Bloquear p2p de manera selectiva

sanchezluys

:) hola…

para poder ejecutar un sitio web necesitas no solo paquetes por el puerto 80 para http, también necesitas otros paquetes habilitados como por ejemplo los del DNS, si no los permites las paginas webs no podrán correr. por lo que te recomiendo que coloques o agregues una regla que permita este trafico de paquetes DNS ya sea agregar estos puertos en la misma regla o en una nueva...

ademas agrega otros puertos importantes para garantizar una buena comunicación con http, https sobre tcp o udp
puertos: http o https sobre tcp: 80, 443, 21, 53, 119
http o https sobre udp: 53, 119, 123

prueba y nos comentas...

bellera

¡Hola!

puertos: http o https sobre tcp: 80, 443, 21, 53, 119
http o https sobre udp: 53, 119, 123

¡Ojo!

http es TCP 80, normalmente TCP.
https es TCP 443, normalmente TCP.
ftp es 21, normalmente TCP.
dns es 53 y puede ser TCP o UDP.
nntp es 119 y puede ser TCP o UDP.
ntp es 123 y puede ser TCP o UDP.

En http://www.iana.org/assignments/port-numbers está la asignación oficial de puertos.

Cierto es que para acceder a Internet estos servicios son necesarios … Pero son servicions diferenciados, no todo es http o https.

También hay muchos servidores web que emplean puertos alternativos, normalmente entre el 8000 y el 8100. En http://www.iana.org se puede ver que estos puertos también están asignados, pero se usan en servicios poco habituales. De ahí que se "aprovechen" como puertos alternativos a http.

Saludos,

Josep Pujadas

FreeJeritos

nuevamente muchas gracias a todos, ya se pudo.

Creé una nueva regla para TCP/UDP DNS, NTP, NNTP y asunto arreglado. :D

Hice la prueba con el lphant p2p, veo que si se conecta, pero no realiza busquedas, ni descargas ni subidas, supongo que la conexión se hará vía http.

Ahora con la siguiente tarea…

Saludos a todos.

FreeJeritos

Hola de nuevo… pensé que ya estaba, pero al tratar de conectarme a un FTP tuve problemas al momento de listar los contenidos, no responde la conexión, ¿Será que no solo se ocupa el peurto 21 o 22 para FTP?

me envía este mensaje el FTP...

Estado: Resolviendo la dirección IP de ftp.arbold.net
Estado: Conectando a x.x.x.x:21...
Estado: Conexión establecida, esperando el mensaje de bienvenida...
Respuesta: 220 ProFTPD 1.3.0a Server (ProFTPD Default Installation) [x.x.x.x]
Comando: USER xxxxxx
Respuesta: 331 Password required for xxxxxxx.
Comando: PASS ***********
Respuesta: 230 User xxxxxx logged in.
Estado: Conectado
Estado: Recuperando el listado del directorio…
Comando: PWD
Respuesta: 257 "/" is current directory.
Comando: TYPE I
Respuesta: 200 Type set to I
Comando: PASV
Respuesta: 227 Entering Passive Mode (208,109,154,145,223,122).
Comando: LIST
Respuesta: 421 No Transfer Timeout (300 seconds): closing control connection.
Error: Error al recuperar el listado del directorio
Error: Desconectado del servidor

Saludos

bellera

¡Hola!

Normal …

Tienes que activar FTP Proxy Helper en la LAN y poner una regla que permita el tráfico TCP con destino a 127.0.0.1, http://www.bellera.cat/josep/pfsense/regles_cs.html#Alumnes

Saludos,

Josep Pujadas

FreeJeritos

Hola Josep, ya agregué esa regla, pero continua sin listar, te pongo un print de las reglas que tengo.

bellera

¡Hola!

En la definición de la interfase LAN tienes que tener la casilla FTP Helper - Disable the userland FTP-Proxy application desmarcada.

¿Lo has comprobado?

En el tutorial sólo una de la interfase Alumnes tiene deshabilitada esta opción, http://www.bellera.cat/josep/pfsense/config_base_cs.html#interfaces_alumnes

Saludos,

Josep Pujadas

FreeJeritos

Ahora si, eso era lo que faltaba Muchas gracias Josep ¿Pero que significa que inhabilitemos el ftp-proxyhelper?

Saludos!

bellera

¡Hola!

No lo has deshabilitado, lo has habilitado. Desmarcar la casilla quiere decir habilitarlo.

FTP no funciona por un sólo canal de comunicación, http://es.wikipedia.org/wiki/FTP

Esto quiere decir que se abren puertos dinámicos, con lo que hacer FTP desde detrás de un cortafuegos es un quebradero de cabeza. Para resolver esto, PF tiene la posibilidad de hacer servir el propio cortafuegos como proxy para FTP, http://www.openbsd.org/faq/pf/es/ftp.html y http://www.bellera.cat/josep/pfsense/cas_estudi_cs.html#ftp

De ahí la regla para 127.0.0.1 (el propio cortafuegos es quien comunica con el exterior para hacer FTP, haciendo de proxy).

Saludos,

Josep Pujadas

hmzgz

Buenas a todos

Me encuentro en la misma situación y lo he solucionado con el traffic shaper y con un alias.
Dentro de este he metido las direcciones ip de los hosts con acceso a p2p. Después en las reglas del
traffic shaper he modificado las ultimas cuatro que pertenecen al p2p indicando que no se apliquen a
dicho alias. En la captura se puede ver delante del alias una "!", esto indica una negación.

Saludos

p2p.jpg_thumb