Bloquear p2p de manera selectiva
-
Hola,
yo lo tengo hecho de manera que tengo todos los puertos cerrados, y abro solo los que necesito para las maquinas que necesito… en definitivia, tengo unos alias de puertos:
- acceso web (http, https)
- acceso ftp (ftp, ftp-data, sftp)
- acceso terminal (telnet, ssh, remote desktop)
- acceso email (smtp, pop3, imap, pop3s, imaps, smtps)
...
Y solo doy acceso a los que lo necesitan. Y en el caso del P2P, abro el resto de puertos (de salida).
Con eso lo bloqueas, y no aefctas ni al rensimiento ni nada.... Es lo que hay comentado en la respuesta anterior, pero con acceso a mas cosas que HTTP.
Saludos
-
Hola amigos, muchas gracias por sus respuestas.
Ya lo hice así.
Tome mi propia IP como conejillo de indias.
Entonces tengo estas reglas
En donde NO_WAN es una IP 192.168.1.13 que es la que uso como conejillo de indias.
y puertos_correo son los puertos 25 y 110 y el resto asumo que no necesita explicación.Bién, el problema que tengo es que no tengo salida para http ni para los correos, es decir que me bloquea todo completamente.
¿En donde está la falla?
-
:) hola…
para poder ejecutar un sitio web necesitas no solo paquetes por el puerto 80 para http, también necesitas otros paquetes habilitados como por ejemplo los del DNS, si no los permites las paginas webs no podrán correr. por lo que te recomiendo que coloques o agregues una regla que permita este trafico de paquetes DNS ya sea agregar estos puertos en la misma regla o en una nueva...
ademas agrega otros puertos importantes para garantizar una buena comunicación con http, https sobre tcp o udp
puertos: http o https sobre tcp: 80, 443, 21, 53, 119
http o https sobre udp: 53, 119, 123prueba y nos comentas...
-
¡Hola!
puertos: http o https sobre tcp: 80, 443, 21, 53, 119
http o https sobre udp: 53, 119, 123¡Ojo!
http es TCP 80, normalmente TCP.
https es TCP 443, normalmente TCP.
ftp es 21, normalmente TCP.
dns es 53 y puede ser TCP o UDP.
nntp es 119 y puede ser TCP o UDP.
ntp es 123 y puede ser TCP o UDP.En http://www.iana.org/assignments/port-numbers está la asignación oficial de puertos.
Cierto es que para acceder a Internet estos servicios son necesarios … Pero son servicions diferenciados, no todo es http o https.
También hay muchos servidores web que emplean puertos alternativos, normalmente entre el 8000 y el 8100. En http://www.iana.org se puede ver que estos puertos también están asignados, pero se usan en servicios poco habituales. De ahí que se "aprovechen" como puertos alternativos a http.
Saludos,
Josep Pujadas
-
nuevamente muchas gracias a todos, ya se pudo.
Creé una nueva regla para TCP/UDP DNS, NTP, NNTP y asunto arreglado. :D
Hice la prueba con el lphant p2p, veo que si se conecta, pero no realiza busquedas, ni descargas ni subidas, supongo que la conexión se hará vía http.
Ahora con la siguiente tarea…
Saludos a todos.
-
Hola de nuevo… pensé que ya estaba, pero al tratar de conectarme a un FTP tuve problemas al momento de listar los contenidos, no responde la conexión, ¿Será que no solo se ocupa el peurto 21 o 22 para FTP?
me envía este mensaje el FTP...
Estado: Resolviendo la dirección IP de ftp.arbold.net
Estado: Conectando a x.x.x.x:21...
Estado: Conexión establecida, esperando el mensaje de bienvenida...
Respuesta: 220 ProFTPD 1.3.0a Server (ProFTPD Default Installation) [x.x.x.x]
Comando: USER xxxxxx
Respuesta: 331 Password required for xxxxxxx.
Comando: PASS ***********
Respuesta: 230 User xxxxxx logged in.
Estado: Conectado
Estado: Recuperando el listado del directorio…
Comando: PWD
Respuesta: 257 "/" is current directory.
Comando: TYPE I
Respuesta: 200 Type set to I
Comando: PASV
Respuesta: 227 Entering Passive Mode (208,109,154,145,223,122).
Comando: LIST
Respuesta: 421 No Transfer Timeout (300 seconds): closing control connection.
Error: Error al recuperar el listado del directorio
Error: Desconectado del servidorSaludos
-
¡Hola!
Normal …
Tienes que activar FTP Proxy Helper en la LAN y poner una regla que permita el tráfico TCP con destino a 127.0.0.1, http://www.bellera.cat/josep/pfsense/regles_cs.html#Alumnes
Saludos,
Josep Pujadas
-
Hola Josep, ya agregué esa regla, pero continua sin listar, te pongo un print de las reglas que tengo.
-
¡Hola!
En la definición de la interfase LAN tienes que tener la casilla FTP Helper - Disable the userland FTP-Proxy application desmarcada.
¿Lo has comprobado?
En el tutorial sólo una de la interfase Alumnes tiene deshabilitada esta opción, http://www.bellera.cat/josep/pfsense/config_base_cs.html#interfaces_alumnes
Saludos,
Josep Pujadas
-
Ahora si, eso era lo que faltaba Muchas gracias Josep ¿Pero que significa que inhabilitemos el ftp-proxyhelper?
Saludos!
-
¡Hola!
No lo has deshabilitado, lo has habilitado. Desmarcar la casilla quiere decir habilitarlo.
FTP no funciona por un sólo canal de comunicación, http://es.wikipedia.org/wiki/FTP
Esto quiere decir que se abren puertos dinámicos, con lo que hacer FTP desde detrás de un cortafuegos es un quebradero de cabeza. Para resolver esto, PF tiene la posibilidad de hacer servir el propio cortafuegos como proxy para FTP, http://www.openbsd.org/faq/pf/es/ftp.html y http://www.bellera.cat/josep/pfsense/cas_estudi_cs.html#ftp
De ahí la regla para 127.0.0.1 (el propio cortafuegos es quien comunica con el exterior para hacer FTP, haciendo de proxy).
Saludos,
Josep Pujadas
-
Buenas a todos
Me encuentro en la misma situación y lo he solucionado con el traffic shaper y con un alias.
Dentro de este he metido las direcciones ip de los hosts con acceso a p2p. Después en las reglas del
traffic shaper he modificado las ultimas cuatro que pertenecen al p2p indicando que no se apliquen a
dicho alias. En la captura se puede ver delante del alias una "!", esto indica una negación.Saludos
