@semperfy: Bom dia Pessoal, vlw Reinaldo Feitosa, mas infelizmente o nosso gerente aqui não quer autenticação, como trocamos o sistema de gestão recentemente, esta sendo meio "doloroso" pros usuarios, entao ele acha que vai ser "mais uma coisa" pro pessoal reclamar, entao tenho que usar o proxy transparente, ainda uso a versão 2.7 do squid e realizo o bloqueio, msm https, no iptables, resolvi migrar para o pfsense, mas ainda esta em "teste", e, Empbilly, vou dar uma pesquisada e testar este modo splice all, mas guys, só mais uma coisinha, como estou realizando testes, estou usando um desktop DUAL CORE com 4gb de ram, no dia que realizei o teste com 20 estações a memory usage foi para 86%, tinha 2 regras de firewall e squid configurado da forma que citei acima, o que pode ter ocasionado este UP na memoria?, é normal? Mas WPAD, não quer dizer autencicado. A unica coisa que vai fazer é passar para proxy ativo e não autenticado, as duas coisas são diferentes. Com WPAD o navegador vai pegar as configurações de proxy automaticamente, como fosse configurado o proxy no browser. Proxy transparente é uma interceptação, por isso da problemas com alguns https. O único problema com WPAD seria com dispositivos móveis que não pega o proxy automaticamente, como o Tomas já colocou.

Rapaz, vai na fe q a ferramenta eh top, Tenta aplicar o SQUID+SQUIDGUARDIAN na sua rede, ta cheio de tutorial aqui no forum, ele vai bloquear sites maliciosos evitando que o usuario pegue o virus, se vc nao eh acostumado a trabalhar com UNIX BASED, no comeco vai ser meio trabalhoso, mas depois vale a pena. Te indicaria a montar um de teste para brincar um pouco antes de colocar em operacao. O SQUID vai fazer o Cache de internet, vc pode ser uma BLACKLIST e uma WHITELIST O SQUID GUARDIAN bloqueia sites maliciosos atraves de uma blacklist "automatica" gerada pela URL, separada por generos, e vc pode marcar os generos que vc quer deixar liberado. Tudo isso pode ser acessado por relatorio no futuro. PS: Eu indicaria um antivirus endpoint no servidor controlando todos os antivirus das estacoes. Boa Sorte

Se tiver pelo menos 3 ips para cada interface, funciona 100%

Eu trabalho da seguinte maneira: Meu resolver DNS é o AD e o meu DHCP é o pfsense, tudo funcionando perfeitamente. Eu só deixo o AD como DNS por virtude de umas regras via script na minha rede (mapeamento de impressora e mapeamento de pastas em redes etc).

Como todo mundo já comentou nesse tópico. Remove as regras que liberam tudo e crie novas regras liberando somente o necessário. Por padrão o pfsense bloqueia tudo. Dessa forma fica mais fácil tu tratar a segurança.

@charadasu: Bom dia! Estou tentando liberar esse endereço no proxy e não consigo me parece ser devido ter esse caracter " # ", alguem sabe como posso liberar isso no pfsense? segue endereço do site:  http://portaldigitaldoaluno.anhanguera.com/#/login Libere o dominio apenas.

No squidGuard o endereço IP da sua rede -> Client (source) No squid em blacklist remova tudo que tem lá e deixe apenas o squidguard resvolver os bloqueios No squiguard: Squid Access Control List -> Allowed Subnets - Remova o IP da sua rede

@empbilly: @Vfisher: Obrigado pelas respostas, eu não consegui identificar nada que possa gerar o comportamento  :( Achei um post mais antigo em que o @marcelloc participa: https://forum.pfsense.org/index.php?topic=43352.0 Porém no meu ambiente não funcionou. Também havia configurado como o marochavieira postou, porém sem sucesso. Estou usando todos os pacotes recentes. Fiz novamente testes e funcionou. Como eu estava fazendo os testes em meu lab de testes, o horario do pfsense estava errado e não fazia os bloqueios corretamente. Quando verifiquei isso e coloquei um servidor ntp do ntp.br e ai funcionou corretamente. Tu precisa verificar as configurações de timezone no teu pfsense, pois é a partir dessas configurações que o squidguard irá fazer os bloqueios e permissões de acesso ao sites. Na mosca, eu não tinha me atentado a esse detalhe, pois foi a primeira coisa que eu analisei quando comecei os testes, porém, na ocasião, eu havia fixado o horário manualmente, quando você falou, fui verificar o horário e estava errado. Configurei o NTP e o timezone e funcionou perfeitamente. MUITO obrigado pelas respostas e pela ajuda!!! Abraços.  :)

Qual é a versão que tu tá usando no cliente? Isso tu precisa saber.

@antonyzub: @Reinaldo: Tentei fazer uma instação hoje na versão 2.3.3 e deu o mesmo erro, ai atualizei para 2.3.3_1 e funcionou. Blz amigo, vou tentar aqui. Atualizei e funcionou perfeitamente. Obrigado

erro 403 não é do squid e sim do servidor remoto provavelmente está com instabilidade mesmo mas pra tirar a duvida, olhe o log do squid e poste aqui as linhas com os acessos

Olá, não deu certo.

Tem q ver quais portas ele usa. Skype vive mudando portas e isso da toda uma zica

Bom dia, O serviço cron tem como finalidade renovar as instancias entre host/IP dinamico, para redirecionamento de portas qualquer serviço de renovação é essencial. Tente usar as variáveis que passei e veja se ele renova. João Bosco

@marcelloc: @mateus0032: Pelo que entendi o Bypass proxy for these destination IPs seria uma regra que passaria por fora do squid assim nada de interceptar o ssl e com isso não e dará problemas com o certificado auto assinado que vc criou para usar no squid.. seria tipo um tunel por fora do squid…. já o WHITELIST seria uma liberação do dominio para poder trafegar mas passando pelo squid juntamente com o certificado auto assinado assim ocorrendo o bloqueio dele... Isso mesmo. :) Faz o sequinte! Instala no navegador google chrome a extensão "ieTab" Ele cria um ícone ao lado da barra de endereços, quando tentar acessar o ECAC basta acionar a extensão, ele reabre o site compatível com a SSL e JAVA e na sequência te pede o certificado.

Acredito que esteja faltando (no pfsense) rotas com destino à rede 192.168.5.0/24 saindo para o IP do OPNSENSE…. lista aqui as rotas do PFSENSE, por favor.

Acredito que seja isso o que tu precisa. https://www.youtube.com/watch?v=_XFA32fS1KU

Tá informando que tem erro na configuração da tua zona bravocm.com.br Já verificou isso?

@paulocmo: Já obteve sucesso, estou com um problema parecido: tenho um DMZ que esta com meu web server e 3 redes internas, da lan e de fora acessa tudo certinho, entretanto das opt1 e opt2 nao rola, ele joga direto pra o login do pf. Ja troquei a porta do pf fiz muita coisa, no teu caso acho que esse link pode te ajudar. https://www.youtube.com/watch?v=Ma2G_9PXS5I&t=989s Da tua rede interna tu tenta acessar via hostname ou pelo IP?