@ricardodru:

@GabrielSchimith:

boa tarde, atualmente estou usando a versão 2.0 RC3, queria saber como acessar o pfsense da empresa de outros lugares, como minha casa, as vezes preciso acessar o pfsense remotamente e não tenho essa opção ! obrigado !

Isto é possivel se o IP for fixo (plano corporativo), ou se vc utilizar serviços semelhantes ao no-ip.

Apenas complementando a resposta do colega @ricardodru, procure habilitar o acesso remoto SEMPRE via HTTPS (System -> Advanced). Depois disso, você pode efetuar esta liberação (tanto no caso de utilização do IP público fixo quanto de serviços Dynamic DNS), no menu "Firewall -> Rules -> Wan". Neste ponto, se você pretende fazer este acesso remoto de um local que tenha um IP público fixo, opte por informá-lo no "source" da regra que você vai criar.

Todas as medidas citadas acima são muito importantes para garantir um nível mínimo de segurança quando de acessos externos. Ainda em tempo, costumo orientar meus clientes a fazerem este tipo de acesso somente por intermédio de uma VPN (um túnel encriptado) entre a máquina onde você está (seu notebook) e o servidor PFSense em questão… Existem posts neste fórum que tratam destas configurações.

De qualquer forma, qualquer dúvida adicional, poste por aqui mesmo! ;)

Abraços!
Jack

@ricardodru:

@GabrielSchimith:

Boa tarde, queria saber como bloquear todos os sites de uma determinada maquina ou por uma faixa de ip ! Uso a versão 2.0 RC3 !

Para bloquear pelo ip ou faixa de ip, utilize o firewall do pfsense. No endereço de origem, insira o ip ou faixa que deseja bloquear.
Talvez seja necessário criar mais de uma regra, dependendo da quantidade de ips.
Pelo mac, só sei bloquear pelo squid.

Além do que o ricardodru citou, você pode também utilizar aliases, menu Firewall: Aliases. Isso vai permitir que você coloque uma faixa de IPs, ou IPs individuais conforme for mais prático para seu caso. Usar Aliases evita que você crie regras idênticas para cada IP. Imagine a situação em que você quer bloquear uma determinada porta para 50 hosts (máquinas), de uma mesma subnet com 120 hosts. Não seria prático, não é mesmo? Por isso, utilizar aliases simplifica seu trabalho, deixa mais elegante e enxuta as suas regras.

Dá uma olhada nesse post um exemplo de como funciona Aliases e sua utilização nas regras da lan:
http://forum.pfsense.org/index.php/topic,39327.msg202952.html#msg202952

Nesse caso do link acima eu usei CIDR, mas você pode usar faixas de IP. Exemplo 192.168.1.100-192.168.1.149

Gabriel,
Dá uma olhada nesse tópico: http://forum.pfsense.org/index.php/topic,39102.0.html
Acredito que com atenção de sua parte na leitura, e algum pequeno ajuste para suas necessidades,
o tópico vai ajudá-lo a fazer o que você precisa.

Perfeito, deu certinho, tudo funcionando como deveria ! Obrigado aos dois que me ajudaram !

Bom dia ,

Faça os seguintes teste :

1- Verifique se o seu modem está navegando na internet  se conectando direto nele ;
2 - Verifique se o IP da Wan está na mascara certa da rede ;
3 - Verifique se o Gateway Default do Pfsense foi criado e está certo;
4- Verifique se você consegue pingar da rede o IP da WAN do Firewall;
5- Verifique se você consegue pingar o gateway do Roteador;
6- Caso você não consiga , verifique o cabo entre o Firewall e o roteador , se estiver ok;
7- Se o teste do ping funcionou , ping um endereço qualquer na internet  para ver se voc~e está sainda para o mundo ;
8- Se este teste der ok , você está saindo .
9- Ping agora para um endereço por exemplo www.uol.com.br , caso não responda verifique seu DNS e teste novamente .

Obrigado e espero ter ajudado , qualquer dúvida meu e-mail é rjos0211@gmail.com

@Felipe:

Pessoal boa tarde.
Sou novo no mundo PFSence, estou assumindo a área de TI de uma empresa que já tem implantado o PfSence.
Logo de cara estou com um problema assim:
Tenho uma aplicação interna que dispara e-mails com links para acessar determinados relatorios.
O problema é que externamente funciona, internamente o link não abre.

Felipe Lett,

Talvez (aparentemente) o seu problema não tem relação direta com o PFSense… O que deve estar acontecendo é que estes "links para acessar determinados relatorios", devem estar resolvendo para IPs públicos, que tlvz estejam configurados na WAN do teu PFSense ou em outro roteador/firewall de borda da tua empresa.

Logo, externamente, tudo funciona bem... Já que as requisições chegam no teu equipamento de borda e são encaminhadas para o respectivo servidor na tua rede local. Já internamente, os pacotes não conseguem sair e entrar (Loop NAT). Se este for o seu caso, tlvz devesse considerar a possibilidade de ter um serviço DNS frio (válido somente pra tua LAN) que resolva para o respectivo IP local... Neste caso ficaria (apenas um exemplo, claro):

QUEM ESTIVER FORA DA MINHA LAN = relatorios.meudominio.com.br -> 200.200.200.1
NA MINHA LAN = relatorios.meudominio.com.br -> 192.168.0.53

Abraços!
Jack

@maiquel_adam:

estou com um link da OI e um da GVT, mas estou com problemas com DNS no loadbalancer,,, alguem para me ajudar???

Que tipo exatamente de problema?
Pode explicitar melhor o seu cenário?
Você está tentando fazer ladbalance de entrada (para mais de um servidor DNS na tua rede DMZ)? ou loadbalance de saída (da tua LAN para a internet)?

Abraços!
Jack

@TLP:

Bom dia, existe essa possibilidade??

Bem, do ponto de vista conceitual, existem basicamente dois tipos de VPNs:

Client-to-Site: Neste tipo de VPN, como o próprio nome sugere, você tem vários clientes conectando ao teu site (tua rede) através de um cliente. Esta metodologia é tipicamente utilizada por usuários móveis (notebooks e afins) para conectar na rede da sua empresa/instituição. Para este tipo de aplicação sugiro que você utilize a metodologia/protocolo PPTP (VPN->PPTP). Neste caso, o seu usuário poderá configurar a conexão cliente diretamente no seu sistema operacional (Windows, Linux ou outro) e só vai conectar pelo Login e Senha que você estipular no PFSense. Quando quiser desabilitar, basta excluir ou inativar o usuário (funciona 100%)

Site-to-Site: Neste tipo de VPN você interliga duas redes diferentes. Ideal para quando você precisa interconectar filiais e não quer fechar uma VPN para cada funcionário de cada filial, por exemplo. Neste caso, a VPN é fecha entre 2 ou mais PFSenses, por exemplo, e as máquinas atrás dos firewalls passam a se enxergar transparentemente (dependendo das tuas rules, claro). Aqui sugiro que você use o OpenVPN (VPN->OpenVPN). Para saber mais como fazer: http://jamsux.wordpress.com/2009/09/15/pfsense-openvpn-site-to-site/

Abraços!
Jack

@utraead:

Tem como dar permissão por usuário no squi do pfsense? Só consegui por ip, estava usando o squiguard mas começou a dar problemas de uma pra outra. Achei melhor usar só o squid pois está masi estável, porém preciso criar regras por usuários não somente por ips. Tem jeito?

Outra alternativa bem interessante, no caso de você ter uma base de usuários já estabelecida obviamente, é fazer com o que o teu PFSense autentique num eventual servidor Windows AD/Samba (base LDAP) ou Radius na sua rede.

Assim você pode efetuar as liberações/bloqueios norteando-se pelo cadastro de usuário pré-existente. Além disso o SQUID vai passar a gerar os logs (LightSquid) com o nome dos usuários (quem acessou o que) e não apenas com o IP das estações! ;)

Abraços!
Jack

Legal.
Então, por favor, edita os assuntos que você iniciou colocando "resolvido" para que fique claro
para quem procura.

Pode ser que seu helpdesk não aceite proxy então faz um teste e coloque o seu ip(helpdesk) no Bypass proxy for these destination IPs.
Quando for para ir para seu site vai passar por fora do proxy.

@rafael.cardoso:

use o pesquisar essa questão ae ja tem algumas respostas, atualize o pf e os pacotes, tive o mesmo problema com uma maquina velha, mas a memoria dela tava com problemas, geralmente cada caso é um caso como dizem…

Ola

Verifique os logs, tive varios problemas com a questao de logs, ainda mais quando o squid nao esta funcionando corretamente, meu hd ficou cheio de logs.

Att.

German Sachelaride

Achei esse tópico no forum e resolveu meu problema. Instalei numa máquian xp a versão 2.1.4. Depois só coloquei os certificados no windows 7 com a versão 2.21, funcionou redondo.

Um grande abraço.

Valeu astro pela força.

Olá!

Talvez isso solucione o problema com isso:

Title: Re: Disk usage shows 100% after updating to squid 2.6.18.1_06
Post by: memodan on October 21, 2009, 04:21:23 am
Quote from: Bern on October 31, 2008, 04:58:17 am
Quote from: hadi57 on October 31, 2008, 04:47:16 am
i a running pfs 1.2, i updated squid last night, and since my disk usage shows 100% and clients coudnt get lease from dhcp, help really apreciated

I also had this. The quick way - to get you started again - is to:

Stop squid
Get into a root shell on your pfSense box
Run "rm /var/squid/cache/swap.state"
I can't remember if you need to run "squid -z" but there should be no harm in running it.
Start squid

You'll start off with an empty cache but it should start working.

thanks man it's work with me

Está neste local a dica:

http://forum.pfsense.org/index.php?action=printpage;topic=12364.0

Mais tarde eu tento e informo se houve sucesso ou não

Obrigado!

Pensem num treco estranho hehe

O https ta funcionando ao que vejo, liberei o site do youtube e bancos, o youtube é possivel acessar https://www.youtube.com, e sites de bancos, todos com https, tudo funciona menos o gmail.

Só funciona se realmente liberar o squidguard todo, deixar o default como allow.

na parte advanced do NAT, onde é para desmarcar  o refletion esta tudo desmarcado:

Disables the automatic creation of additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks. Note: Reflection for port forward entries is skipped for ranges larger than 500 ports.

Disables the automatic creation of additional NAT 1:1 mappings for access to 1:1 mappings of your external IP addresses from within your internal networks. Note: Reflection for 1:1 NAT might not fully work in certain complex routing scenarios.

Automatically create outbound NAT rules which assist inbound NAT rules that direct traffic back out to the same subnet it originated from.
Currently only applies to 1:1 NAT rules. Required for full functionality of NAT Reflection for 1:1 NAT.

estas 4 opcoes estao desmarcadas.

nas configuracoes de NAT nao tenho nada mais sobre isso…tenho duas para acesso remoto aos servidores e uma para a VPN..so isso

German,

Muito obrigado pelas informações, ajudou bastante.

Valter Júnior