Como Bloquear ares, bit torrent

dr edw777 · May 27, 2011, 4:30 PM

estoy configurando pfsense pero no logro comprender como bloquear ares , y los torrents

creo que se hace con la opcion firewall que trae pfsense

help please ;)

bellera · May 27, 2011, 4:48 PM

¡Bienvenido!

En la instalación inicial tienes una regla en LAN llamada default que permite todo.

La deshabilitas y creas las reglas mínimas para navegar:

UDP * * * 53 * Resolucion DNS
TCP * * * 80 * Navegacion http
TCP * * * 443 * Navegacion https
UDP * * * 123 * Sincronizacion relojes

En Documentación tienes tutoriales…

Básicamente conviene denegar todo y autorizar sólo lo estrictamente necesario. Por ejemplo, si empleas el DHCP de pfSense entonces pfSense también hace de DNS local, con lo que la primera regla no sería necesaria. Es más, no ponerla impediría que los equipos resolvieran fuera de tu instalación. Una seguridad más.

Espero haberme explicado...

dr edw777 · Jun 1, 2011, 8:47 PM

gracias por la ayuda ;) :D

rejonathan · Jun 4, 2011, 6:09 PM

Tengo una duda, eh leido por ahi que el ares se puede configurar para que trabaje con el puerto 80 ahora el caso es de que como se podria solucionar eso.

periko · Jun 7, 2011, 12:49 AM

A veces no hay como mancharse un poco las manos, si es cierto lo que dices, bajate el ares, hechalo a volar y verifica esta teoria y nos pones a el dia para ver como atacar ese problema.
Saludos!!!

RUALBERT · Jun 27, 2011, 3:02 AM

Bue dia a todos ..bueno segui los pasos q ahy en ste link…http://forum.pfsense.org/index.php?topic=37215.0........solo bloqueo sto:

TCP * * * 80 * Navegacion http
TCP * * * 443 * Navegacion https
UDP * * * 123 * Sincronizacion relojes
LAN * * * * none.........sta regla de lan q viene x defecto la desabilite segun el consejo de ste manual.

en ste ejemplo no se ve q sea para la interface lan...pero se sobrentiende ,pero bueno solo aplico stas reglas y resulta q no puedo entrar ni al google. y alas demas paginas igual...y solo recien trato de implmentar ...el bloqueo al ares, entrego ips x dhcp y tengo el portal...y el squid con filtrado de paginas ...stoy con la version RC.3.Muchas gracias x sus consejos.Saludos.

SPEEDWIFI · Jun 28, 2011, 11:41 PM

Yo tengo las mismas y funciona bien en el pfsense 123 release, saludos

tecnowifi · Jul 5, 2011, 8:07 PM

Buenas tardes.
Por lo que veo te falta el UDP al puerto 53, para que resuelva DNS.

Dice:

TCP * * * 80 * Navegacion http
TCP * * * 443 * Navegacion https
UDP * * * 123 * Sincronizacion relojes
LAN * * * * none…......sta regla de lan q viene x defecto la desabilite segun el consejo de ste manual.

Saludos
Ramiro

RUALBERT · Jul 6, 2011, 5:54 AM

Bueno cmo habras leido dice en el consejo de bellera q si el pfsense sta configurado para entregar ip y dns x dhcp y no seria la necesaria la primeta regla ..osea : "UDP * * * 53 * Resolucion DNS". pero x siacaso probare..poniendolo ..y actualizare ala ultima version hasta el 6 de julio.Saludos amigoS foristas.

rejonathan · Jul 14, 2011, 4:41 AM

Bueno eh intentado, bloquear el ares y saben. si se conecta con el puerto 80 y para el colmo esta encriptado de tal manera el layer7 tampoco puede identificarlo….. esto del ares es un problema general..... lo único seria darle un ancho de banda muy reducido para que trabaje decentemente y los usuarios no estén cambiando de puerto ni haciendo maravillas......... si tienen alguna idea... pues...

RUALBERT · Jul 16, 2011, 2:12 PM

bueno speramos la opinion de los q les funciona bien sta configuracion o bloquearon x otras reglas el p2p.Saludos.

periko · Jul 19, 2011, 4:17 PM

Oyes esta red es un cafe internet o algun sitio publico?
O es la red de una empresa?

RUALBERT · Jul 23, 2011, 5:26 AM

bueno hice muchas pruebas poniendo y obviando el puerto dns y nada…al parecer el bloqueo de p2p no sta funcionando en sta version Rc3 .Saludos.

periko · Jul 23, 2011, 6:00 PM

Bueno, hace unos minutos me intrigo esto de que Ares se conecta x el puerto 80 y encriptado. Me vi en la tarea de levantar mi VM instalar Ares. La mera verdad aun no entiendo como tienen las reglas del firewall o como lo tienen configurado para que este programa trabaje?

Pero todo programa p2p afuerzas requiere que se abran los puertos externos para que haya comunicacion, en ningun momento el ares que instale logro conectarse, todos los intentos fueron fallidos, si aparecen en el log del firewall que ares trata de conectarse y hace un barrido de puertos, por default inicia creo con el 3 mil y algo, pero nunca logro conectarse, firewall de windows XP deshabilitado aun le deje mas puertas abiertas.

Le coloque el 80 y lo mismo empezo a hacer un barrido pero nunca logro hacer conexion, como toda firewall solo estoy dejando salir lo que requiero no mas no menos.

Baje el ares acelerador de bajadas para verlo y no tuvo efecto alguno. El firewall no dejo trabajar a ares, no hubo necesidad de meter a squid.

Lo unico que puedo decir es que si tienen la regla que dice:

A mi LAN dejalos conectarse a cualquier puerto externo, Ares si logra conectar pero lo unico que funciono fue el chat, ninguna busqueda logro retornar resultados, eso si el log del firewall mostraba mucha comunicacion de mi PC con areas hacia fuera pero hasta ahi quedaba todo.

Si se instalo un programa para encriptar trafico y brincarse el firewall por el 80 pasenmelo para darle una revisada.

Ya que aun no entiendo como lo estan haciendo trabajar, si tiene proxy lo que pueden hacer los usuarios si tienen carta abierta es configurar proxies externos para no pasar por el proxy local, en fin denme mas info para entender este problemita ??? ??? ??? ??? ??? ??? ???

Saludos :)
Pero la mera verdad ahora si que tengo muchas dudas de como tienen su firewall, estoy usando la v2-RC3.

Saludos!!!

RUALBERT · Jul 23, 2011, 10:21 PM

Buen dia ….bueno mis reglas yo solo lo tengo cmo aconsejo el sr bellera.aparte quiero agregar q tengo squid ,squidguard y proxi report en la misma pc y doy IPs x dhcp.Adjunto imagenes de mis reglas ..q son las q tengo en mi server x donde aun pasa el ares.Saludos.

periko · Jul 23, 2011, 11:30 PM

El Sr. bellera te dijo como, como dicen por ahi, "Oyes pero no escuchas", es una frase que siempre he escuchado ;D

En la instalación inicial tienes una regla en ~~LAN~~ llamada default que permite todo.
La deshabilitas y creas las reglas mínimas para navegar:

Dice que reglas para la LAN.

Observa la diferencia, ver imagen lan.jpg y wan.jpg.

En la 1ra le permito a la red que estoy sirviendo navegar ya sea

HTTP/HTTPS/DNS

lo basico, ademas de eso fui mas agresivo, si tengo configurado a

dns forwarder

para mis clientes, entonces todos los queries dns debe pasar por pfsense-lan, entonces para que ningun chistoso quiera usar un dns externo le digo que solo permita esa comunicacion atraves de mi gw.

No estoy ofreciendo ningun servicio, por ello no hay reglas en mi wan.

Ahora observando tus reglas dice:

Cualquiera en mi red puede ir a los servicios

http/https/dns

En cambio la mi dice:

Cualquiera que esten en el red que sirve mi LAN puede ir a los servicios

http/https/dns

.

Que es muy distinto.

Encajonamos la comunicacion.

Los mismo aplica a cada red que sirvas,ya sean LAN, OPT1, OPT2, AP_SENAO, etc.

Trata de hacer estos cambios y ver si te funcionan, quiero pensar que tu

WAN/NAT-PortForward

no tiene reglas verdad ???

Saludos :D

Julepa386 · Aug 31, 2011, 4:24 PM

Hola, a todos.

Debo aclarar que si quitas las reglas del firewall que trae por "default" el pfSense. Y configuras los puertos básicos de navegación de LAN hacia–>WAN (osea creando tus propias reglas), es muy díficil que el Ares se conecte. Además, te lo digo pues puse a prueba el pfSense en mi red por un mes, y los usuarios ni con: utorrent, bitorrent, azureus, vuze, etc, bajan nada de nada.

Además como proteción extra, defino una regla en WAN, haciendo DROP de los puertos que permita que algún programa dentro de mi LAN redireccione con una entrada de mapeo para puertos en WAN.

haz en la consola: netstat -an (winXP, win7) solo con ARES trabajando, en una máquina virtual, con la tarjeta de red en modo bridge (lo ideal sería instalado desde cero en un pc para pruebas). Anota los resultados. Cambia los puertos del Ares varias veces, y toma nota de lo que entra y sale. Y se aprende mucho. Ahora, si quieres usar algo más profesional monitoreando trafico, usa wireshark.

Pero con unas buenas reglas estricta sobre LAN, los P2P no trabajan y si lo logran hacer es pero muy… muy limitado. ;)

daniel75 · Oct 12, 2011, 10:30 PM

Funcionó a la perfección, probe Ares y uTorrent y no salen ni a palos con las reglas del maestro Bellera.

yerba · Dec 19, 2011, 10:22 PM

Gracias, yo lo use en un router comun y funciono perfectamente, lo unico malo es que tuve que hacerlo por bloques, por ejemplo 1-79 bloqueado, lo que no se es hasta que numero de puerto debo bloquear.

P.D: por ahora no tengo una pc don dfsense. pero lo tendré ;-)

bellera · Dec 20, 2011, 8:41 AM

Pensad que la 2.0 de pfSense tiene Layer 7 (filtros a nivel de aplicación):

[Firewall] [Traffic Shaper] [Layer 7]

http://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7