@mateusbsi: Tenho essa aqui olha… mas nada feito....... Não é "LAN Net"… É pra ser "LAN Address" = IP LAN do PFSense! Cuidado ao utilizar regras tão abertas assim (conforme tela que enviastes)… Isso faz com que TODO mundo da sua LAN possa tudo na WEB! Abraços! Jack

Jack obrigado pelo esclarecimento… eu realmente acreditava que as conexões HTTP e HTTPS saiam via proxy.... bom.. isso explica bastante... agora vou ver aqui como eu posso fazer para direcionar o trafego vindo da porta 443 para o squid (porta 3128) para que essa solicitação seja feita como o proxy transparente. Seguindo essa logica posso direcionar o trafego da porta 995...110... e por ai vai para que "tudo" saia via proxy de maneira transparente para o usuario. @Thiago L Oliveira, Não é bem assim… O SQUID é fundamentalmente um webproxy. O objetivo dele é trabalhar com conexões HTTP e, conforme debatido neste post, com possibilidade de trabalhar também com HTTPS. A principal meta do SQUID é fornecer cache para agilizar e otimizar a navegação na web para redes de computadores e trabalhar com ACLs (listas de acesso => O que pode ou não ser acessado na web). No entanto, o SQUID não tem por competência trabalhar com protocolos como o POP3 (TCP 110), IMAP (TCP 143), SMTP (TCP 25), etc... Não aconselho você forçar um redirect deste tipo de protocolo para o SQUID (TCP 3128). ;) Abraços! Jack

Deixa eu explicar o que eu quero fazer. Tenho um cliente que usava Linux como proxy, neste servidor ele tinha uma interface LAN e uma WAN, na LAN ele tinha umas virtuais, da seguinte forma: eth0:1, eth0:2, eth0:3, desta forma ele tinha: Eth0:1 - 192.168.0.0/24 Eth0:2 - 192.168.1.0/24 Eth0:3 - 192.168.2.0/24 Em cada rede desta tinha um DHCP, as máquinas que tinham MAC cadastrado na eth0:1 o DHCP entregava o IP com acesso full, mesma coisa com as máquinas com MAC ligados a Eth0:2, mas só que com apenas internet liberada, máquinas desconhecidas caiam diretamente na Eth0:3, não acessavam nada, nem mesmo a  internet. O cliente adotou o pfSense comigo e queria este mesmo cenário, então como o pfSense está no Vmware eu adicionei 04 placas de rede virtuais, sendo uma WAN, uma LAN, uma OPT1 e uma OPT2, habilitei DHCP em todas, com exceção da WAN, então fiz: LAN - 192.168.0.0/24, OPT1 - 192.168.1.0/24, OPT2 - 192.168.2.0/24, para aplicar os mesmos conceitos eu fui em DHCP Static Mappings e adicionei o MAC Address de cada máquina, amarrando o IP na LAN e na OPT1, na OPT2 eu deixei um ranger pequeno de IPS, sem amarrar MAC, para máquinas intrusas caírem nela, a principio o plano estava dando certo, só que dois dias depois, começou a bagunça, máquinas com MAC definido na rede 192.168.0.0/24 caindo na rede 192.168.1.0/24 ou na OPT2 e vice-versa, daí parou a bagunça quando desabilitei o DHCP da OPT1 e da OPT2, deixei o DHCP da LAN ativo, e na OPT1 deixei apenas o DHCP Static Mapping, está funcionando bem, mas as máquinas que estão no DHCP Static Mapping em OPT1 pegam apenas IP e subnet mask, sem DNS e sem gateway, daí elas não navegam, talvez navegue se eu forçar o uso do proxy no browser. No serviço DHCP de cada rede eu habilitei - " Deny unknown clientes" If this is checked, only the clients defined below will get DHCP leases from this server. Isso não deveria garantir que somente as máquinas contidas no DHCP Static Mappings pegassem IP daquele ranger ? Pois bem senhores, fica a pergunta, qual é a melhor solução que devo adotar para este cenário ? Como posso deixar o pfSense igual a como era antes quando o cliente usava Linux ? Sei que isto é meio gambiarra, mas lá não tem switch e nem AP sem fio extra para fazer VLAN, então o tráfego das três redes estão no mesmo switch, mas cabe ao pfSense separar quem pertence a que rede. Obrigado,

@maiquel_adam: existe algo que avise no pfsense sobre tipo excesso de perda de pacotes caso caia o link, tipo fica monitorando 24hrs o link . e caso de falha de ping avisa por mensagem algo do tipo. se não tem alguem sabe de algum programa gratis que faça isto Veja a opção System->Advanced->Notifications. De todo modo, no seu lugar, eu habilitaria o Zabbix Agent no PFSense e utilizaria o Zabbix Server para monitorar o fw como um todo (não somente questão de perda de pacotes de um link de dados). Fica a dica! ;-) Abraços! Jack

@ivanildogalvao: Beleza Jack, irei deixar quieto por enquanto, mas em firewall rule eu não estou liberando a internet por portas, está tudo liberado "Protocol ANY, Source = LAN Subnet, Destination = ANY". Está assim desde o inicio, pois na empresa não existe bloqueio de portas e sim de sites, por isso os devidos filtros são feitos pelo SquidGuard. Sendo assim aquela sua dica para por os IPS da caixa em um alias e publicar em firewall rules, neste cenário não faz sentido, ok ? Se eu colocar apenas: Coloque na configuração "Bypass proxy for these destination IPs" as redes: 200.201.173.0/24;200.201.174.0/24 E remover os IPS das máquinas "Bypass proxy for these source IPs", resolve ? Antes testei e não funcionou, mas posso tentar de novo. Sim… Basicamente seria isso! Aliás, isso vai ao encontro do que o colega @sachelaride te sugeriu e está descrito neste post: http://forum.pfsense.org/index.php/topic,9586.msg55700.html#msg55700 Em teoria, ao fazer o ByPass Destination, o PFSense escreveria dentro do arquivo "squid.inc" conforme proposto no link acima. Contudo, não sei como isso está no update do teu PFSense. Seria bacana testar (ver o conteúdo do arquivos "squid.inc" depois de vc realizar o ByPass Destination). Abraços! Jack

@vhugojr: … mas em qual diretoria fica o arquivo "squid.inc" ... O diretório é esse: /usr/local/pkg

Consigo gravar os logs do msn 2011 tranquilamente com essa última versão, porém o mesmo cai de tempos em tempos mas isto é um outro problema…

na versão 2 ajuda e muito as informações do gráfico, aonde traz o ip e o consumo, claro depende do seu caso também…

É só designar IPs estáticos para os Endereços Físicos das Placas de rede (MAC ADDRESS) pelo DHCP do pfsense, ou então terá que parar de usar o proxy no modo transparente e criar usuários para autenticação… daí nem precisava do captive portal!

@carlloscesar: Acabei conseguindo, fiz uma regra acima das outras aplicando somente a minha máquina. @carlloscesar, Exatamente. É importante entender que as rules são executadas SEMPRE na sequencialmente e quando uma regra é executada (as condições são verdadeiras), as posteriores não são executadas! Por favor @carlloscesar, renomeie o título do seu post com um "[RESOLVIDO]" na frente. Isso ajuda a organizarmos o fórum! ;-) Abraços! Jack

@jbcorsini: e to percebendo que de 3 em 3 hotas o pfsense está perdendo a conexão com a internet, estou desconfiado de ser esses DNS, será que preciso cadastrar dns no forwarder ?? Você quer dizer que a WAN está caindo? Se for esse o caso, de uma lida deste post em diante: http://forum.pfsense.org/index.php/topic,39972.msg206336.html#msg206336 Acho que não é apenas problemas de configuração de DNS. Seria se os clientes não conseguem navegar na internet, resolver nomes.

Bom dia verificar termos de uso das mesmas http://www.squidguard.org/blacklists.html http://squidguard.mesd.k12.or.us/blacklists.tgz            –> gratuita http://www.shallalist.de/Downloads/shallalist.tar.gz      --> Gratuita nao comercial, com algumas restriçoes http://urlblacklist.com/?sec=download                          --> paga Att. German Sachelaride

@zoogmaCag: Não consigo atualizar o Firefox 4.0.1 para 5. Estou usando o Ubuntu 10.04.2, 32 bits.  Estou usando o PPA "ppa:mozillateam/firefox-stable". Apareceram as atualizações do PPA, mas só dá para fazer uma atualização parcial. Dos 8 pacotes listados firefox, firefox-branding, firefox-gnome-suport, language-pack-en, language-pack-en-base, language-pack-pt, language-pack-pt-base, ubufox, só 7 estão disponíveis para atualizar. O pacote principal, "firefox", que tem 14Mb, não pode ser marcado para ser instalado. Alguém sabe como resolver? Esse cliente com SO Ubuntu está rodando numa LAN com o pfSense como firewall? Qual versão do pfSense?

Agora, deu certo! Agradeço a ajuda German

Existe sim, é um pacote mais ele é pago.

Nosso colega johnnybe indica como fez aqui, e soh fazer um alias para subnet e outro para dominios http://forum.pfsense.org/index.php/topic,39327.0.html Att. German Sachelaride

@guimair: bom pelo que eu vi no seu modelo…. o usuario pode logar se com usuario/senha e também pelo codigo vouch..... pode ser usados os dois? prq se sim, seria interessante eu fazer aqui na faculdade.. para os alunos e visitantes.... Sim. Inclusive você pode atribuir velocidades diferentes de banda para cada tipo. Também pode criar regras no firewall para que um ou outro tipo de usuário acessar determinada rede. Uma aplicação interessante é integrar o sistema da autenticação (via radius server) para os alunos, que podem colocar user: matrícula e senha (pessoal), de modo a criar "responsabilidade" nos acessos a internet.

@guimair: humm.. Deu certo…. tinha dado errado.. pq ambas faculdades estavam na msma faixa de ip da rede interna... eu coloquei uma na 192.168.1.0/24, e a outra na 192.168.0.0/24 e funcionou perfeitamente! Muito obrigado Jack!  ;D Legal @guimair, É isso mesmo… as redes precisam ser logicamente diferentes, do contrário o NAT (que é default nesta configuração), não vai funcionar mesmo! ;-) Por favor, coloque um "[RESOLVIDO]" no título deste seu post. Isso ajuda a manter o fórum organizado! ;-) Abraços! Jack