Bloquer les ports permettant le torrent

lg750

Merci pour les liens ;)

lg750

Bon je reviens vers vous car ça ne fonctionne pas…
J'ai créé une règle globale pour interdire tous les ports et ensuite des règles pour autoriser le SMTP, POP, DNS et FTP...
Seulement le torrent n'est pas bloqué alors que logiquement tous les ports le sont.

Voici 2 screenshot montrant plus en détail mes règles :

regle_autorisation.PNG_thumb

regle_blocage_ports.PNG_thumb

baalserv

les règles s'applique dans l'ordre et quand une règle ''match'' ça ne va pas voir plus loin

inutile de préciser le port source, celui de destination suffis

en revanche, préciser le réseau ''source'' est préférable ex : lan subnet

lg750

Merci de ton aide. C'est justement là que j'ai un problème car si je mets la règle d'exclusion des ports en premier alors je perds internet malgré les règles d'autorisation qui suivent…

baalserv

alors en clair

1/ faite un alias nommer torrent dans lequel vous renseignez les ports à bloquer.

2/ la règle doit être :

cela ne fonctionnera que si les applications utilise seulement les ports que vous citez, si les applis peuvent passer par le tcp/80 ce sera plus compliquer ^^

lg750

Le problème c'est que dans le cas de utorrent (pour n'en citer qu'un), on peut choisir le port utilisé. Alors même le blocage des ports 6881 à 6999 ne servirait à rien…
C'est pour cela que j'aurai aimé fermer tous les ports et ensuite n'ouvrir que ceux qui seront indispensable au bon fonctionnement d'une navigation web basique.

baalserv

en désactivant la règle d'origine qui laisse tout sortir alors tout est fermer

donc vous ajouter seulement des règles pour le trafic utile ^^

mais, il restera forcément tcp/80 et tcp/443 qui seront forcément ouvert en sortie.

il reste à voir du côté de layer7

https://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7

lg750

Décidément je patauge avec ce PFSense…

J'ai créé l'alias (du moins je pense) mais je n'arrive pas à créer la règle correspondante (cf: screenshot)

erreuralias.PNG_thumb

configurationalias.PNG_thumb

baalserv

@baalserv:

en désactivant la règle d'origine qui laisse tout sortir alors tout est fermer

donc vous ajouter seulement des règles pour le trafic utile ^^

mais, il restera forcément tcp/80 et tcp/443 qui seront forcément ouvert en sortie.

il reste à voir du côté de layer7

https://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7

@baalserv:

type : block | Proto: tcp/udp | source : etudiant_subnet | port source : any | destination : any | destination port : l'alias

vous avez un alias de ports et non d'ip ^^
=> renseigner l'alias dans destination port

@lg750:

ports 6881 à 6999

pour l'alias et non 1:65535

@baalserv:

en désactivant la règle d'origine qui laisse tout sortir alors tout est fermer

vous postez sans même réfléchir 2sec sur le message d'erreur de pf => la réponse est dans le message d'erreur ^^

lg750

Très bien merci j'ai pu créer la règle.
Je me retrouve donc avec les règles suivantes (cf. screenshot), quel ordre je dois leur donner ? La règle avec l'alias avait pour but de pouvoir la placer en premier de la liste ou non ?

global_rules.PNG_thumb

baalserv

1/ la règles de block sera bien juste en dessous de la règle d'anti-lockout

2/ réécrivez TOUTES vos règles selons les conseils donner et en utilisant des alias pour plus le lisibilitée et moins de règles à écrire.

3/ au passage, n'oublier pas le tcp/80 (qui fait défaut dans le screen)

4/ au passage : TOUS les protocoles ne sont pas compatible avec le load-balancing -> règle à revoir AVEC alias

EDIT :

Plus je vous lis et plus je m'apperçoit qu'il n'y à pas que avec pfsense que vous étes débutant ^^
Il est manifeste que les bases vous font défaut ^^

Je vous conseille vivement la lecture de M. CALECA

jdh

A l'install, pour l'onglet LAN, et seulement LAN, une règle par défaut qui autorise tout est créé.
Là il y a une interface nouvelle, pour laquelle, il n'y a pas de règle par défaut : seule les règles utile doivent être créées.
Au pire, on peut à la fin créer une règle d'interdiction totale, mais c'est normalement inutile (s'il n'y a pas la règle par défaut).

Un minimum de lecture de Christian CALECA (dont on ne peut faire l'impasse si on veut être capable de configurer un firewall) explique ce qu'est une "session".
Une "session" est un échange de paquets, entre un pc client interne et un serveur, formant un tout et caractérisé par le port de destination utilisé :

une session web ou http signifie que le paquet initial accède au port 80/tcp sur le serveur.
Le port source n'a donc que très peu d'intérêt et il NE FAUT SURTOUT PAS le fixer au même 80/tcp (ce qui ne fonctionnerait pas) !

lg750

En effet je sus débutant en réseau car étudiant dans ce domaine depuis seulement quelques mois. Je dois me débrouiller tout seul dans mon entreprise pour gérer ce problème de PFSense et j'avoue être assez perdu…

Lorsque j'ai placé la règle de block en-dessous de celle de l'anti-lockout, alors je ne pouvais plus accéder à internet.

Je vais tâcher de prendre connaissance de la lecture dont vous parlez, au plus vite ;)

Merci

lg750

J'ai créé un alias contenant tous les ports que je souhaite autoriser (nommé essential_ports), j'ai ensuite créé une règle que j'ai placé en dessous de ma règle de block, mais pour l'instant sans résultat je me retrouve avec le web inaccessible.
Ci-après, les screenshots plus explicatifs;)

alias_essential_ports.PNG_thumb

regle_essential.jpg_thumb
![detail essential_ports.PNG_thumb](/public/imported_attachments/1/detail essential_ports.PNG_thumb)
![detail essential_ports.PNG](/public/imported_attachments/1/detail essential_ports.PNG)

lg750

Oups… J'ai passé la règle de pass au dessus de la règle de block et j'ai de nouveau accès à internet :) .
Je fais un essai sur uTorrent et à priori les téléchargement ne veulent pas partir !! :)
Je vais pousser les tests un peu plus loin pour être sûr que ça fonctionne bien, je reviendrai vers vous ensuite.

Tatave

Salut salut

Juste une petite réaction , n'y aurait il pas un moyen de faire le blocage au niveau des services comme cela si les ports sont modifier de x vers y ou z cela bloque quand même.

J'ai un peu regarder sur mon pf mais j'ai pas vu l'option ou l'interface, ou pire j'ai pas mis les yeux ou il fallait, dernier option un manque sur l'interface qui la est hors de ma porté technique ( le dev)

Mais effectivement les ports sont modifiés sur l'application coté client, il faut se fader une écoute des ports/protocoles/services. Fastidieux et pas à l'abri d'une port non bloqué.

Ce si est juste mon avis.

Cordialement.

lg750

Bonjour,

Eh bien après vérification il semble bien que le torrent soit bloqué mais aucun autre problème de navigation n'est recensé. Merci à tous pour votre aide :)

Tatave : je ne saurais vous répondre, probablement que jdh ou baalserv aurait plus d'idée que moi ^^

ccnet

n'y aurait il pas un moyen de faire le ~~blockage~~ blocage au niveau des services

A quoi pensez vous, quels services et où ?

jdh

Je réagis sur l'image "règles essential.jpg" :

Sur 4 règles, 3 sont assez inutiles, non ?

les règles 3 et 4 sont inadéquates puisque la source ne correspond pas à l'interface (onglet INTERF -> source = INTERF subnet forcément !)
la règle 2 est une règle d'autorisation (à revoir : tcp/udp à séparer, dns à retirer)
la règle 1 est une règle d'interdictio : si elle n'est pas suivie d'une autorisation générale, il n'y a pas besoin de cette règle

lg750

Bonjour jdh.

Alors concernant les règle 1 et 2 je les ai inversées car ça ne fonctionnait pas mais maintenant oui. La règle 2 est devenue règle 1, elle autorise seulement les ports essentiels (FTP, SMTP, POP3, DNS, HTTP et HTTPS).
La règle 1 est devenue règle 2, elle bloque tous les ports (sauf ceux qui sont autorisés par la règle du dessus).

Concernant la règle 3 c'est mon collègue qui l'a créé, à ce qu'il m'a dit pour "autoriser le ping", je n'ai pas compris ce qu'il voulait dire et là il est en vacances.
Et la règle 4, idem elle a été créé par mon collègue apparemment pour notre agrégation de lien.

Merci de votre intérêt ;)