Traffic Shaper–---> Layer7

hgarcia

Hola a todos.

Actualmente estoy aprendiendo layer 7 para bloquear por ejemplo protocolos como gtalk, jabber y msnmessenger. Aplico la accion bloquear y luego creo una regla en la lan que este antes que todas las otras reglas que tengo, pero no me funciona, ya que el chat de gmail sigue funcionando asi como el whatsapp que tengo instalado en una Blackberry, pero que me conecto por wifi.
He realizado todos los pasos que he visto en internet, pero asi todo no me funciona.
Se requiere instalar algun paquete adicional o crear algun alias en el firewall?

Saludos.

traffic.JPG_thumb

ptt

Revisa estos Hilos ;)

http://forum.pfsense.org/index.php/topic,37208.0.html

http://forum.pfsense.org/index.php/topic,48534.0.html

http://forum.pfsense.org/index.php/topic,45381.0.html

hgarcia

Gracias ptt, pero eran esas paginas las que mencionaba que ya habia visto en internet.
volvere a repasar las configuraciones, puede que algo se me halla pasado.

saludos y gracias.

@ptt:

Revisa estos Hilos ;)

http://forum.pfsense.org/index.php/topic,37208.0.html

http://forum.pfsense.org/index.php/topic,48534.0.html

http://forum.pfsense.org/index.php/topic,45381.0.html

ptt

Por favor, adjunta captura de pantalla de las Reglas de FW

Si los "L7 containers" estan Bien, debe haber algo en las reglas de firewall

Un detalle, la regla de LAN, que hace referencia al "L7 container" NO es una regla "Block" es una regla "Pass"

O sea, hablando mal y pronto, haces un "Pass" hacia el "L7 container" que hace el "Block" ;)

hgarcia

Ahi te adjunto las reglas que tengo.
Te comenta que al final deniego todo, es decir tengo abierto los puertos necesarios.

@ptt:

Por favor, adjunta captura de pantalla de las Reglas de FW

Si los "L7 containers" estan Bien, debe haber algo en las reglas de firewall

Un detalle, la regla de LAN, que hace referencia al "L7 container" NO es una regla "Block" es una regla "Pass"

O sea, hablando mal y pronto, haces un "Pass" hacia el "L7 container" que hace el "Block" ;)

![regla firewall.JPG](/public/imported_attachments/1/regla firewall.JPG)
![regla firewall.JPG_thumb](/public/imported_attachments/1/regla firewall.JPG_thumb)

c_setup

hgarcia, en la politica del firewall no estas bloquendo todo (o nada), en la 2da. linea solo permites protocolos tcp/udp, pero todos los puertos los permites !!!!, checate este link creo te ayudara, suerte http://www.internetmania.net/int0/int133.htm

quote author=hgarcia link=topic=61241.msg330175#msg330175 date=1366213911]
Ahi te adjunto las reglas que tengo.

Te comenta que al final deniego todo, es decir tengo abierto los puertos necesarios.

@ptt:

Por favor, adjunta captura de pantalla de las Reglas de FW

Si los "L7 containers" estan Bien, debe haber algo en las reglas de firewall

Un detalle, la regla de LAN, que hace referencia al "L7 container" NO es una regla "Block" es una regla "Pass"

O sea, hablando mal y pronto, haces un "Pass" hacia el "L7 container" que hace el "Block" ;)

hgarcia

Pero la regla no me acepta bloquear, solo de paso y despues cuando se junto con layer 7 debe bloquear, no es esa la logica de funcionamiento. Respecto a la regla de bloqueo en el firewall al final tengo bloqueado todo y tengo abierto los puertos necesarios en mi LAN (Adjunto imagen de las reglas del firewall, ademas de la configuracion en layer7)

Como debe ser entonces para bloquer los puertos???….....no entiendo.

Saludos.

@c_setup:

hgarcia, en la politica del firewall no estas bloquendo todo (o nada), en la 2da. linea solo permites protocolos tcp/udp, pero todos los puertos los permites !!!!, checate este link creo te ayudara, suerte http://www.internetmania.net/int0/int133.htm

quote author=hgarcia link=topic=61241.msg330175#msg330175 date=1366213911]
Ahi te adjunto las reglas que tengo.

Te comenta que al final deniego todo, es decir tengo abierto los puertos necesarios.

@ptt:

Por favor, adjunta captura de pantalla de las Reglas de FW

Si los "L7 containers" estan Bien, debe haber algo en las reglas de firewall

Un detalle, la regla de LAN, que hace referencia al "L7 container" NO es una regla "Block" es una regla "Pass"

O sea, hablando mal y pronto, haces un "Pass" hacia el "L7 container" que hace el "Block" ;)

![bloqueo total firewalll.JPG](/public/imported_attachments/1/bloqueo total firewalll.JPG)
![bloqueo total firewalll.JPG_thumb](/public/imported_attachments/1/bloqueo total firewalll.JPG_thumb)

![vido block.JPG](/public/imported_attachments/1/vido block.JPG)
![vido block.JPG_thumb](/public/imported_attachments/1/vido block.JPG_thumb)

ptt

En la Regla "wattsap" de tu 3º post, puerto de destino 5222, por lo tanto esa regla SOLO aplica al trafico con ese puerto de destino…. No sería mejor dejar el puerto de destino en ANY ( * ), ya que tienes el "L7 container" que aplica al tipo de trafico que deseas bloquear ?

Tambien podrias (en las 2 reglas ) probar con el GW en "Default" ( * ) en lugar de WANGW

Actualmente NO puedo realizar pruebas, ya que el pfSense lo tengo prestando servicio, y a los Clientes no les gustará que me ponga a experimentar..... :P

En su momento, cuando realicé las pruebas de Bloqueo de "Http Video" mediante L7, funcionó correctamente....

c_setup

que version de pfsense tienes?

hgarcia

Ok, probare y comento.

Mi version es 2.0.1-RELEASE (i386).

Saludos.

@ptt:

En la Regla "wattsap" de tu 3º post, puerto de destino 5222, por lo tanto esa regla SOLO aplica al trafico con ese puerto de destino…. No sería mejor dejar el puerto de destino en ANY ( * ), ya que tienes el "L7 container" que aplica al tipo de trafico que deseas bloquear ?

Tambien podrias (en las 2 reglas ) probar con el GW en "Default" ( * ) en lugar de WANGW

Actualmente NO puedo realizar pruebas, ya que el pfSense lo tengo prestando servicio, y a los Clientes no les gustará que me ponga a experimentar..... :P

En su momento, cuando realicé las pruebas de Bloqueo de "Http Video" mediante L7, funcionó correctamente....