não e só libera as portas 20 21 não, tem um range de portas para o funcionamento correto do passive etc…

Você cria uma Aliases com os domínio do que você quer liberar depois coloca o nome dessa mesma regra que criou lá no bypass destination.

@throberth: Ola, Estou enfrentando uma grande dificuldade com rules de firewall para roteamento, tenho a seguinte topologia: (172.16.0.1/30)        (172.16.0.2/30)   PfsenseA <–---------> routerA  <-----------> routerB  <----------->  PfsenseB (192.168.1.1)    (191.168.1.2)                      (191.168.2.2)              (192.168.2.1)     |                                                                                                      |     |                                                                                                      |     |                                                                                                      |   DesktopA                                                                                      DesktopB    (192.168.1.100)                                                                          (192.168.2.100) fazendo a seguinte regra de firewall: pass  in  quick  on $LAN inet from 192.168.1.0/24 to 192.168.2.0/24 tracker 1511256677 keep state eu consigo realizar ping (ICMP) normalmente entre duas redes normalmente, mas quando vou acessar algum serviço (http) cai na Default deny rule IPv4 (1000000103) e bloqueia o acesso. Estudando, utilizei a opção "Bypass firewall rules for traffic on the same interface" em  System / Advanced / Firewall & NAT, mas assim não me atende pois fico sem poder realizar regras para os acessos. Alguém poderia me ajudar? Caro throberth, se você já se comunica entre as redes (A e B), seu(s)  firewall(s) está(ão) bloqueando. Verifique suas regras de ida e volta! Abraços

Bom dia! Desculpem a demora em retornar, tive problemas de saúde. DHCP desativado, função repetidor e ja testei com MAC cadastro também e não funcionou. Enfim vai dar mais trabalho mas vou tentar passar um cabo até lá e ver se resolvo o problema. Obrigado a todos que me ajudaram aqui.

@sitiobarreiras: Boa tarde, implantei o PFSense na empresa onde trabalho e estou trabalhando com bloqueio utilizando Alias e Rules, lista branca(bloqueando tudo e permitindo só o necessário), estou com dificuldade em liberar os sites do governo exemplo todos os sites gov.br e jus.br entre outros. Alguém já passou por essa situação ? Opa, dê uma olhada nas redes em: https://bgp.he.net/  8)

@sitiobarreiras: Boa tarde, implantei o PFSense na empresa onde trabalho e estou trabalhando com bloqueio utilizando Alias e Rules, lista branca(bloqueando tudo e permitindo só o necessário), estou com dificuldade em liberar os sites do governo exemplo todos os sites gov.br e jus.br entre outros. Alguém já passou por essa situação ? opa, você pode pesquisar as redes dos domínios em:  https://bgp.he.net

@guitarcleiton: @pskinfra: @guitarcleiton: @pskinfra: Caro Reinaldo.Pereira Tenho um dos meus PFSense´s com rede lan totalmente bloqueada ( sem proxy, direto nas regras do FW ), e foi solicitado apenas a liberação do Skype. Fiz conforme o "Aliases" informado, pesquisei também em bgp.he.net  e mesmo assim a aplicação não funciona. Obs: Até abre a página do Skype, mas não renderiza completamente. Cenário do FW para apenas um Host: Um cliente host com ip 192.168.90.62; PASS  -> ALL -> 192.168.90.62 -> skypenet PASS  -> ALL -> 192.168.90.62 -> skypehost Reject   -> ALL -> 192.168.90.62 -> ALL Também peguei o seguinte bloco das redes compartilhadas nesse link: https://docs.google.com/document/d/1ozabua0GGD8bikNAk_exJhMZYSrNxKb4npWmFH1ok1w/edit Manda um print de sua regra, pela que eu entendi lendo seu relato, sua regra esta errada. Segue guitarcleiton, Por padrão tudo é bloqueado no PFSense, não precisa da segunda regra negando acesso. crie a segunda regra liberando a outra aliase tem que ter as  2 SkypeHost e SkypeNet Obrigado caro guitarcleiton. Eu sei do bloqueio sim! Essa regra é específica em função de 2 coisas: Logs e pela ação Reject ser mais rápido no bloqueio ao usuário/cliente. Abraços!

Prezados, enfim consegui resolver. Esse foi o post que utilizei pra resolver: https://forum.pfsense.org/index.php?topic=97981.0 Muito obrigado, jao_mezari, pskinfra!

O modo mais prático é usando o pacote pfblockerNG, só marcar as listas de países, ele já vai ficar no topo de suas regras por padrão.

Prezados!! Demorou mas descobri o problema.. a regra estava com "any" no campo protocol, mudei para TCP/UDP e o limiter passou a atuar. porém não sei explicar o porque que esta alteração resolveu. obrigado pela colaboração de todos!!

@gledsonmix: Boa tarde, os roteadores tem entre 5 a 30 metros de distância do firewall, porém antes de dar pau no firewall ele funcionava com velocidade total, dai após refazer o firewall já foi constatado esse problema. Já fiz os testes de velocidades tanto do router mais próximo (5 mts), quanto do router mais longe (30 mts) e ambos chega apenas a 20 megas de velocidade, quando conectado direto por cabo RJ45 a velocidade vem TOTAL 50 megas. Os cabeamentos são passados por  conduits de rede eletricas, mas volto a repetir que antes funcionava normalmente. A versão que utilizo hoje é V. 2.3.4 32Bits pois a maquina é bem antiga. Quem puder me ajudar, ainda continuo com o problema. Faça o teste: desconecte o cabo de rede de um roteador e conecte direto em um computador e faça a aferição da velocidade, pode ser interferência no cabo de rede, não podemos descartar esta possibilidade. Você também pode alterar a configuração do Wifi, reduzindo a banda, deixando a conexão mais estável. Exemplo se a banda for 20/40, deixa somente 20MHz, se permitir ainda 10MHz. Já tentou alterar os canais?

openti, minha recomendação seria utilizar um squid + squidguard. Separe seus usuários por UO (unidade organizacional) no AD e crir ACLs no squidguard uma para cada UO. Aí, vc libera e bloqueia conforme necessidade. Os usuários pertencentes àquela unidade organizacional poderão ter acesso ou não a internet de acordo com a sua vontade. Lá na tela de ACL do squidguard ele te informa a forma como autenticar no LDAP do Windows Server.

@ciprianodf: Bom dia Amigos! Estou com um pequeno problema: Tenho uma VPN IPSEC configurada no Pfsense  entre minha rede interna e um ambiente de desenvolvimento em um provedor de cloud funcionando 100% Devido a necessidade de execução de trabalhos emergenciais e muitas vezes remoto decidimos conceder acesso a alguns desenvolvedores a uma VPN open vpn client to site para que remotamente eles consigam acessar o ambiente de desenvolvimento na hospedagem. Consigo me conectar via Open VPN a minha rede interna sem nenhum problema, mas ao tentar me conectar aos servidores na hospedagem ao inves do Pfsense enviar os pacotes para o tunel IPSEC ele está enviando para a internet. Tentei localizar as regras de roteamento da rede interna para o tunel mas nao encontrei. Por motivos de segurança o provedor de cloud não libera vpn client to site. Por isso a necessidade de passar primeiro pela minha rede interna. Dados da instalação: rede interna: 192.168.100.0/24 rede open vpn: 192.168.10.0/29 redes IPSEC site to site: 10.1.53.0/24 e 10.1.43.0/25 Agradeço a  ajuda! Com as regras você pode definir bloqueios e liberações fera. Abraços

openti, minha recomendação seria utilizar um squid + squidguard. Separe seus usuários por UO (unidade organizacional) no AD e crir ACLs no squidguard uma para cada UO. Aí, vc libera e bloqueia conforme necessidade. Os usuários pertencentes àquela unidade organizacional poderão ter acesso ou não a internet de acordo com a sua vontade. Lá na tela de ACL do squidguard ele te informa a forma como autenticar no LDAP do Windows Server. Mas como o danilosv.03 disse: De uma pesquisada sobre LDAP Faça isso para você aprender mais.

D4v1XD, Também estou precisando dos relatórios. Você conseguiu fazer funcionar com com db externo ? Valeu.

Bom dia Tomas, Eu já estou planejando essa atualização porém antes, preciso ver se não haverá problemas com as pontas remotas já que tenho VPN S2S!

Boa tarde, indica que sua pág de login está com erro… pois a minha funciona do jeito que vc falou... quando  ele conecta na rede de visitantes automaticamente abre a janela de autenticação ATT

a melhor forma de fazer funcionar ok é com WPAD! vc coloca no script pra não passar pelo proxy quando for o site da receita! E de preferência procure quais são os IP fixos do serviço e coloque uma regra no firewall para acesso direto! o meu WPAD é assim: function FindProxyForURL(url, host) {         // se o site estiver na rede interna, retorna conexao direta.         if (isPlainHostName(host) ||         isInNet(dnsResolve(host), "192.168.1.0",  "255.255.255.0") ||         isInNet(dnsResolve(host), "127.0.0.0", "255.255.255.0"))         return "DIRECT";         // se o site tiver os caracteres especificados em seu endereco (se for o sefaz de goias)         if (shExpMatch(url, "*app.sefaz.go.gov.br*") ||         shExpMatch(url, "*receita.fazenda.gov.br*"))         return "DIRECT";         // DEFAULT RULE: All other traffic.         return "PROXY 192.168.1.1:3128"; } quanto aos IPs da receita tenho esses abaixo. (Faça um alias com essas networks aee e coloca numa regra de liberação de acesso) 161.148.0.0/16 189.9.71.0/24 200.198.239.0/24 esses endereços achei em um link da receita: https://idg.receita.fazenda.gov.br/programas-para-download/receitanet/perguntas-e-respostas/qual-a-configuracao-do-proxy-e-firewall-para-transmissao-pelo-receitanet

@lucasassis: @jao_mezari: Em Source Ports acredito que você pode deixar como any e não precisa ser a mesma porta interna para o qual vai ser redirecionado. Boa tarde, Joao! Realizei essa mudança e funcionou. Que bom, cara. Marca como resolvido lá em cima pro pessoal saber que tá ok. Abraço!