. Veja o exemplo: external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3  -R -b "dc=dominio,dc=com,dc=br" -D "cn=squid,cn=Users,dc=dominio,dc=com,dc=br" -w "SENHA" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=dominio,dc=com,dc=br))" -h  10.22.5.10 -p 389 Neste trecho:  memberof=cn=%a,ou=Internet,dc=dominio,dc=com,dc=br Em ou=Internet, é a OU que contem os grupos a serem autenticados. Depois de criar os grupos e relacionar cada usuario com os grupos, é só seguir o tutorial que eu fiz, indicando os grupos de acesso no squid.inc

@JackL: @alexlevita: Fiz exatamente isto mas não conecta, o TS funciona masvpn ele fica mo tempão reconhecendo usuario e senha mas não conecta. @alexlevita: Fiz exatamente isto mas não conecta, o TS funciona masvpn ele fica mo tempão reconhecendo usuario e senha mas não conecta. @alexlevita, Verifique se o "firewall" do seu Win2003 ou um eventual antivírus instalado no servidor não está bloqueando as conexões dos clientes VPN. Por "desencargo", teste também a conexão (com uma máquina fora da sua rede local, claro): telnet ip_público_que_está_configurado_no_pfsense 1723 Se a conexão ocorrer, pode ser algo relativo as tuas credenciais ou opções de encapsulamento do discador no cliente. Se a conexão falhar, verifique novamente as portas liberadas no seu PFSense e as questões levantadas no primeiro parágrafo deste post. Abraços! Jack Então o meu cenario anterior era este setup, tinha um servidor Win 2003 com AD + antivirus Mcafee. e servidor de firewall+proxy com slackware com regras de iptables + squid e a vpn funcionava normal. acabou queimando o slackware e resolvi experimentar o pfsense como proxy ele funcionou perfeitamente mas realmente estou tendo este problema com a vpn, vou tentar mais tarde em um ambiente virtual para ver se relamente o problema esta na rede onde estou tentando configurar isto.

@nydiow: Sim a página eu ja tinha encontrado, o problema é que ele usa funções para setar esse status, eu gostaria de alguma forma pelo Shell (Terminal) eu saber se uma VPN está ativa ou não (Up Down). Veja se o arquivo de log não lhe ajuda… Com um simples "tail", é possível acompanhar tudo que está ocorrendo com o teu OpenVPN Server em real-time: tail -f /var/log/openvpn.log Abraços! Jack

@marcelloc: Com o squid Voce também limita os downloads e banda. O captive portal pode ser integrado a seu AD via radius. Com ele Voce restringe/libera acessos por Usuario. O captive portal é ferramenta nativa do pfsense. Recomendo o pfsense 2.0 basicamente todo desenvolvimento de pacotes esta voltado para ele. O controle de banda via qos também esta bem mais maduro no 2.0 Também estudarei esta alternativa. Agradeço desde já. Postarei os resultados daqui a uns 4 dias.

@takaasi: Tem algum problema em colocar o Server Address diferente da Remote address ? Nenhum problema @takaasi. Do jeito que configurastes, o gateway dos teus clients remotos passa a ser o 192.168.8.1. Por isso teus clientes PPTP que estão na rede "0", vão conseguir "enxergar" a rede "8", já que o default gateway conhece a rota de ambas. A questão é: Se a idéia é deixar que os clientes PPTP tenham acesso total a rede "8", como se estivessem fisicamente conectados nela, porque manter em redes diferentes? A menos que tenha requisitos de política de segurança, pessoalmente, não vejo grande finalidade nisso! Abraços! Jack

Consegui, se alguem um dia precisar ta ai o Shell. #!/bin/sh HOST='200.211.XXX.XXX' USER='USER' PASSWD='PASSWD' filename="rules.debug" dirname="/tmp/" ftp -n $HOST <<end_script<br>quote USER $USER quote PASS $PASSWD put $dirname$filename $filename quit END_SCRIPT exit 0 Testado e aprovado com PFSense 2.0RC3</end_script<br>

Bom dia! Instalei o pacote do imspector 0.9-4 no pfsense 2.0-RC3 mas não esta sendo gerado nenhum log das mensagens. No syslog parece estar tudo certo, vejam: Sep 7 20:51:03 php: imspector: Starting service on interface: lan Sep 7 20:51:03 imspector: Protocol Plugin name: MSN IMSpector protocol plugin Sep 7 20:51:03 imspector: Filter Plugin name: Misc IMSpector filter plugin Sep 7 20:51:03 imspector: Logging Plugin name: File IMSpector logging plugin Em /var/imspector/ não consta nenhum arquivo. Configurei o pacote para gravar apenas em arquivo, não estou utilizando banco de dados. Funcionou quando configurei o squid no modo transparente.

Voce conseguiur configura os dois, ou seja ir no haproxy e integra-lo com o squid. O problema pode estar na sequencia de acesso. Quando fiz uma configuracao destas, vi que pode ser usado das duas formas, squid primeiro ou o 'antivirus' para ver os redirects de aplicacao ou possivel conflito de portas, veja o arquivo /tmp/rules.debug att, Marcello Coutinho

no pfsense 2 tem sim. voce pode criar um grupo de gateways em fail over. e atribuir a regra da lan que libera o https. att, Marcello Coutinho

No tutorial do squid com load balance, tem postado o que acredito ser o seu problema …. no PFSense 2.0 RC3 existe uma opção que já nós ajuda. No RC3 vá em System> Advanced e clique na aba Miscellaneous Embaixo haverá as opções do Load Balancing marque a caixa com a opção Allow default gateway switching .... Att, Marcello Coutinho

@neriberto: Olá Pessoal, liberei um auxiliary para o metasploit que permite fazer brute force no pfsense, porém já reportei para o pessoal de desenvolvimento, portanto já foi feito um fix para isto, quem quiser ler um pouco mais a respeito ou ver um vídeo deixo o link http://www.mundolivre.eti.br/2011/09/fazendo-brute-force-no-pfsense.html e lembrem-se atualizem seus sistemas ;D @neriberto, Parabéns pela descoberta e pelo report… À todos os sysadmins, atualização MAIS do que aconselhável! ;-) Abraços! Jack