Eu passei por um perrengue pra conseguir usando essa solução, fiz o seguinte: Criei um Alias com esses endereços e uma regra deixando liberado da LAN para eles na porta 80 e 443 104.131.131.132/32 104.200.24.34/32 109.123.106.250/32 109.74.197.59/32 151.236.219.57/32 162.216.16.201/32 162.216.18.163/32 173.230.146.110/32 173.230.152.57/32 173.255.209.236/32 173.255.213.36/32 173.255.214.49/32 173.255.214.53/32 173.255.218.51/32 173.255.226.186/32 173.255.232.151/32 173.255.234.245/32 173.255.234.85/32 173.255.243.160/32 173.255.245.232/32 173.255.253.150/32 173.255.254.232/32 176.58.100.154/32 176.58.101.140/32 176.58.104.101/32 176.58.110.248/32 176.58.111.122/32 176.58.111.124/32 176.58.111.163/32 176.58.112.126/32 176.58.112.160/32 176.58.115.138/32 176.58.115.39/32 176.58.117.5/32 176.58.117.75/32 176.58.119.151/32 176.58.124.244/32 176.58.97.188/32 176.58.98.13/32 176.58.98.155/32 176.58.99.196/32 176.58.99.197/32 178.79.128.94/32 178.79.138.31/32 178.79.140.188/32 178.79.143.222/32 178.79.150.32/32 178.79.152.167/32 178.79.153.233/32 178.79.157.41/32 178.79.159.237/32 178.79.163.250/32 178.79.164.196/32 178.79.181.233/32 178.79.182.43/32 178.79.183.81/32 178.79.186.194/32 178.79.188.10/32 178.79.190.135/32 178.79.190.174/32 192.155.84.126/32 192.155.86.247/32 192.155.87.170/32 192.81.129.218/32 192.81.134.251/32 198.58.97.43/32 198.74.49.240/32 198.74.57.188/32 198.74.58.243/32 209.157.64.162/32 209.157.64.163/32 209.157.64.164/32 209.157.64.165/32 209.157.64.166/32 209.157.64.167/32 209.157.64.168/32 209.157.64.169/32 209.157.64.170/32 209.157.64.171/32 209.157.64.172/32 209.157.64.173/32 209.157.64.174/32 209.157.64.175/32 209.157.64.176/32 209.157.64.177/32 209.157.66.226/32 209.157.66.227/32 209.157.66.229/32 209.157.66.230/32 209.157.66.232/32 209.157.66.234/32 209.157.66.235/32 209.157.66.236/32 209.157.66.237/32 209.157.66.238/32 209.157.66.239/32 209.157.66.240/32 209.157.66.241/32 209.157.66.242/32 209.157.66.243/32 209.157.66.244/32 209.157.66.245/32 209.157.66.246/32 209.157.66.247/32 209.157.66.248/32 209.157.66.249/32 209.157.66.253/32 212.227.96.110/32 212.71.233.60/32 212.71.251.168/32 212.71.251.182/32 212.71.252.146/32 213.171.205.141/32 213.171.205.238/32 213.171.205.77/32 213.171.205.78/32 213.171.206.148/32 213.171.207.47/32 213.171.207.48/32 213.171.207.62/32 213.171.207.71/32 213.171.207.72/32 217.174.248.233/32 217.174.249.167/32 217.174.249.223/32 217.174.249.232/32 23.239.11.145/32 23.239.13.41/32 23.239.15.84/32 23.92.19.91/32 23.92.26.7/32 23.92.27.240/32 50.116.11.250/32 50.116.14.27/32 50.116.19.218/32 50.116.2.121/32 50.116.3.153/32 50.116.3.42/32 50.116.4.68/32 50.116.50.102/32 50.116.50.105/32 50.116.50.109/32 50.116.50.197/32 50.116.50.202/32 50.116.54.198/32 50.116.61.111/32 50.116.61.155/32 50.116.62.242/32 50.116.63.215/32 50.116.63.216/32 66.175.214.89/32 66.175.223.13/32 66.228.48.183/32 74.207.240.108/32 74.207.252.229/32 74.208.106.28/32 74.208.78.224/32 74.208.79.219/32 74.208.79.224/32 74.208.99.25/32 77.68.39.21/32 77.68.39.31/32 80.85.85.133/32 80.85.85.200/32 80.85.85.58/32 85.159.211.160/32 87.106.104.112/32 87.106.11.214/32 87.106.11.38/32 87.106.12.77/32 87.106.128.170/32 87.106.13.61/32 87.106.141.10/32 87.106.183.224/32 87.106.209.135/32 87.106.209.149/32 87.106.210.57/32 87.106.214.177/32 87.106.240.160/32 88.208.202.90/32 88.208.202.91/32 88.208.248.146/32 88.208.248.164/32 88.208.248.199/32 88.208.248.200/32 88.80.184.106/32 88.80.185.201/32 88.80.190.155/32 96.126.106.194/32 96.126.98.211/32 97.107.134.71/32 91.228.166.14/32 104.131.131.132 104.200.24.34 109.123.106.250 109.74.197.59 151.236.219.57 162.216.16.201 162.216.18.163 173.230.146.110 173.230.152.57 173.255.209.236 173.255.213.36 173.255.214.49 173.255.214.53 173.255.218.51 173.255.226.186 173.255.232.151 173.255.234.245 173.255.234.85 173.255.243.160 173.255.245.232 173.255.253.150 173.255.254.232 176.58.100.154 176.58.101.140 176.58.104.101 176.58.110.248 176.58.111.122 176.58.111.124 176.58.111.163 176.58.112.126 176.58.112.160 176.58.115.138 176.58.115.39 176.58.117.5 176.58.117.75 176.58.119.151 176.58.124.244 176.58.97.188 176.58.98.13 176.58.98.155 176.58.99.196 176.58.99.197 178.79.128.94 178.79.138.31 178.79.140.188 178.79.143.222 178.79.150.32 178.79.152.167 178.79.153.233 178.79.157.41 178.79.159.237 178.79.163.250 178.79.164.196 178.79.181.233 178.79.182.43 178.79.183.81 178.79.186.194 178.79.188.10 178.79.190.135 178.79.190.174 192.155.84.126 192.155.86.247 192.155.87.170 192.81.129.218 192.81.134.251 198.58.97.43 198.74.49.240 198.74.57.188 198.74.58.243 209.157.64.162 209.157.64.163 209.157.64.164 209.157.64.165 209.157.64.166 209.157.64.167 209.157.64.168 209.157.64.169 209.157.64.170 209.157.64.171 209.157.64.172 209.157.64.173 209.157.64.174 209.157.64.175 209.157.64.176 209.157.64.177 209.157.66.226 209.157.66.227 209.157.66.229 209.157.66.230 209.157.66.232 209.157.66.234 209.157.66.235 209.157.66.236 209.157.66.237 209.157.66.238 209.157.66.239 209.157.66.240 209.157.66.241 209.157.66.242 209.157.66.243 209.157.66.244 209.157.66.245 209.157.66.246 209.157.66.247 209.157.66.248 209.157.66.249 209.157.66.253 212.227.96.110 212.71.233.60 212.71.251.168 212.71.251.182 212.71.252.146 213.171.205.141 213.171.205.238 213.171.205.77 213.171.205.78 213.171.206.148 213.171.207.47 213.171.207.48 213.171.207.62 213.171.207.71 213.171.207.72 217.174.248.233 217.174.249.167 217.174.249.223 217.174.249.232 23.239.11.145 23.239.13.41 23.239.15.84 23.92.19.91 23.92.26.7 23.92.27.240 50.116.11.250 50.116.14.27 50.116.19.218 50.116.2.121 50.116.3.153 50.116.3.42 50.116.4.68 50.116.50.102 50.116.50.105 50.116.50.109 50.116.50.197 50.116.50.202 50.116.54.198 50.116.61.111 50.116.61.155 50.116.62.242 50.116.63.215 50.116.63.216 66.175.214.89 66.175.223.13 66.228.48.183 74.207.240.108 74.207.252.229 74.208.106.28 74.208.78.224 74.208.79.219 74.208.79.224 74.208.99.25 77.68.39.21 77.68.39.31 80.85.85.133 80.85.85.200 80.85.85.58 85.159.211.160 87.106.104.112 87.106.11.214 87.106.11.38 87.106.12.77 87.106.128.170 87.106.13.61 87.106.141.10 87.106.183.224 87.106.209.135 87.106.209.149 87.106.210.57 87.106.214.177 87.106.240.160 88.208.202.90 88.208.202.91 88.208.248.146 88.208.248.164 88.208.248.199 88.208.248.200 88.80.184.106 88.80.185.201 88.80.190.155 96.126.106.194 96.126.98.211 97.107.134.71 Após liberar todos esses endereços nunca mais tive problemas com Eset Lembre-se de ir também no seu painel do Eset e colocar suas configurações de rede corretamente, ai seus clientes receberão direito, as portas que tive que liberar além dessas (80 e 443) para o Eset: 9980 e 9981 Aqui não tive nunca mais problemas com o Eset. Recomendo que crie as regras tanto no firewall quando uma whitelist no Squidguard para esses ips e safe ports acl também para essas portas acima. Att.

Obrigado Cavalcante, vc é fera também. Altere o post como resolvido! Abraços.

Opa. Também tenho essa dúvida. alguém pode ajudar?

Obrigado pelo interesse em ajudar. Porem eu preciso liberar outros usuarios acessarem que nao sejam administradores. Só preciso bloquear o admin de fazer login no webgui ou nao permitir que outros usuarios tenham permissao de alterar a senha do admin. Alguem ajuda??

@fabcostarj: Meu amigo, Servidor Dell R620 a configuração é o seguinte: Processador= Intel Xeon E5-2620 v2 - 2.10 Ghz Memoria= 32.0 MB Placa de rede= São 4 o modelo delas é Broadcom NetXtreme Gigabit. Controladora= PERC H710 Mini Servidor Dell R630 a configuração é o seguinte: Processador= Intel Xeon E5-2620 v3 - 2.40 Ghz Memoria= 32.0 MB Placa de rede= São 4 o modelo delas é Broadcom NetXtreme Gigabit. Controladora= PERC H730 Mini Os servidores utilizam HD SAS. Obrigado. Meu amigo, tu com um servidor desse faz até inveja. Pode ficar tranquilo enquanto a isso. O Pfsense vai rodar lindo e leve nesse serv.

Obrigado galera pela ajuda

amigo como faço isso?

@empbilly: Pra que tu possa trabalhar abrangendo todos os tipos de dispositivos, tu vai precisar configurar o squid com o Splice ALL. Dá uma olhada no tutorial abaixo. É bem básico, mas já ajuda. https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/ empbilly, Consegui fazer a instalação dos pacotes e ainda estou configurando as restrições que ainda não estou conseguindo aplicar. Mas uma dúvida que venho durante a configuração, sabe me dizer se é possível com e2guardian fazer os bloqueios dos sites e amarzenar os logs baseado no voucher autenticado ou no usuário local? Grato.

Sim. Só disse pra facilitar a vida do usuário e você ter tempo de consegui a solução para seu método de acesso mais seguro. Nossa vida é correria e quanto menos tempo resolvermos para o usuário melhor. Ele nem se importa com direcionamento de porta e nem regras de firewall. Com porta alta você usa o conceito de segurança por obscuridade mas tudo bem. Agora se você quer fazer ele acessar apenas um host e quer usar vpn cliente do pfsense no modo client-to-site ele vai acessar a rede toda por que vc vai dizer pro cliente conhecer a rede e não um host. Tenta fazer o seguinte: na interface de vpn vc cria a regra no topo da lista e diz que o ip do cliente movel vai acessar apenas um host na rede. Mas vc tem que criar um regra logo a abaixo para blok ele do resto da rede e logo a baixo a regra any. Se der certo posta ai.

só pra ter certeza que é algo do pfsense ou do seu shaper, faz o seguinte: antes dessa sua regra, cria uma regra acima dela na interface lan, de qualquer lugar para qualquer lugar (* para *) apenas no protocolo IPV4 e ICMP salva, aplica e testa o ping essa regra vai fazer com que apenas o ICMP não passe pelo shaper. Se com isso não aumentar o ping para 2k como vc falou, então pode ser seu shaper com alguma configuração incorreta. Senão, é algum outro equipamento ou configuração

Veirifica na aba Real time quais os hosts/ips estão sendo bloqueados ao acessar o link e principalmente a respeito do captcha, pois deve ser feita alguma chamada externa. Tem também o tcpdump que pode ser utilizado pra analise do pacotes.

Vai ter que verificar na aba Real time quais os hosts/IPs  do plus.google.com que são bloqueados para posteriormente desbloquear. Tu pode também utilizar o tcpdump pra verificar isso.

O que definiu no configuração/grupo Default?

no caso faço uma regra para bloqueio total da rede para os dominios do facebook e outros ,e no firewall libero estas 5 maquinas?

Em alguns casos liberando no SquidGuard Proxy Filter -> Target categories  como o colega citou acima resolve. Uma coisa a se considerar, percebi que alguns sites mesmo fazendo a liberação ainda permanece o problema, então a solução é ir em Squid Proxy Server >no campo Bypass Proxy for These Destination IPs  e adicionar o ip correspondente. Ao que parece alguns sites não aceitam passar por proxy mesmo fazendo a liberação no squid, talvez seja esse o seu caso.

Softphone Zoiper no notebook (WIFI) = Problema é o mesmo do ATA Esse notebook está conectado a um roteador comum que então vai depois para o pfSense? Experimenta desabilitar o tratamento ALG para SIP no roteador. Outra coisa, pelo que parece, a 5060 pode estar fechando por algum motivo. Olha a configuração de keep alive no PAP2T, em Voice - SIP - NAT Keep Alive Intvl. Pelo que entendi, a conta Voip tá sendo registrada diretamente no ATA/Softphone e não em uma PBX indermediária dentro da tua rede. A regra no NAT tá apontando para os IPs do notebook/ATA então, certo?

Boa noite a todos, rdvc, então, Basicamente, além do proxy? Qual serviço usa no escritório central? o link de 2Mb é dedicado? 2Mb/2Mb? Se for, a sugestão é passar todos do seu escritório para utilizar o proxy no pfsense, dessa forma a conexão com a central ficará livre para acesso aos serviços internos; Pelo o que foi falado, não utilizam pfSense na central, se utilizassem, poderia sincronizar proxy. GustavoPru Assim, temos as seguintes possibilidades: 1- Vc define manualmente os gateways (vc vai ter 2, que é o antigo e o novo no pfsense) nos hosts que poderão usufruir da nova internet; 2- Vc define o gateway novo para as estações privilegiadas no pfsense, mas deixa para o pool restante do dhcp o gateway antigo. Cria uma regra no firewall do pfsense dando um deny para todos os IPs que não sejam os dos privilegiados. Isso pode ser definido no próprio DHCP server do pfSense, bastas adicionar DHCP Static Mappings (reservar lease) e definir o Gateway. GustavoPru Só fique atento que você precisará criar uma outra rota (outro gateway) para os escolhidos também. Digo isso pq acredito que eles precisarão ter acesso ao outro lado da sua rede. Se isso for verdadeiro, tem algumas opções adicionais no DHCP que permitem isso. Particularmente utilizo bastante a opção 33. Claro as rotas poderão ser definidas no pfsense apontando para o roteador local, e por fim, este fará a entrega.