«

»

jul 24

pfSense: configurando Firewall, NAT, DMZ, DHCP, SquidGuard e Failover de links WAN

pfSense

 

Este vídeo tem como objetivo mostrar as principais configurações feitas em um UTM pfSense depois de instalado, baseando-se nas duvidas de vários profissionais de TI que me procuraram pelas mídias sociais e por e-mail, nele explico o passo-a-passo da configuração do Squidguard, do Firewall, como fazer redirecionamento de portas com o NAT, criar redes isoladas configurando DMZ, o DHCP Server, Failover e Balanceamento de links Wan.

Também mostro como bloquear acesso a sites que usam o protocolo https, inibindo a técnica usada por alguns usuários quando o proxy bloqueia o Facebook por exemplo, onde eles forçam a saída no browser pelo protocolo https.

Espero poder esclarecer todas elas e que vocês tenham sucesso na instalação da solução no ambiente de rede em suas empresas e/ou em seus clientes.

 

Configurando pfSense (DHCP, NAT, DMZ, Firewall, Failover WAN, SquidGuard)

 

Até o próximo vídeo !

Profissional dedicado a Tecnologia da Informação, estudioso, autodidata.
Consultor, Professor e Palestrante.

Facebook Twitter LinkedIn Google+ Skype 

Profissional dedicado a Tecnologia da Informação, estudioso, autodidata. Consultor, Professor e Palestrante.

137 comentários

Pular para o formulário de comentário

  1. Carlos

    Bom dia, Ivanildo vi seu video no youtube e um amigo havia me pedido explicações sobre o funcionamento do pfsense, se no load balance com link´s de 5 e 10 megas se tem como determinar a carga da funcionalidade, e se quando executando esta função se teria problema com acesso a contas de banco, ele precisa de uma configuração simples, bloquear redes sociais e liberar no horário do almoço, o load balance e um acesso por um programa ftp: para atualizar banco de dados no mercado livre de anúncios, você acha que com o seu video básico consigo fazer estas configurações, não sou analista de sistema mais trabalho na área de provedor mais sou iniciante, tenho um pequeno provedor na minha cidade, caso não consiga quanto me cobra para me auxiliar nestas configurações, aguardo resposta.

    1. Ivanildo Galvão

      Com este vídeo você consegue desenrolar bastante coisa, mas adianto que os bancos financeiros costumam sim implicar com o Load Balance, principalmente o Banco do Brasil.
      Quanto ao horário de acesso, você precisará trabalhar com agendamento, criando os horários isso você faz no menu Firewall..

  2. Wynderson Librelon

    PARABÉNS, muito claro e seguro nas informações está sendo muito útil no meu trabalho, continue nessa sua idéia de “informação não se guarda, se compartilha”.

    Abraços;

    Wynderson Librelon

    1. Ivanildo Galvão

      Obrigado por prestigiar este trabalho, um abraço !

  3. Elmo Oliveira

    Ivanildo,

    Seu material é nota 10. Me ajudou muito na tomada na escolha do PfSense para montar o firewall da empresa que trabalho.

    Mas estou com a seguinte dificuldade: Implementei no meu servidor virtualizado (ESXi), o pfsense e duas máquinas virtuais com o Windows 2008 Server. Em uma destas máquinas instalei o serviço de mensagens instantâneas o OPENFIRE (Spark), porem não consigo conceder o serviço para meus clientes que estão na LAN, já tentei diversas regras no pfsense, fiz NAT inclusive, mas êxito. Qual seria a melhor solução a nível de regra?

    1. Ivanildo Galvão

      Olá, rapaz se vc abrir as portas do serviço na saída da regra, tem que funcionar normal, você abriu a porta DNS também como UDP ?
      O DNS Server as vezes é obrigatório para alguns serviços de mensagens instantâneas, se ainda estiver com dificuldades me mande as telas por e-mail, se for o caso te ajudo acessando teu ambiente remotamente.

      Boa sorte !

  4. Leandro

    Boa noite amigo,

    Vi seu post sobre pfSense em seu blog e gostei muito.

    Vamos ver se pode me ajudar.

    Onde trabalho, tem duas empresas distintas que dividem a mesma LAN e WAN sendo ao todo 12 computadores em uma empresa e 8 em outra.

    Minha ideia seria por o pfSense com 4 interfaces.

    A 1ª e 2ª interface para meus links WAN (OI e GVT) onde montaria o balanceamento dos links.

    A 3ª e 4ª seria configuradas como LAN com faixas de IP diferentes onde ficaria uma pra cada empresa como no exemplo abaixo:

    LAN1 > 192.168.1.1 (DHCP ATIVO)

    LAN2 > 10.0.0.1 (DHCP ATIVO)

    Isso é possível?

    Tentei fazer um laboratório em casa pra testar mas a internet só funcionou na LAN1.

    Na LAN2 o ip é distribuido normalmente mais o acesso a protocolos como http e https não funcionarão.

    Teria como me ajudar nessa?

    Agradeço desde já pela ajuda!

    Atenciosamente
    Leandro de Andrade

    1. Ivanildo Galvão

      Sim é possível, do mesmo jeito que você configura as regras na LAN1, deve configurar na LAN2.

      Pode também ter duas WAN de saída, sendo uma para cada LAN, ou criar um balanceamento de interfaces usando WAN1 e WAN2, mantendo também uma alta disponibilidade de internet.

      Qualquer duvida manda e-mail – consultoria@ivanildogalvao.com.br eu leio diariamente e demoro mais a ler as mensagens no site.

  5. Francisco

    Ivanildo, seus materiais são excelentes, parabéns!! Gostaria de saber se é possível me ajudar? Seguinte segui seu vídeo e configurei o load balance, failover, squid, e squidguard, o balanceamento e o failover funcionaram perfeitamente desde que o proxy squid não estivesse habilitado, quando habilito o proxy e derrubo a segunda wan para testar, a outra wan assume normalmente consigo pingar pra internet porem não navego, só consigo navegar quando levanto a minha wan default.
    Você tem ideia de como resolver isso? obs: estou usando virtual box com 3 interfaces de redes, 2 como nat para simular as WANS e 1 no modo rede interna para LAN. Estou usando PFsense 2.1, se puder me ajudar agradeço.

    1. Ivanildo Galvão

      Vamos conversar por e-mail: consultoria@ivanildogalvao.com.br

      Me mande as imagens de configuração do proxy server.

  6. Natalia

    Olá Ivanildo, muito obrigada pela sua explicação.. Foi excelente!
    Estou com uma dúvida, de repente você pode me ajudar.
    Tenho um servidor web rodando na minha rede e gostaria que todas as requisições da minha rede interna feitas para o endereço dele, por exemplo http://www.teste.com.br, fossem redirecionadas para o IP do servidor web, para evitar trafego de internet desnecessário.
    Tem como fazer isso com NAT? No caso criei um IP virtual na maquina que é o servidor web.

    Muita obrigada pela ajuda.

    1. Ivanildo Galvão

      Olá Natalia,

      Crie uma zona DNS no seu servidor DNS interno, seja ele o controlador de domínio Windows Server ou no DNS do pfSense, a zona deve se chamar por exemplo empresa.com.br, dentro desta zona crie um registro host (A) www e neste registro coloque o IP do seu servidor Web, deve ficar assim.

      empresa.com.br
      www = 192.168.0.200 (exemplo)
      Resultado final = http://www.empresa.com.br

      Até mais !

      1. Natalia

        Olá Ivanildo, muito obrigada pela resposta!
        O problema é que meu servidor de DNS é usado externamente, configurado no registro.br
        Se eu fizer isso o acesso externo vai parar de funcionar não vai?
        Obrigada mais uma vez!

        1. Ivanildo Galvão

          Bem, se você tem externamente o domínio teste.com.br e neste domínio você tem vários registros hosts, tipo www,ftp, mail, etc e sendo o domínio interno também teste.com.br, você cria a zona teste.com.br (já deve estar criada integrada ao AD, creio) e nesta zona você cadastra todos os registros hosts apontando para o ip externo de cada um, por exemplo:

          www = 200.211.8.10
          ftp = 200.211.9.1
          www2 = 192.168.0.10 (Este seria por exemplo um endereço interno)

          E assim vai, são exemplos. Então, sempre que o pessoal da rede interna for para estes endereços o DNS Server vai responder internamente e o que for externo de outros domínios, vão passar normal consultando servidores DNS externos.

          Este tipo de ação normalmente é necessária, quando nossa zona DNS interna é igual a externa que está hospedada em outro servidor.

          Espero que lhe ajude !

          1. Natalia

            Olá ivanildo,

            Entendi, achei que tinha como fazer isso dentro do Pfsense. Sem precisar mexer no bind.
            Obrigada pela atenção e esclarecimentos.

          2. Ivanildo Galvão

            Tem sim, vc pode criar zonas e hosts www, ftp, etc no serviço de DNS do pfSense.

  7. Ney

    Bom dia,

    Instalei o Pfsense aqui na empresa e está tudo configurado já. POrém meu unico problema é, tenho um servidor interno que possui um software e conectamos a ele atraves do ip http://192.168.20.8/polix, mas o Pfsense está bloqueando, dando uma mensagem: abaixi… Pode me ajudar por favor???

    ‘ ERRO

    A URL solicitada não pode ser recuperada

    ——————————————————————————–

    Na tentativa de recuperar a URL: http://192.168.20.8:85/polix/

    O seguinte erro foi encontrado:
    • Proibido o Acesso.
    O controle de acessos impediu sua requisição. Caso você não concorde com isso, por favor, contate seu provedor de serviços, ou o administrador de sistemas.

    ——————————————————————————–

    Generated Mon, 04 Nov 2013 11:22:29 GMT by srvproxy (squid)

    1. Ivanildo Galvão

      Olá, obrigado por acompanhar o blog.

      Você está usando o proxy e neste caso você deve ir no browser, seja IE, Crhome ou Firefox e colocar o IP deste servidor ou o ranger da rede, no campo onde tem “Não usar proxy para acessar os seguintes recursos locais”

      O que acontece é que o browser procura o pfSense para navegar, até mesmo na rede interna e esta opção que estou lhe dando, impede que a estação procure o proxy quando precisar algo que está interno.

      Até mais !

  8. Leandro Bramusse Bataia

    Boa noite Ivanildo,
    Estou montando um servidor de internet para um cliente com controle de páginas e balanceamento de carga de dois link´s de internet, mas estou tendo um problema para fazer bloqueio das páginas funcionarem. Tenho o seguinte senário: Os usuários são autenticados no próprio servidor PfSense “Não é proxy transparente” só que as regras de ACL, só funcionam quando eu bloqueio em Common ACL “que é uma regra geral para todos os usuários”, porém eu tenho vários usuários com acessos diferenciados e preciso criar grupos para isso e não está funcionando.
    Você teria como me ajudar nesse processo?

    Desde já agradeço a atenção.

    Leandro.

    1. Ivanildo Galvão

      Olá, obrigado por acompanhar o Blog.

      Você precisa criar os grupos de ACL e colocar as maquinas nestes grupos e associar cada um deles a sua Target Categories, veja este tutorial para te ajudar.

      http://www.pfsense-br.org/blog/wp-content/uploads/2011/11/Squid-com-controle-por-grupos.pdf

  9. Junior

    Prezado,

    Parabens pelo seu Blog, é um exemplo que deveria ser seguido. Estou com uma duvida, sera que o amigo poderia me ajudar.

    Tenho 2 servidores internos rodando apache.
    o primeiro de endereço 192.168.42.3 aplicacao1.dominio.com.br
    o segundo de endereço 192.168.42.4 aplicacao2.dominio.com.br

    como poderia criar uma regra para acesso externo a esses dois servidores, sendo que so tenho um endereço publico 179.252.xxx.xx, usando o pfsense, sem precisar colocar a porta que o mesmo esta escutando.

    Grato

    1. Ivanildo Galvão

      Obrigado por acompanhar o blog.

      Cara, não tem como, você precisa publicar a porta, o pfSense não tem como fazer o NAT e entregar os pacotes a um determinado host se vc não definir a porta.
      Mas se entendo a sua preocupação, vc deve estar pensando: “Como entregar pacotes na porta 80 de dois APACHES se só tenho um link WAN ?” Seria isto ?

      Se for, o que você pode fazer é usar a mesma WAN, mas criar regras usando portas diferentes, tipo, entrando na 80 para o Servidor1 e na porta 8080 para o Servidor2, inclusive neste mesmo vídeo que vc assistiu, mostro como cria NAT de um mesmo serviço para servidores diferentes.

      Um abraço e sucesso !

  10. Franco Lucky

    saudacoes…
    amei o video mais tenho um problema…..
    quando coloco a regra no firwall para permetir so a porta 80″ http”. nao funciona…. a que se deve…????

    1. Ivanildo Galvão

      Olá, você tem que abrir também a porta DNS tipo UDP, é esta porta que passa o trafego de resolução de nomes como http://www.dominio.ocm.br, smtp.dominio.com.br, http://ftp.dominio.com, etc.
      Abrir somente a porta 80 realmente não navega, pois quando vc digitar por exemplo http://www.terra.com.br sua maquina vai tentar resolver este nome perguntando ha algum DNS na internet e para isso a porta DNS (53) tem que está aberta.

      Repare no vídeo que eu mostro isso também na hora de criar as regras.

      Até mais !

  11. Franco Lucky

    obrigado… mais tenho um probleminha …. nao consigo bloquueiar btorrents… mas os sites sim… o que devo fazer__???

    1. Ivanildo Galvão

      Olá,
      Bloquear torrent no pfSense é um tanto complicado ainda, por não ter nenhum pacote 100% eficiente e de fácil configuração, você pode criar uma regra acima bloqueando a saída para todos os protocolos de torrent, mas eles tentaram e conseguirão sair pela porta 443, então você pode usar o fitro de https e assim filtrar as aplicações, vai dar um trabalhinho, mas pode lhe dar êxito, veja este comentário.

      http://forum.pfsense.org/index.php?topic=63852.0

      Para ambientes mais críticos, que exigem muitas configurações de segurança e que sejam de fácil aplicação e gerenciamento, eu uso a solução proprietária Fortigate, apesar do pfSense ser excelente, ele ainda não nos atende em determinadas necessidades ou atende mediante muitas mudanças nos arquivos de configuração.

      Boa sorte !

  12. Rafael Gomes

    boa tarde Ivanildo

    Tenho acompanhado seu bloque e ele é de grande ajuda.
    sou novo ainda no pfsense eu gostaria de uma ajuda se puder.
    olha, gostaria de implementar o proxy de forma transparante e bloquear tudo, tudo mesmo. e depois só ir liberando os sites e portas desejados, mas outra coisa que gostaria de colocar é a autenticação obrigatória em algumas maquinas para acessar tudo, sabe se isso é possível?

    1. Ivanildo Galvão

      Olá, cara é possível sim, mas para responder tudo por aqui fica inviável, são vários passos que terá de configurar.
      Sugiro ir colocando as duvidas uma a uma no site https://forum.pfsense.org/index.php/board,12.0.html
      Tem muita gente boa lá para ajudar e eu participo também.

      Até mais !

  13. Kleber

    Olá Ivanildo,

    Postei a questão em algum lugar do seu blog e não estou achando se vc respondeu…
    Poderia me ajudar? configurei o OpenVPN no Pfsense para conectar clientes windows, funciona praticamente tudo.. a unica coisa que não consigo é pingar no IP da rede local dos clientes windows só consigo pingar com o IP atribuido pela VPN, ja os clientes conseguem pingar o IP local do Pfsense e dos terminais por traz do mesmo.

    1. Ivanildo Galvão

      Olá, respondi agora por e-mail.

      Obrigado por acompanhar o blog !

  14. willams carvalho

    Camarada,

    dê um auxilio para criar uma regra NAT em minha rede para que todos aqueles que desejaram acessar minha rede sem fio sejam direcionada automaticamente para uma pagina especifica

    1. Ivanildo Galvão

      Olá, pesquise sobre Captive Portal, isso deve lhe ajudar.

      Veja este exemplo: http://www.youtube.com/watch?v=4HAhaLE8xJo

  15. Thiago

    Boa tarde Ivanildo.
    Muito bom seu material do pfsense, esta de parabens, fiz um curso e não foi tão bom quando ao seu video.
    Deixa eu perguntar se você puder me ajudar, montei meu firewall instalei e configurei o squid + squidguard os dois funcionam quando eu uso o endereço ip, queria saber se você por me ajudar, como eu faço para ele aplicar os bloqueio da backlist usando autenticação local, ja tentei ‘nomedousuario’ sem as aspas ele não busca dentro da acl, por ip bloqueia normalmente queria fazer por autenticação local.

    1. Ivanildo Galvão

      Olá, preciso ver a tela de configuração para entender como você está fazendo, se puder manda por e-mail !

  16. Alex

    Mestre Ivanildo, boa tarde.

    Estou com um problema que afeta muitos sysadmin atrás de um proxyserver, acessar o SIAFI, já liberei todas as portas necessárias 23000, 80, 443, 8999, além de incluir o IP do SIAFI 161.148.40.200 no campo ” Bypass proxy for these destination IPs” , mas nada resolveu , continua a MSG ao tentar acessar o sistema, ERRO 657 “ERRO AO CONECTAR AO HOST/161.148.40.200 e a porta 23000″ . Por favor mestre nos dê uma luz no pFsense ! Abraços

    1. Ivanildo Galvão

      Rapaz, você fez o que eu faria. Liberar as portas de saída, mas somente para a rede dos sistema SIAF, evitando assim escancarar o firewall, junto com o Bypass Destination, informando ao pfSense que qualquer máquina que for acessar aquele IP externo, não passe pelo Squid, passando então apenas pelo firewall.

      Você chegou se o IP e a mascara deste serviço SIAF estão corretas ?

      Se quiser mandar uma imagem do erro para meu e-mail que posso analisar melhor.

      Até mais !

  17. Alexandre

    Bom dia Ivanildo, muito bom o seu vídeo. Mas tenho um probleminha aqui, que pra mim que sou iniciante estou fritando a cabeça por isso.
    Configurei o PFSENSE, habilitei o DHCP, porem ele não acessa a internet, e nem consegue conectar para atualizar. Mas o Skype em uma maquina que estou testando conexão funciona mas a internet não. O que pode ser?

    Obrigado pela atenção.

    1. Ivanildo Galvão

      Olá, obrigado por acompanhar o Blog.

      No escopo DHCP, lembre de especificar o gateway que as maquinas vão usar, no caso o IP do pfSense, especifique também o DNS, que pode ser ele também ou outro DNS da rede, como controladores de domínio Windows Server caso tenha na rede.

      Nas regras de firewall do pfSense, lembre-se de publicar a porta DNS tipo UDP, se vc tiver publicado apenas http, https, smtp, pop…… a navegação não vai funcionar enquanto você não liberar a porta DNS.

      Até mais !

    2. Ivanildo Galvão

      Olá, a porta DNS está liberada no firewall ? Este problema é típico de DNS, o Skype usa IP dos servidores para conectar, por isso não sofre problemas, mas tudo que for http://www.domínio não navega.

      Sucesso !

  18. ivanoe

    Cara gostei muito do seu poster mas to com uma duvida presiso bloquear watsapp aqui na empresa e tambem criar uma vpn com um winco dns agradesso desde ja

    1. Ivanildo Galvão

      Obrigado por acompanhar os vídeos. Não conheço este Winco DNS, seria como o DynDNS ? Para criar VPN você optar pelo OpenVPN que é bem tranquilo de configurar, procure sobre ele no google e no youtube, tem vários tutoriais.

      Para bloquear o Watsapp, você pode usar o firewall para negar a saída de pacotes nas portas http e https, para a rede IP do serviço, ou então usar o Proxy Autenticado e colocar tanto o IP como os nomes FQDN do serviço na ACL do proxy.

      Sugiro também fazer parte do fórum pfSense em Português, muitas dicas bacanas pegamos de lá https://forum.pfsense.org/index.php?board=12.0
      Sds !

  19. Clauber

    Olá estou com uma dúvida no pfsense seguinte:
    coloquei o modem como PPOE, fui na INTERFACE WAN – STATIC IPV4 CONFIGURATION – GATEWAY e la adicionei um novo gateway e configurei-o como gateway o ip 192.168.254.3 (ip do pfsense), as regras do squid funcionam blz, porém ao enviar email com anexo eles não saem, muito embora estão liberadas no firewall as regras para as portas POP3(110), POP3S(995), 587, IMAP(143), IMAPS(993), SMTP(25), SMTPS(465), daí se os emails não tiverem anexo passam sem problema.

    1. Ivanildo Galvão

      Este caso é novo para mim, anexos não sair. Você habilitou o HAVP antivírus no Proxy ?

  20. Rafael

    Primeiramente gostaria de parabenizar o seu trabalho, e pela iniciativa de compartilhar seu conhecimento, tenho um Firewall Pfsense rodando funcional e boa parte da configuração, fiz a partir de suas vídeo aulas.Tenho que implementar uma outra Funcionalidade no PFSense preciso configura-ló para que eu consiga logar maquinas via internet em um servidor windows server 2008 que esta atrás do PF, já fiz varias pesquisas sobre quais portas devo liberar mais não obtive sucesso, você tem alguma ideia do que tenho que fazer, no outro firewall que eu utilizava o BRFW consegui fazer isso somete criando um redirecionamento para o servidor, mais no PF Sense não obtive sucesso.

    1. Ivanildo Galvão

      Obrigado.

      Quanto a sua dúvida, veja neste mesmo vídeo a parte que falo sobre NAT, é justamente o que vc está precisando, redirecionamento de portas, o NAT é quem faz isso, o que vem da WAN na porta X, cair no IP LAN na mesma porta ou outra porta.

      Sucesso !

    2. Ivanildo Galvão

      Obrigado,

      Quanto a sua dúvida, veja neste mesmo vídeo a parte onde falo de NAT, é justamente o que você precisa, redirecionamento de porta. Onde no NAT você configurar o pacote que chega no link WAN porta X, cair em um determinado IP LAN na mesma porta ou em outra diferente.

      Sucesso !

  21. Roberto

    Olá Ivanildo, parabéns pelo blog, bastante completo!
    Mas, estou com uma dúvida que não encontrei ainda aqui. Estou tentando virtualizar o PFSense 2.1.1 através do Hyper-V do Windows Server 2012, porém utilizando as placas de rede novas e não as legadas do mesmo. O motivo é simples necessito adicionar mais do que 4 placas de rede no PFSense. Já realizei a instalação dos drivers indicados no github.com – Ports, porém ao substituir placas de rede legadas pelo novo padrão, o PFSense fica reiniciando continuamente. Outra solução adotada foi fazer todo o processo por um Server Free-BSD 8.3 e depois de tudo funcionando ok, copiar os arquivos do /boot/kernel para o PFSense. E neste ponto me encontro, as placas de rede de novo padrão funcionam, porém tenho um erro de “pfctl:/dev/pf: no such file or directory”. Pelas minhas pesquisas até agora significa que o módulo pf não foi carregado e as regras não funcionarão. Você possui alguma idéia de como posso resolver este erro?
    Agradeço a ajuda e parabéns novamente.

    1. Ivanildo Galvão

      Olá, obrigado por acompanhar o blog.

      Rapaz, sinceramente não sei, este tipo de problema eu não peguei ainda e não é fácil virtualizar soluções BSD no Hyper-V, apesar de alguns profissionais informarem que é tranquilo, já virtualizei uma vez no Hyper-V, mas usando a placa virtual no estilo Legacy.

      Todos os meus outros casos de virtualização de pfSense é com Vmware, seja Workstation ou ESXi, em nenhum deles tive problemas, nativamente o Vmware suporta qualquer sistema baseado em FreeBSD.

      Se você puder migrar para Vmware, sugiro que faça isso, você verá que seu projeto vai fluir normal, sem dores de cabeça.

      Boa sorte !

  22. Daniel Carvalho

    Boa Tarde,

    Gostaria em primeiro lugar lhe parabenizar pelo ótimo vídeo que produziu ele me ajudou bastante, mais ainda estou tendo uma pequeno problema.
    Tenho duas interface WAN 177.43.XX.XX e 177.0.XX.XX meu sistema é acessado externamente pelo 177.43.xx.xx mais infelizmente não estou conseguindo criei a rega no NAT fazendo o redirecionamento das porta mais ainda persiste o problema se puder ajudar ficarei grato.

    Atenciosamente.

    1. Ivanildo Galvão

      Olá, obrigado.

      Bem, se o link por onde você criou o NAT for secundário, não vai funcionar porque a saída principal do gateway é pelo link principal.

      Desta forma vai precisar criar um LoadBalance dos links, para que o pfSense habilite os dois links na saída, o que acontece neste seu caso, se for o que estou pensando, é que o pacote NAT está chegando em um link WAN que está em stand by.

      Sucesso !

      Neste caso vai precisar criar um loadba

  23. Elmo Oliveira

    Olá Ivanildo,

    Estou estudando o pfsense, através do seu site. Porem tenho algumas dificuldades em desenhar para o meu objetivo:

    Tem como usar o pfsense exclusivamente como proxy?

    Possuo 3 interfaces de rede, sendo: Wan, Lan e WiFi, atualmente o pfsense é dchp nas interfaces Lan e Wifi. Porem quero usar o meu servidor windows 2008 como servidor dhcp na milha rede Lan e o pfsense como servidor dhcp na minha interface Wifi. (possuo vlan configurada no meu switch). É possível esta configuração?

    Forte Abraço,

    Elmo Oliveira
    Tecnologia da Informação.

    1. Ivanildo Galvão

      Olá Elmo,

      É perfeitamente possível sim, e como sua rede está com VLANS, evita qualquer atrito entre os DHCP, sem falar que eles já estarão separados fisicamente por suas placas de rede, vc pode em uma placa de rede do pfSense ligar a rede WiFi e na outra placa de rede ligar o switch da LAN.

      Quanto a configuração de regras e filtros web, vai funcionar normal, o pfSense entende que a rede está segmentada.

      Sucesso !

  24. Elder Rondon

    Ola Ivanildo,

    primeiramente quero lhe agradecer pela grande contribuição que presta para os todos com seus esclarecimentos e videos aula.

    Bom, minha duvida e quando ao bloqueio HTTPS, como fez para descobrir todos os ips do facebook, youtube e outros?

    pois quando ping em um site consigo descobrir qual o ip, mais da forma que fez parece que ja tinha uma lista pronta…

    pode me orientar?

    desde já obrigado.

    Abraços.

    1. Ivanildo Galvão

      Olá Elder, desculpa pela demora na resposta.

      Use este site http://bgp.he.net/ lá no campo “search” digite facebook.com e clique no botão, ele vai lhe trazer todos os endereços IPV6 e IPV4, basta usar os IPV4.

      Sucesso !

      1. Elder Rondon

        Ivanildo, muito obrigado!

        Venho analisando minha rede e vejo que meu link dedicado de 10 mb esta chegando em sua capacidade em todo momento. Existe uma forma de fazer um controle de banda?

        Para relatório de acessos, o que me recomenda?

        Valeu grande abraço!

        1. Ivanildo Galvão

          Olá, respondi aqui ao outro post de pergunta falando sobre priorização de tráfego, basta usar Traffic Shapes.

          Sucesso !

  25. Rubisnei

    Boa noite Ivanildo, estou montanto uma maquina para fazer o bloqueio do facebook em uma empresa, vi o seu video, enquanto não desativo a regra padrão da lan ele navega perfeitamente, mas quando desativo ela e crio as regras novas de acordo com o seu tutorial, minha rede não navela, a partir dele consigo pingar a rede externa, e da minha rede pingo o ip do meu pfsense, fiz exatamente como você postou no tutorial. o que pode tá acontecendo com a minha regra?

    rubisnei

    1. Ivanildo Galvão

      Olá Rubisnei,

      Sua resposta é “deve abrir a regra também para DNS”
      Olha este vídeo, explico isso direitinho – http://www.ivanildogalvao.com.br/seguranca/pfsenseinternet

      Sucesso !

  26. Elder Rondon

    Boa tarde Ivanildo,

    Novamente pedindo amparo, preciso fazer uma QoS em minha rede. Onde e como posso fazer priorização de pacotes e controle de banda, quando inicio um download ele consume todo meu Down, causando lentidão na rede.

    Aproveitando a oportunidade se existir a possibilidade de bloqueio do Ultrasurf, isso também ajudaria bastante.

    Desde já obrigado!

    Abraços,

    1. Ivanildo Galvão

      Bom dia Elder,

      Crie Traffic Shape no menu firewall, depois adicione o shape na regra que você desejar, basta ir na parte mais avançada da regra logo mais abaixo.

      Sucesso !

  27. Joao

    Irmao , tem como eu bloquear o acesso na interface wan EX: com o ip real nao conseguir acessa-lo?

    1. Ivanildo Galvão

      Olá, não entendi a sua pergunta. Pode explicar melhor ?
      Por padrão qualquer acesso vindo da rede externa para a interface do pfSense, é devidamente bloqueada, o pfSense deixa todas as portas de entrada fechadas, incluindo as de ICMP.

      Até mais !

  28. Vitor

    Ivanildo, tudo bem?

    Faz algum tempo que estou fazendo implantações usando soluções do pfsense. Instalei aqui na empresa onde trabalho o mesmo fazendo failover entre dois links, o problema é que também uso proxy. Percebo que quando o gateway default cai, o link secundário entra, porém quem está pelo proxy não navega.

    Você já passou por esse problema? pode me ajudar?

    desde já, muito obrigado!

    1. Ivanildo Galvão

      Olá, respondi por e-mail.

      Sucesso com seu pfSense !

  29. Paulo Nunes

    Estou usando o pfSense aqui no trabalho a pouco tempo. tenho o seguinte problema:

    Para evitar ficar fazendo testes no pfSense em produção, instalei uma VM do pfSense no servidor de virtualização Xenserver (esse com um IP fixo na LAN), e algumas VM Windows para testes na LAN virtual.

    pfSense em produção (real):
    WAN: Provedor de Internet (6 IPs) o primeiro está como Gateway da LAN real.
    LAN: 10.10.0.x/22

    pfSense Virtual:
    WAN: 10.10.0.x (ip fixo da LAN real)
    LAN: 192.168.10.x/24

    As VM Windows da rede virtual não estão saindo pra internet. Um colega me falou que preciso criar uma regra no pfSense real indicando que o ip (WAN do pfSense virtual) deve sair por um segundo ip da WAN real, mas não me disse como fazer.

    Detalhe o pfSense virtual consegue pingar para qualquer DNS externo.
    Você pode me dizer que regra devo criar?

    1. Ivanildo Galvão

      Olá, vamos lá.

      A – As máquinas conseguem pingar a interface interna do pfSense ?
      B -Existe uma regra no pfSense liberando todas as portas para a internet ? Ou, se estiver liberando porta por porta, como http, https, smtp, etc, lembre-se e liberar também a 53 UDP (DNS)
      C – O pfSense tem acesso normal a internet ?

      Sucesso !

  30. Paulo

    Para resolver o caso acima, será preciso criar uma regra de firewall como essa:

    #iptables -A FORWARD -s 10.10.0.x -p TCP -m MULTIPORT –dport 80,443 -j ACCEPT

    Porém o pfSense não trabalha com iptables.

    Qual seria outra solução?

    1. Ivanildo Galvão

      Olá Paulo, neste caso você cria uma regra de firewall para cada porta ou range de portas, neste mesmo vídeo mostro como criar as regras de firewall.
      Mas dê uma olhada neste outro vídeo onde dou mais detalhes – http://www.ivanildogalvao.com.br/seguranca/pfsense-firewall-e-roteamento

      Sucesso !

  31. Paulo

    Ivanildo, já assisti seus vídeos, mas não encontrei a solução que procuro.

    Como já disse, eu preciso criar uma regra de firewall que para liberar um ou mais IPs que pule o firewall e o proxy.

    Estou colocando num link a figura da tela Firewall / Rules para você analisar e me dizer o que fiz errado, pode ser?

    https://drive.google.com/file/d/0B2TQXnrCoopUdXowRkpuTU5Vd3c/edit?usp=sharing

    Você pode excluir esse link do público do seu site, ok.

    Na figura o Paulo é um aliase com o IP que vou liberar.

    1. Ivanildo Galvão

      A regra de firewall está correta, agora como você usa o proxy, precisa usar a opção “Bypass proxy for these source IPS”, veja este link que tem uma imagem da tela com este campo, que é onde você colocará o IP da sua máquina: http://www.pfsense-br.org/blog/wp-content/uploads/2011/10/Tutorial-Squid-PFsense.pdf

      Sds !

      1. Paulo

        Obrigado vou testar agora mesmo.

  32. Marcelo

    Boa Noite

    Ivanildo tudo bem?

    Tenho o PfSense na empresa onde foi configurado nas regras do firewall o bloqueio do Facebook , quando configuraram liberaram um ip para utilização de todos os sites sem respeitar o firewall, fui criar uma regra para outro ip não funcionou.

    Como libero um IP para acesso total na internet ?

    Sou novato no pfSense.

    Marcelo

    1. Ivanildo Galvão

      Olá, se estiver usando só regra de firewall, basta criar uma regra com origem LAN > IP da máquina e Destino Any, com todas as portas abertas e coloca esta regra lá em cima, tem que ficar acima de todas as outras regras, se ela estiver abaixo de alguma regra de negação, não vai funcionar, o pfSense ler as regras de cima para baixo, portanto se tem uma regra em cima que nega o acesso a internet e a sua regra que libera está mais abaixo, vai valer a primeira.

      Sds !

  33. Diego Nascimento

    Olá…

    Gostaria de saber se tem como ter um registro de log para identificarmos o usuário em uma rede wifi através do pfsense???

    Desde já obrigado pela atenção.

    1. Ivanildo Galvão

      Olá, tem que configurar o pfSense como servidor RADIUS e configurar os APS de rede sem fio para usa-lo como servidor de autenticação.

      Sds !

  34. Diego Nascimento

    Olá…

    Eu gostaria de saber se tem como utilizar registro de log para identificarmos o usuário na rede WiFi através do Pfsense??

    Desde já agradeço pela atenção

    1. Ivanildo Galvão

      Olá, você teria que configurar o pfSense como Servidor RADIUS e configurar os APS de rede sem fio para usa-lo como servidor de autenticação.

      Sds !

  35. Raul Junio

    Boa tarde Ivanildo, instalei o pfsense em uma maquina física até então acho que fiz todo o processe certo, só tem uma coisa que não esta de acordo. Eu não consigo acessar o meu pfsense se eu não antes colocar o ip da wam na minha paca de rede.
    exemplo: O meu modem ta na faixa de ip. 192.168.25.1
    No pfsense eu joguei o seguinte ip na lam: 192.168.25.25
    na wan: 192.168.1.1

    no meu caso eu so consigo acessar se eu jogar na minha placa de rede o ip na faixa da wan: 192.168.1.?

    como eu faço pra acessa-lo direto ?

    1. Ivanildo Galvão

      Olá, já respondi por e-mail.

      Sds !

  36. Alexandre Augusto de Sousa

    Boa tarde Ivanildo, fiz a configuração aqui do failover conforme explicou no vídeo e funcionou perfeitamente. Eu me deparei na seguinte duvida, quando eu crio uma conexao VPN via OpenVPN ele só funciona para um link apenas. O que pode ser? Pode ser feito a configuração da OpenVPN com failvover? Obrigado por compartilhar seus conhecimentos.

    1. Ivanildo Galvão

      Olá, faça o mesmo processo de configuração de Open VPN novamente, só que apontando para o IP do outro link, desta forma o serviço Open VPN atenderá tanto por um link como pelo outro.

      Sucesso !

      1. Alexandre Augusto de Sousa

        Boa tarde Ivanildo,

        Eu fiz o processo que indicou. A unica coisa que alterei foi a porta. Ele conecta na VPN e acessa a rede por um link. Mas no outro só conecta no VPN, não acessa a rede, o que pode ser?

        1. Ivanildo Galvão

          As regras de firewall estão configuradas ?

          Sds !

  37. Rafael

    Bom dia.

    Primeiramente parabéns pelo vídeo muito bom. Eu realizei toda configuração DNS, DHCP, squid, squidguad e regras de firewall. A principio está funcionando tudo normal fazendo os bloqueios corretamente, mas estou com grande dificuldade para liberar o acesso ao skype até já tentei liberar vários IPs chega a conectar, mas não envia as mensagens.

    1. Ivanildo Galvão

      Olá, o skype passa normalmente pela porta http ou então pela https, então deveria estar funcionando, mesmo que você habilite o proxy transparente ou autenticado.
      Reveja as regras, tente identificar se existe alguma negação de saída para http e https.

      Sucesso !

      1. Rafael

        Eu estou utilizando proxy autenticado com squidguard-squid3, mas na lan eu bloquei todo e qualquer acesso liberando apenas DNS, ICMP, porta 3128 e regra liberando os ips do skype para qualquer porta. Tentei também configurar proxy no skype e liberar um usuário sem restrição de navegação, mas também não funciona.

        1. Ivanildo Galvão

          Olá, já respondi por e-mail.

          Sucesso !

  38. Rafael

    Bom dia.

    Primeiramente parabéns pelo vídeo muito bom. Eu realizei toda configuração DNS, DHCP, squid, squidguad e regras de firewall. A principio está funcionando tudo normal fazendo os bloqueios corretamente, mas estou com grande dificuldade para liberar o acesso ao skype até já tentei liberar vários IPs chega a conectar, mas não envia as mensagens.

    Obrigado.

    1. Ivanildo Galvão

      Olá, já respondi por e-mail.

      Sucesso !

  39. karen

    Boa tarde

    tenho dois links configurados no pfsense, o 1º esta com um link de 60mb de dow e 3 de up, o 2º esta com um link de 10mb de down e 10mb de up. preciso deixar o link de 60 como principal para dow e o link de 10mb para up, tem como ?? poderia me explicar??? obrigada

    1. Ivanildo Galvão

      Olá, obrigado por acessar o blog.

      Sinceramente não fiz este tipo de configuração ainda, alternando entre Down e UP, vou procurar saber e posto aqui.

  40. Gustavo Henrique

    No PFsense vc consegue compartilhar 3 links para internet?
    Fazer o balanceamento desses links?

    1. Ivanildo Galvão

      Olá,

      Sim, consegue !

      Sucesso !

  41. Marcelo Ferreira

    Boa Tarde

    Pessoal tenho o cenário abaixo :

    Rede Interna 192.168.0.0 ( GW 192.168.0.254 liga no PFsense)

    Rede interna 2 ligada em outro switch 192.168.10.0 (Placa no PFsense 192.168.10.254)

    Estou precisando que a rede ligada no switch 1 que a rede 192.168.0.0 comunique com a rede 192.168.10.0 ligada no switch 2.‏

    Já inseri a placa no pfsense com o ip 192.168.10.254 e liguei um cabo de rede no switch onde esta a rede 192.168.10.0‏

    Alguém consegue mim ajuda nisso

  42. Cristiano Jesus Lima

    Estou configurando o meu firewall Pfsense seguindo o seu vídeo que por sinal muito explicativo, mas na hora de desabilitar e criar as regras http e https os computadores não conseguem acessar a internet, só volta a funcionar quando eu habilito a regra geral novamente.

    Há alguma dica?

    1. Ivanildo Galvão

      Olá,

      A regra que nega o acesso https deve ter os alvos definidos (destinations), no caso os rangers de rede do Facebook.
      Lembre que esta regra deve ficar acima da regra que libera.

      Sucesso !

  43. Matheus Rozeira

    Olá Ivanildo, parabéns pelo vídeo… muito bom.

    Tenho uma dúvida:

    Eu consegui fazer a NAT para publicar o acesso ao SQL Server na porta 1433 e o RDP na porta 3389, mas não consigo publicar o IIS na porta 80. Eu já alterei o painel do PFSense para porta 8080, tentei colocar outro porta de destino na regra do nat. (exemplo 9001) e mesmo assim não obtive êxito.

    Será que é alguma configuração no IIS? Estou usando IIS 7.5 num Windows Server 2008.

    Outra coisa:

    Eu consigo publicar o endereço sistema.dominio.com e site.dominio.com no mesmo IP e no mesmo IIS.

    Antigamente eu usava o ISA Server 2006 e funcionava perfeitamente.

    Abraços e obrigado.

    Matheus Rozeira

    1. Ivanildo Galvão

      Olá, desculpe a demora.

      O conceito para NAT na porta 80, é o mesmo que você está usando na porta RDP e do SQL, não tem nada diferente, ha não ser o número da porta.
      Procure ver se o IIS está configurado para ouvir na porta 80 e se o firewall do Windows Server 2008 não está fazendo algum impedimento.
      Altere a porta de acesso ao console do pfSense, para porta 8080, pois se vc tiver acessando o pfsense desta forma http://ippublico, então o próprio pfsense, estará usando a porta 80.

      Sucesso !

  44. Gerson

    Olá Ivanildo,

    Quero substituir um ISA 2004, o pfSense foi escolhido por causa da questão preço.

    Porém, preciso de uma solução onde eu possa facilmente bloquear e liberar acessos
    a sites específicos, assim como liberar o acesso em determinados horários, meio dia e após as 18h por exemplo.

    Eu consigo ter este tipo de controle no pfSense ?

    1. Ivanildo Galvão

      Olá, sim, você consegue, algumas coisas demandam um pouco mais de mão de obra, mas faz. No geral a maioria das politicas que você precisa, são feitas facilmente.

      Sucesso !

  45. Eduardo Rodrigues de Faria

    Bom dia Ivanildo,

    Tenho um modem configurado com o ip xx.xx.0.10 e configurei um dmz nele para o pfsense transparente, o qual está com ip xx.xx.7.20 .
    No modem já está desabilitado o dhcp, bem como em outros dois roteadores que temos.
    O problema é que alguns usuários precisam acessar via wi-fi e assim acabam tendo a senha e passando para outros funcionarios, mas a maioria nao consegue acessar nada, até aí sem problemas.
    Porém, um mais esperto descobriu a faixa do ip do modem e consegue colocar um ip estatico na faixa xx.xx.0.xx e acaba não passando pelo pfsense
    Como faço para resolver esse problema?

    desde já muito obrigado

    1. Ivanildo Galvão

      A única forma de não passar pelo pfSense, e a estação entrar na mesma faixa de rede do modem, como você bem citou. Mas para isso acontecer, o modem tem que estar ligado em um Switch, está assim? Se sim, para resolver isso meu amigo, o cabo de rede do modem tem que estar conectado diretamente no pfSense. Isso obriga a todos os pacotes da LAN a passarem pelo pfSense, antes de chegar no modem.

      Sucesso !

  46. Fabricio Abraham Pimenta

    Sr Ivanildo,

    Seu material é nota 10. Me ajudou muito na tomada na escolha do PfSense para montar o firewall da empresa que trabalho parabéns pelo vídeo…. continue nessa sua idéia de “informação não se guarda, se compartilha. Parabéns mesmo!!!
    Como sou novo aqui tenho o seguinte problema. instalei aqui o pfsense aqui na empresa com duas placas de rede, uso ip dedicado da operadora “oi” de 2MB no servidor tenho acesso a internet baixo pacotes e tudo mas mas quando é para sair com internet na placa outra placa de rede não acessa nada. Você tem alguma solução estou batendo cabeça com isso a duas semanas.
    Obrigado !!

    1. Ivanildo Galvão

      Olá, não entendi o seu problema.

      Abraço !

  47. dorival

    Ola Ivanildo tudo bem?
    Amigo tenho acompanhado as suas Aulas do Pfsense no seu canal no youtube até o presente momento tem dado certo.
    estou trabalhando com um servidor com duas placas de rede WAN ip real / LAN 192.0.1.x porem é o seguinte eu só consigo acesso a minha interface web de administração pela minha Lan não consigo acessar remotamente. sabe me dizer onde estou errando? as portas na minha regra firewall liberadas são as:
    443
    80
    8080
    110
    25
    conforme o seu tutorial.
    aguardo um retorno obrigado e parabens pela excelente aula.

    1. Ivanildo Galvão

      Olá, basta você criar uma regra de NAT, abrindo a porta 443, destinada a WAN Address, assim você conseguirá gerenciar o pfSense a partir de qualquer local pela internet.

      Até mais !

  48. Marco Auélio

    Já descobri o que é professor.

    Obrigado

  49. Eduardo

    Ivanildo, boa tarde.
    Estou com o seguinte problema:
    Alguns setores ligados à administração pública fazem uso do SIAFI (Sistema Integrado de Administração Financeira do
    Governo Federal) através do serviço de emulação via web browser (HOD) no site do SERPRO (acesso.serpro.gov.br).
    A emulação de terminal via web browser é uma maneira que o SERPRO disponibilizou para acessar a aplicações 3270 em uma Intranet ou Internet.

    Implementei o PFSense na rede da empresa XYZ, e apartir dai não tenho mais acesso ao acesso.serpro.gov.br

    Se dou telnet do terminal do PFSense ou de fora da empresa, roda:
    # telnet acesso.serpro.gov.br 23000

    Porém, as máquinas internas não conectam!

    O que vc acha que posso fazer mano? Já adicionei as portas:

    acl SSL_ports port 443 563 873 21 5060 7070 444 8080 3130 3128 447 465 995 7443 5005 563 1741 23000 8999 1352 7000 1024-65535

    acl Safe_ports port 23000

    e criei todo tipo de rules com o ip do acesso.serpro.gov.br.

    1. Ivanildo Galvão

      Olá, faz o seguinte teste.

      Coloca todos os endereços de destino na Whitelist do Proxy, reinicia o Proxy e ver se dar certo.

      Sucesso !

  50. Celso

    Ola Ivanildo,

    Primeiramente gostaria de parabeniza-lo pelo belo trabalho, me ajudou bastante no aprendizado do pfsense, estou começando tentando implementar meu primeiro servidor, seguindo seu tutorial.

    Estou com dificuldade de conectar meu servidor com placa de rede wifi ao roteador, não achei onde realizo esta conexão no o pfsense. você poderia me ajudar, o servidor pfsense seria como cliente de outro roteador que já vem da internet, porem com placa de rede sem fio.

    Att,

    Celso Nery.

    1. Ivanildo Galvão

      Olá, melhor usar uma placa de rede ethernet ao invés de Wi-Fi.

      Sucesso !

  51. john ção

    Boa tarde vanildo estou montando um provedor de Internet e gostaria de saber se teria como eu fazer essa distribuição pelo pfsense estou usando mikrotic mais não estou gostando tenho 50 clientes no mikrotic a internet esta caindo muito mais no modem ta normal e so volta no microtic quando eu reinicio ele

    1. Ivanildo Galvão

      Olá, sim é perfeitamente possível, o pfSense é usado inclusive em alguns locais públicos e bastante em hotéis para prover internet aos hospedes.

      Sucesso !

  52. Guilherme Ribeiro

    Ivanildo, parabéns pelo trabalho e pela atenção dada aos leitores!

    Preciso configurar o PFsense para receber meu link de internet, porém ele está num ESXi, nessa máquina eu tenho duas placas de redes. Precisaria que o link da minha internet(IPválido) chegasse nesta máquina, porém, estou confuso como fazer tal. Pelo PFsense eu enxergo somente uma interface de rede, não consigo visualizar duas. Já dei um ifconfig up e nada. Eu precisaria configurar um interface para receber o link e a outra pra sair para minha rede inválida. O pfsense tbm seria meu dhcp e outras coisas.

    Muito obrigado!!!!

    1. Ivanildo Galvão

      Rapaz, quem entrega os drivers das placas de rede ao pfSense é o Vmware, se tem duas placas de rede física, o pfSense deve ser capaz de enxerga-las.
      Cada placa de rede física deve estar atrelada a um vSwitch, uma para LAN e outro para WAN.

      Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ ;)

      Sucesso !

  53. danielx

    Boa tarde Ivanildo ,
    Estou com um site no meu firewall que não consigo desbloquear
    https://www.dominioatendimento.com:82/login.html o site e esse
    tenho instalado o squidguard
    e o firewall ja bloqueando facebook e youtube
    mais esse site por ter a porta 82 não libera

    outro problema e com a local web
    o firewall não libera a porta 993 e a 587 ssl
    do outlook somente da problema na localweb
    tive que remover o proxy das maquinas que usam o outlook
    da uma tristeza isso obrigado!

    1. Ivanildo Galvão

      Bom dia,

      Para liberar acesso a porta TCP 82, vá no Squid em ACL e adicione a URL.
      services -> proxy server -> Access Control
      Depois bote a porta acl safeports, bote também as portas do serviço de e-mail, mas por padrão deve funcionar sim na regra de firewall. Reinicie o Squid !

      Estamos com o curso de pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ ;)

  54. Wesley Lopes

    Ola tude bem?
    tenho um pfsense e no squid no edit files
    na pasta var\squid\acl\sites
    liberei um site chamado amil.com.br
    ele entra normal,mas quando entra na aba credenciado
    sisamil-gestão ela abre essa url:https://amil.com.br/portal/web/servicos/funcionalidade/acesso-rapido/sisamil_-_gestao_credenciado_medico%3Fkeys%5B0%5D=sisamil_-_gestao_credenciado_medico
    ai o site não abre.
    O que tenho q fazer para o site abrir normal??

    1. Ivanildo Galvão

      Olá, coloca este endereço na Withelist do Squid ou outra opção seria colocar o IP do site no campo Bypass Proxy for These Destinations IPS.
      Faça o nosso curso completo em vídeo aulas, nele ensino muita coisa sobre o pfSense, desde o básico ao avançado.
      Apenas R$ 500,00 e pode ser dividido em 6x no cartão.
      https://www.jlcp.com.br/produto/curso-pfsense/

      Sucesso !

  55. Edin Rivas

    Olá Ivanildo. Parabéns pelo tutorial.
    Tenho já há algum tempo o OpenVPN no Pfsense e de uns tempos pra cá, eu consigo conectar em minha rede da empresa mas não tenho acesso aos recursos, como servidores, área de trabalho remota, impressoras, etc.
    Como posso fazer pra resolver, pra ver o que está acontecendo, deve ser alguma regra de NAT ou RULES que está faltando?

    Abraços.

    1. Ivanildo Galvão

      Olá Edin,

      Quando executar o OpenVPN, clique com o botão direito nele, “Executar como Administrador” é preciso para que o OpenVPN Client tenha permissões de adicionar um rota estática na estação, é 90% de chances de ser isso. Teste e me diga.

      Sucesso !

  56. DANIEL RODRIGUES DA COSTA FILHO

    Cheguei aqui para ver o seu video e ele está privado… :(

    1. Ivanildo Galvão

      Olá Daniel, não era para estar, mas fui lá agora e o tornei publico.

      Sucesso !

  57. Suporte

    Ivanildo boa noite,

    Tudo bem?

    Estou tentando fazer um NAT para o recebimento na porta 11965 do pfsense(firewall), quando envio um pacote do client para o firewall, eu consigo ver que recebeu o pacote na rule para aquela NAT, mas aparece SYN_CLOSED.
    -O NAT está configurado com o recebimento no endereço do meu link de internet e na porta 11965;
    -E a rule está com a ação em PASS;

    Mas não libera, o que está faltando? Poderia me ajudar.

    Desde já agradeço

    1. Ivanildo Galvão

      Olá, sinceramente eu precisaria ver pelo menos as imagens das regras de NAT criadas, para entender onde está o problema, manda para ivanildogalvao@esolutionti.com.br
      Já conhece nosso curso completo de pfSense ? O curso aborda o NAT e muito mais, principalmente as configurações avançadas:
      https://www.jlcp.com.br/produto/curso-pfsense/

      Inscreva-se, divulgue entre seus amigos de TI, em grupos e fóruns.

      Sucesso !

  58. Alex Fidalgo

    Boa tarde.

    Estou com um problema no pfsense, tenho um ip fixo da netvirtua, fiz a configuração tudo certo, ip, mask, gw, dns1 e dns2, porem nao consigo navegar, instalar pacotes, o que poderia estar faltando na configuração, fiz um teste com um notebook direto no modem da net com as configurações que foram passada e a navegação tudo ok.

    Obrigado.

    Alex Fidalgo

    1. Ivanildo Galvão

      Não tenho a menor ideia, precisaria dar uma olhada nas configurações, se você diz que está com IP, GW e DNS funcionando corretamente, tem que funcionar de primeira.

  59. Haroldo Leite

    Boa Tarde, Ivanildo

    Estou com problema para acessar site de bancos, ao entrar ele pede para instalar as proteções dos bancos, faço o download, instalo porem quando vou entrar novamente no banco ele pede para instalar novamente e fica assim se conecto o micro numa rede paralela sem o sense entra normalmente já tentei varias configurações mais não funcionou

    Fico no aguardo de sua resposta

    Obrigado

    Haroldo Leite

    1. Ivanildo Galvão

      Olá Haroldo, você está usando mais de uma interface WAN com balanceamento ?
      Se sim, dê uma olhada neste vídeo: https://www.youtube.com/watch?v=0aalgULiLHE

      Sucesso !

  60. Cristiano

    Bom dia Ivanildo.
    Amigo assisti vários videos seu para poder montar o PfSense aqui na empresa; e graças a Deus e a Você está tudo rodando beleza. Não uso proxy transparente, os usuarios são autenticados LOCAL. a minha pergunta é: Tem como eu liberar acesso total ao logon do USUÁRIO, e não pelo IP? As máquinas da DIR estão com acesso total; mas estão liberadas pelo IP, assim qualquer usuário pode ter acesso aquela máquina…e isso ta dando problemas aqui…O ideal seria o acesso liberado por usuarios!! Teria como amigo? como faço?

    1. Ivanildo Galvão

      Olá Cristiano, você precisa implementar uma solução de Webfilter de Sites, pode ser com SquidGuard ou com NXFilter, em ambos você consegue controlar os acessos pelo logon dos usuários, aplicando regras individualmente ou por grupo.

      No meu curso de pfSense, ensino a configurar ambos, o curso é bem completo com mais de 50 vídeo aulas.

      Dê uma olhada: http://www.ivanildogalvao.com.br/seguranca/pfsense17990

      Sucesso !

  61. Cristiano

    Bom dia Ivanildo, amigo, antes de comprar o curso, preciso saber de você duas coisas: 1º o PfSense é instável? pergunto porque por duas vezes, ele parou do nada de bloquear com Squid e Squidguard… ficando a internet as “Pampa”..rsrs. Tive que instalar denovo!! Será que falta alguns ajustes? e 2º: comprando o curso você daria algum suporte para eu deixar o PfSense redondinho? Eu utilizava o Linux, Debian e apesar de ser mais complicado a configuração era bem estável…depois de pronto passei anos sem mexer nele!

    1. Ivanildo Galvão

      Rapaz, o pfSense é estável sim, talvez estivesse faltando algum ajuste, já o coloquei em clientes com e sem proxy e funcionam até hoje.
      Sim, tirarei todas as suas dúvidas no curso, não posso auxiliar em projeto próprio por dois fatores: a – Tempo e b – Também presto serviços de consultoria para implantação de pfSense é uma das minhas formas de ganho de vida :) :)

      Mas acredite, com as aulas você irá desenrolar tudo só, são aulas bem práticas e bem claras na explicação, mas repito, você poderá tirar todas as dúvidas sempre que precisar.

      Inscreva-se no curso, pois curso de pfSense completo como este, com assuntos avançados e por R$ 179,90, você não irá encontrar em lugar algum.

      Abraço !

      Ivanildo Galvão

  62. anonymous

    Quando vou tentar acessar o roteador ele só vai para a pagina de configuração do pfsense! Como acesso o roteador normal?

    1. Ivanildo Galvão

      Olá, precisaria entender o layout da sua rede.
      O pfSense está por traz do roteador ?
      O IP que chega no pfSense é o público da WAN, ou um IP privado entregue pelo roteador ?

      Abs !

  63. Tiago

    Olá Ivanildo! Estou tentando redirecionar a porta 80 para um servidor IIS, porém o redirecionamento não funciona, fiz através do NAT. Meu pfsense está na versão 2.2.6 e tenho squid3 e SquidGuard instalados. Você poderia me ajudar?

    1. Ivanildo Galvão

      Oi Tiago, rapaz, se você fez o NAT certinho como ensinei neste vídeo, não tem outra coisa a fazer, há não ser checar se o servidor IIS está com o endereço de gateway apontando para o pfSense e se ele não está bloqueando a entrada do pacote através do seu firewall interno.
      Procure outro vídeo no youtube de minha autoria, chamado Firewall e Roteamento, nele explico novamente o NAT e com mais exemplos.

      Sucesso !

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Você pode usar estas tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Pinterest
Email