Bloquer les ports permettant le torrent

lg750

Décidément je patauge avec ce PFSense…

J'ai créé l'alias (du moins je pense) mais je n'arrive pas à créer la règle correspondante (cf: screenshot)

erreuralias.PNG_thumb

configurationalias.PNG_thumb

baalserv

en désactivant la règle d'origine qui laisse tout sortir alors tout est fermer

donc vous ajouter seulement des règles pour le trafic utile ^^

mais, il restera forcément tcp/80 et tcp/443 qui seront forcément ouvert en sortie.

il reste à voir du côté de layer7

https://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7

@baalserv:

type : block | Proto: tcp/udp | source : etudiant_subnet | port source : any | destination : any | destination port : l'alias

vous avez un alias de ports et non d'ip ^^
=> renseigner l'alias dans destination port

@lg750:

ports 6881 à 6999

pour l'alias et non 1:65535

@baalserv:

en désactivant la règle d'origine qui laisse tout sortir alors tout est fermer

vous postez sans même réfléchir 2sec sur le message d'erreur de pf => la réponse est dans le message d'erreur ^^

lg750

Très bien merci j'ai pu créer la règle.
Je me retrouve donc avec les règles suivantes (cf. screenshot), quel ordre je dois leur donner ? La règle avec l'alias avait pour but de pouvoir la placer en premier de la liste ou non ?

global_rules.PNG_thumb

baalserv

1/ la règles de block sera bien juste en dessous de la règle d'anti-lockout

2/ réécrivez TOUTES vos règles selons les conseils donner et en utilisant des alias pour plus le lisibilitée et moins de règles à écrire.

3/ au passage, n'oublier pas le tcp/80 (qui fait défaut dans le screen)

4/ au passage : TOUS les protocoles ne sont pas compatible avec le load-balancing -> règle à revoir AVEC alias

EDIT :

Plus je vous lis et plus je m'apperçoit qu'il n'y à pas que avec pfsense que vous étes débutant ^^
Il est manifeste que les bases vous font défaut ^^

Je vous conseille vivement la lecture de M. CALECA

jdh

A l'install, pour l'onglet LAN, et seulement LAN, une règle par défaut qui autorise tout est créé.
Là il y a une interface nouvelle, pour laquelle, il n'y a pas de règle par défaut : seule les règles utile doivent être créées.
Au pire, on peut à la fin créer une règle d'interdiction totale, mais c'est normalement inutile (s'il n'y a pas la règle par défaut).

Un minimum de lecture de Christian CALECA (dont on ne peut faire l'impasse si on veut être capable de configurer un firewall) explique ce qu'est une "session".
Une "session" est un échange de paquets, entre un pc client interne et un serveur, formant un tout et caractérisé par le port de destination utilisé :

une session web ou http signifie que le paquet initial accède au port 80/tcp sur le serveur.
Le port source n'a donc que très peu d'intérêt et il NE FAUT SURTOUT PAS le fixer au même 80/tcp (ce qui ne fonctionnerait pas) !

lg750

En effet je sus débutant en réseau car étudiant dans ce domaine depuis seulement quelques mois. Je dois me débrouiller tout seul dans mon entreprise pour gérer ce problème de PFSense et j'avoue être assez perdu…

Lorsque j'ai placé la règle de block en-dessous de celle de l'anti-lockout, alors je ne pouvais plus accéder à internet.

Je vais tâcher de prendre connaissance de la lecture dont vous parlez, au plus vite ;)

Merci

lg750

J'ai créé un alias contenant tous les ports que je souhaite autoriser (nommé essential_ports), j'ai ensuite créé une règle que j'ai placé en dessous de ma règle de block, mais pour l'instant sans résultat je me retrouve avec le web inaccessible.
Ci-après, les screenshots plus explicatifs;)

alias_essential_ports.PNG_thumb

regle_essential.jpg_thumb
![detail essential_ports.PNG_thumb](/public/imported_attachments/1/detail essential_ports.PNG_thumb)
![detail essential_ports.PNG](/public/imported_attachments/1/detail essential_ports.PNG)

lg750

Oups… J'ai passé la règle de pass au dessus de la règle de block et j'ai de nouveau accès à internet :) .
Je fais un essai sur uTorrent et à priori les téléchargement ne veulent pas partir !! :)
Je vais pousser les tests un peu plus loin pour être sûr que ça fonctionne bien, je reviendrai vers vous ensuite.

Tatave

Salut salut

Juste une petite réaction , n'y aurait il pas un moyen de faire le blocage au niveau des services comme cela si les ports sont modifier de x vers y ou z cela bloque quand même.

J'ai un peu regarder sur mon pf mais j'ai pas vu l'option ou l'interface, ou pire j'ai pas mis les yeux ou il fallait, dernier option un manque sur l'interface qui la est hors de ma porté technique ( le dev)

Mais effectivement les ports sont modifiés sur l'application coté client, il faut se fader une écoute des ports/protocoles/services. Fastidieux et pas à l'abri d'une port non bloqué.

Ce si est juste mon avis.

Cordialement.

lg750

Bonjour,

Eh bien après vérification il semble bien que le torrent soit bloqué mais aucun autre problème de navigation n'est recensé. Merci à tous pour votre aide :)

Tatave : je ne saurais vous répondre, probablement que jdh ou baalserv aurait plus d'idée que moi ^^

ccnet

n'y aurait il pas un moyen de faire le ~~blockage~~ blocage au niveau des services

A quoi pensez vous, quels services et où ?

jdh

Je réagis sur l'image "règles essential.jpg" :

Sur 4 règles, 3 sont assez inutiles, non ?

les règles 3 et 4 sont inadéquates puisque la source ne correspond pas à l'interface (onglet INTERF -> source = INTERF subnet forcément !)
la règle 2 est une règle d'autorisation (à revoir : tcp/udp à séparer, dns à retirer)
la règle 1 est une règle d'interdictio : si elle n'est pas suivie d'une autorisation générale, il n'y a pas besoin de cette règle

lg750

Bonjour jdh.

Alors concernant les règle 1 et 2 je les ai inversées car ça ne fonctionnait pas mais maintenant oui. La règle 2 est devenue règle 1, elle autorise seulement les ports essentiels (FTP, SMTP, POP3, DNS, HTTP et HTTPS).
La règle 1 est devenue règle 2, elle bloque tous les ports (sauf ceux qui sont autorisés par la règle du dessus).

Concernant la règle 3 c'est mon collègue qui l'a créé, à ce qu'il m'a dit pour "autoriser le ping", je n'ai pas compris ce qu'il voulait dire et là il est en vacances.
Et la règle 4, idem elle a été créé par mon collègue apparemment pour notre agrégation de lien.

Merci de votre intérêt ;)

Tatave

salut salut all

@ccnet

Nous avons dans les clients MS quelques soit la version un fichier "services" sans extension dans c:\windows\system32\ ou est inscrit les services et port correspondant, durant une de mes missions un admin s’était servi de cela pour réaliser les blocages désirés sur le pare-feu, sauf qu'à l'époque je ne savais pas quel était le pare-feu.

Le gars m'avais dit qu en désignant un protocole (pas un service trou de mémoire comblé) à interdire sur son pare-feu et que si l'un des clients modifiait les ports du protocole sur sa machine, le protocole resterait bloqué sur le pare-feu. Un histoire d'encapsulage de l'entête du protocole si je me souvient bien.

Petit bémol dans le cas où certaines applications se mettant à jour par le biais de ce protocole.

Petites solutions dans le cadre entreprise, la mise en place d'un GPO interdisant la modification des ports, et ne pouvant se faire que par un utilisateur avec les bon droits et ou l'administrateur, si cela n'est pas déjà en place.

lg750

Salut à tous,

Une autre question me travaille, est-il possible de faire des logs afin de savoir quelles requêtes ont été bloquées par le PFSense ? Par exemple lorsque un utilisateur utilise du torrent, est il possible qu'un log (ou une capture de paquets je ne sais pas) affiche une ligne du type : "port 6889 blocked -> bitorrent" ?
En clair est-il possible de voir ce qui passe et ce qui est bloqué par le PFSense sur mon réseau ?

cordialement,

Loïc

baalserv

les 2 maître mot dans l'informatique sont : RECHERCHE et AUTO-APPRENTISSAGE

les questions c'est pour quand on a déjà chercher et que l'on explique les résultats !

donc pour vous répondre : OUI
1/ log dans le webgui
2/ syslog

vous auriez trouver seul les réponses si vous aviez regarder les menus et donc les possibilités offerte par PF !

lg750

Bonjour,

J'ai évidemment déjà trouvé le menu de logs parmi les onglets du PFSense… Cependant, les différents données qui y apparaissent ne correspondent pas à ce que j'ai cru configurer (à savoir de logs en fonction de mes différentes rules).

Cordialement,

LG

baalserv

quand on active les log d'une règle de FW, on retrouve les logs correspondant dans l'onglet firewall du system logs

j'ose espèrer que votre installation est sur HDD et non sur CF ^^

(je me suis apperçu que Pf2 écris les logs dans des fichiers, ils ne sont donc plus seulement en Ram comme avec Pf1)

lg750

Mon PFSense est sur une machine physique donc oui avec un disque dur.

Concernant les logs, j'ai en effet trouvé ceux de l'onglet firewall, mais ils ne me permettent pas de savoir quelle requête a été bloquée (le site web, etc).

ccnet

savoir quelle requête a été bloquée (le site web, etc).

Pfsense est un firewall (associé à des services complémentaires comme dhcp, cache dns, etc …) C'est un équipement qui travaille essentiellement sur les couches 3 et 4 du modèle OSI, ainsi que pour partie en couche 2. Les informations que vous souhaitez obtenir font partie de la couche applicative (typiquement l'url demandée). Il est donc normal que Pfsense ne vous les fournisse pas. Vous pouvez certes obtenir la résolution de l'ip cible en nom mais cela ne renseigne que vaguement sur le site web consulté et encore moins sur l'url envoyée. Ce que vous souhaitez peut être obtenu par un proxy. Là se présente un autre problème, de nature juridique.