Erro ao aplicar regra "sticky-address cannot be redefined"



  • Boa tarde pessoal,

    Estou utilizando o pfSense 2.0.3-RELEASE (amd64) em um firewall de teste que tenho para laboratório, neste firewall tenho duas WANs e uma LAN, em cada WAN tem um modem ADSL em bridge onde o pfSense faz o PPPoE, estou utilizando estes dois links em Loade Balance e também tenho o squid 2.7.9 configurado como transparente rodando em outro computador fazendo cache do conteúdo.
    Até ai tudo bem, tudo funcionando como esperado com as seguintes regras de firewall:

    Então precisei fazer um determinado site não sair pelo proxy e resolvi fazer isso com uma regra de firewall que ficou da seguinte forma:

    Ai vem o problema, depois de criar a regra e tentar aplicar recebo o seguinte erro.

    There were error(s) loading the rules: /tmp/rules.debug:148: sticky-address cannot be redefined
    pfctl: Syntax error in config file: pf rules not loaded The line in question reads [148]: pass  in log  quick  on $LAN 
    $GWLoad_Balance  proto tcp  from 172.0.0.0/24 to  $Bypass_Proxy port 80  flags S/SA keep state  label "USER_RULE: Sites 
    sem Proxy"

    Tentando resolver o problema fiz as seguintes constatações:
    1 ) Se crio a regra “Sites sem proxy” abaixo da regra Proxy(aonde ela não cumpre seu papel) não retorna erro ao tentar aplicar.
    2 ) Se não defino endereço de destino na regra mesmo ela estando acima da regra ”Proxy”(que como no caso anterior não serviria para nada) também não me retorna erro ao aplicar.

    Depois disso tentando interpretar o erro vi que era algo referente a opção “User Sticky Connections” então desabilitei essa opção e consegui salvar a regra “Sites sem proxy” acima da regra “Proxy”. Agora isso me traz outro problema, ao desabilitar a opção “User Sticky Connections” vou ter problemas com alguns sites então terei que criar outra regra de firewall para tratar este problema e essa não é minha intenção.

    Teria uma outra maneira de resolver esse problema?


    ![Erro regra.jpg](/public/imported_attachments/1/Erro regra.jpg)
    ![Erro regra.jpg_thumb](/public/imported_attachments/1/Erro regra.jpg_thumb)



  • Fazendo testes fiz funcionar dessa forma, criei a regra "Sites sem proxy" logo acima da regra "proxy" só que ao invés de configurar o gateway como Loade Balance eu usei um Failover, dessa forma consigo desviar o tráfego para alguns destinos antes que ele seja jogado para o proxy e não recebo o erro anteriormente relatado.

    Não é o que eu gostaria de fazer mas resolve, vou continuar testando qualquer coisa posto aqui o que fiz para resolver…