Qual a versão do teu pfsense? To usando a ultima versão 2.3.4-RELEASE-p1 (amd64) e a principio tá normal. Os IPs que estão no Alias "Tablet" estão com DHCP estático ou dinâmico?

@marcelloc: Se a vlan está isolada na camada 2, as regras de fw em cada uma das interfaces lan e vlan são suficientes para bloquear ou liberar qualquer tráfego. Se atribuir ip no switch para as vlans, ele vai rotear via camada 3 e pode "ignorar o fw" dependendo de como estão ad rotas. Alguns switches fazem broadcast do tráfego para todas as portas em algumas circunstâncias, mas esse comportamento não é padrão. Agradeço a resposta. As regras de firewall estão Ok, estou conseguindo bloquear e liberar o tráfego entre as duas redes, porem, o meu problema é a ultima coisa que você apontou ,quando coloco um host com o Wireshark rodando na rede VLAN, ainda consigo escutar o tráfego de broadcast e multcast da rede LAN. As configurações do Switch estão como padrão, alterei somente as taggs das portas que iriam participar da VLAN. Sabe de algo que posso fazer para que a VLAN seja totalmente isolada para que ela pare de escutar o tráfego de broadcast da rede LAN?

Maravilha! Edita o subject do primeiro post, coloca resolvido e marca a resposta como thank you!

Firewall - nat - outbound

@hugoeyng: Algum tráfego, de um determinado IP da rede, é bloqueado mesmo não havendo regra específica para isso. Em system logs é exibido motivo Default deny rule IPv4 para bloqueio. Onde está essa "Default deny rule IPv4"? The rule that triggered this action is: @9(1000000103) block drop in log inet all label "Default deny rule IPv4" Implícita nas configurações. Se quiser mudar isso, crie uma regra liberando tudo(não recomendo)

@crisbass33: Boa Tarde Pessoal, Alguém sabe como criar regras na mão ou se tem como, por exemplo no linux eu crio regras ou libero via iptables. Possível é usando o pf mas a regra será sobrescrita após qualquer alteração no pfSense ou Scripts de rotina.

Controle por mac só no mesmo segmento de rede e quando o squid foi compilado para isso. Não acha mais simples fixar o ip no mac via dhcp?

@empbilly: No log do dmesg nem sinal da placa? Muito estranho. Pois é. Nada. Algo que também acho estranho é a ausencia do módulo if_ath no diretorio do /boot/kernel. Ele não deveria estar aqui ? ls /boot/kernel: aesni.ko alpm.ko amdpm.ko amdsmb.ko amdtemp.ko coretemp.ko dummynet.ko fdescfs.ko glxsb.ko hwpmc.ko ichsmb.ko if_ic.ko if_ixgbe.ko if_stf.ko iic.ko iicbb.ko iicbus.ko iicsmb.ko intpm.ko ipdivert.ko ipfw.ko ipmi.ko ipmi_linux.ko ismt.ko kernel.gz linker.hints lpbb.ko ndis.ko nfsmb.ko nmdm.ko opensolaris.ko pcf.ko sfxge.ko smb.ko smbus.ko viapm.ko vmm.ko zfs.ko Quando eu verifico quais estão carregados eu recebo: kldstat: Id Refs Address            Size    Name 1  15 0xffffffff80200000 225f380  kernel 2    1 0xffffffff82611000 7577    aesni.ko 3    1 0xffffffff82619000 29eb    coretemp.ko 4    1 0xffffffff8261c000 2a9bf    ipfw.ko 5    1 0xffffffff82647000 d299    dummynet.ko Como verifico se os modulos do chipset atheros foram corretamente carregados? Pq no /boot/loader.conf.local os comandos estão lá: kern.cam.boot_delay=10000 legal.intel_ipw.license_ack=1 legal.intel_wpi.license_ack=1 legal.intel_iwi.license_ack=1 if_ath_load="YES" if_ath_pci_load="YES" if_ath_hal_load="YES" hw.ath.debug="1" hw.ath.hal.debug="1"

Bom dia! então galera eu cometi um grande vacilo, o squid não estava instalando por causa da versão do pfsense, instalei o pfsense atualizado recuperei as configurações e reinstalei os packages e voltou tudo , desculpa  :-[ , mais me ajudaram demais

@danilosv.03: Vai rodar, esse é meu ambiente é transparente, trabalho praticamente com esse mesmo cenário que o seu. Realizei o teste no ambiente virtual e funcionou a configuração do Squid sem ter que habilitar o modo transparente para conexões HTTPS. Irei reinstalar o pacote no ambiete de produção e refazer as configurações do Squid, provavelmente funcione também.

@lfcarvalho: @Tomas: Crie os limiters para cada velocidade, no seu caso com mascara 24, depois Aliases com os ranges, e faça 3 regras atribuindo como origem cada alias e em opções avançadas defina o limiter de cada regra. Primeiramente muito obrigado pela solução. A sua solução combina exatamente com a que encontrei ao continuar a procurar enquanto aguardava um reply a este meu post. https://www.youtube.com/watch?v=3Jjed9gHYZw Obrigado. ;) ;) Tomas mais uma vez muito obrigado mesmo.  ;) ;) ;)

@Tomas: No Squid, Traffic Mgmt campos Overall Bandwidth Throttling (total), Per-Host Throttling (por IP) Ótimo, deu certo vlww pela dica.  ;)

A melhor coisa que você faz é criar uma aliases liberando os serviços da Skype, tem vários tópicos sobre esse assunto aqui no fórum. Tópicos que até ajudei a resolver. Caso tu não consiga achar nada aqui no fórum, nos avise.

Olá Obrigado pelas respostas, pelo que percebi é meio dificultoso fazer isso. vou tentar rodar em um ambiente de testes e ver com o e2guardiam obrigado

@t3r3son: posta ai como resolveu pq estou tendo o mesmo problema com um proxy autenticado. Liberei a conexão com estas duas redes : 1º 201.55.0.0/24 2º 201.55.62.0/24 Logo após isto a conexão foi estabelecida sem nenhum problema.

Obrigado pela dica … vou fazer isso tbém.

Muito obrigado pela informação amigo, isso me passou despercebido. Estou testando aqui para ver como melhor se enquadra no que desejo, pois tenho regras que devem ficar acima e outras que devem ficar abaixo do pfblocker. Para mim o ideal se houvesse "ordenar manualmente". [ATT] Bem, vi aqui que as regras flutuantes são analisadas antes das regras de interface. Então, se eu colocar as regras que devem ficar acima do pfblocker, talvez isso resolva o problema.. Vou testar.

@charadasu: Não sei como ta suas configurações mais tenta isso ai, vai la em Proxy Server: Access Control / ACLs - Acrescenta a porta nesses campos –> (ACL SafePorts / ACL SSLPorts ); Muito obrigado amigo Resolveu o problema Obrigado