Bloquer les ports permettant le torrent

lg750

En effet je sus débutant en réseau car étudiant dans ce domaine depuis seulement quelques mois. Je dois me débrouiller tout seul dans mon entreprise pour gérer ce problème de PFSense et j'avoue être assez perdu…

Lorsque j'ai placé la règle de block en-dessous de celle de l'anti-lockout, alors je ne pouvais plus accéder à internet.

Je vais tâcher de prendre connaissance de la lecture dont vous parlez, au plus vite ;)

Merci

lg750

J'ai créé un alias contenant tous les ports que je souhaite autoriser (nommé essential_ports), j'ai ensuite créé une règle que j'ai placé en dessous de ma règle de block, mais pour l'instant sans résultat je me retrouve avec le web inaccessible.
Ci-après, les screenshots plus explicatifs;)

alias_essential_ports.PNG_thumb

regle_essential.jpg_thumb
![detail essential_ports.PNG_thumb](/public/imported_attachments/1/detail essential_ports.PNG_thumb)
![detail essential_ports.PNG](/public/imported_attachments/1/detail essential_ports.PNG)

lg750

Oups… J'ai passé la règle de pass au dessus de la règle de block et j'ai de nouveau accès à internet :) .
Je fais un essai sur uTorrent et à priori les téléchargement ne veulent pas partir !! :)
Je vais pousser les tests un peu plus loin pour être sûr que ça fonctionne bien, je reviendrai vers vous ensuite.

Tatave

Salut salut

Juste une petite réaction , n'y aurait il pas un moyen de faire le blocage au niveau des services comme cela si les ports sont modifier de x vers y ou z cela bloque quand même.

J'ai un peu regarder sur mon pf mais j'ai pas vu l'option ou l'interface, ou pire j'ai pas mis les yeux ou il fallait, dernier option un manque sur l'interface qui la est hors de ma porté technique ( le dev)

Mais effectivement les ports sont modifiés sur l'application coté client, il faut se fader une écoute des ports/protocoles/services. Fastidieux et pas à l'abri d'une port non bloqué.

Ce si est juste mon avis.

Cordialement.

lg750

Bonjour,

Eh bien après vérification il semble bien que le torrent soit bloqué mais aucun autre problème de navigation n'est recensé. Merci à tous pour votre aide :)

Tatave : je ne saurais vous répondre, probablement que jdh ou baalserv aurait plus d'idée que moi ^^

ccnet

n'y aurait il pas un moyen de faire le ~~blockage~~ blocage au niveau des services

A quoi pensez vous, quels services et où ?

jdh

Je réagis sur l'image "règles essential.jpg" :

Sur 4 règles, 3 sont assez inutiles, non ?

les règles 3 et 4 sont inadéquates puisque la source ne correspond pas à l'interface (onglet INTERF -> source = INTERF subnet forcément !)
la règle 2 est une règle d'autorisation (à revoir : tcp/udp à séparer, dns à retirer)
la règle 1 est une règle d'interdictio : si elle n'est pas suivie d'une autorisation générale, il n'y a pas besoin de cette règle

lg750

Bonjour jdh.

Alors concernant les règle 1 et 2 je les ai inversées car ça ne fonctionnait pas mais maintenant oui. La règle 2 est devenue règle 1, elle autorise seulement les ports essentiels (FTP, SMTP, POP3, DNS, HTTP et HTTPS).
La règle 1 est devenue règle 2, elle bloque tous les ports (sauf ceux qui sont autorisés par la règle du dessus).

Concernant la règle 3 c'est mon collègue qui l'a créé, à ce qu'il m'a dit pour "autoriser le ping", je n'ai pas compris ce qu'il voulait dire et là il est en vacances.
Et la règle 4, idem elle a été créé par mon collègue apparemment pour notre agrégation de lien.

Merci de votre intérêt ;)

Tatave

salut salut all

@ccnet

Nous avons dans les clients MS quelques soit la version un fichier "services" sans extension dans c:\windows\system32\ ou est inscrit les services et port correspondant, durant une de mes missions un admin s’était servi de cela pour réaliser les blocages désirés sur le pare-feu, sauf qu'à l'époque je ne savais pas quel était le pare-feu.

Le gars m'avais dit qu en désignant un protocole (pas un service trou de mémoire comblé) à interdire sur son pare-feu et que si l'un des clients modifiait les ports du protocole sur sa machine, le protocole resterait bloqué sur le pare-feu. Un histoire d'encapsulage de l'entête du protocole si je me souvient bien.

Petit bémol dans le cas où certaines applications se mettant à jour par le biais de ce protocole.

Petites solutions dans le cadre entreprise, la mise en place d'un GPO interdisant la modification des ports, et ne pouvant se faire que par un utilisateur avec les bon droits et ou l'administrateur, si cela n'est pas déjà en place.

lg750

Salut à tous,

Une autre question me travaille, est-il possible de faire des logs afin de savoir quelles requêtes ont été bloquées par le PFSense ? Par exemple lorsque un utilisateur utilise du torrent, est il possible qu'un log (ou une capture de paquets je ne sais pas) affiche une ligne du type : "port 6889 blocked -> bitorrent" ?
En clair est-il possible de voir ce qui passe et ce qui est bloqué par le PFSense sur mon réseau ?

cordialement,

Loïc

baalserv

les 2 maître mot dans l'informatique sont : RECHERCHE et AUTO-APPRENTISSAGE

les questions c'est pour quand on a déjà chercher et que l'on explique les résultats !

donc pour vous répondre : OUI
1/ log dans le webgui
2/ syslog

vous auriez trouver seul les réponses si vous aviez regarder les menus et donc les possibilités offerte par PF !

lg750

Bonjour,

J'ai évidemment déjà trouvé le menu de logs parmi les onglets du PFSense… Cependant, les différents données qui y apparaissent ne correspondent pas à ce que j'ai cru configurer (à savoir de logs en fonction de mes différentes rules).

Cordialement,

LG

baalserv

quand on active les log d'une règle de FW, on retrouve les logs correspondant dans l'onglet firewall du system logs

j'ose espèrer que votre installation est sur HDD et non sur CF ^^

(je me suis apperçu que Pf2 écris les logs dans des fichiers, ils ne sont donc plus seulement en Ram comme avec Pf1)

lg750

Mon PFSense est sur une machine physique donc oui avec un disque dur.

Concernant les logs, j'ai en effet trouvé ceux de l'onglet firewall, mais ils ne me permettent pas de savoir quelle requête a été bloquée (le site web, etc).

ccnet

savoir quelle requête a été bloquée (le site web, etc).

Pfsense est un firewall (associé à des services complémentaires comme dhcp, cache dns, etc …) C'est un équipement qui travaille essentiellement sur les couches 3 et 4 du modèle OSI, ainsi que pour partie en couche 2. Les informations que vous souhaitez obtenir font partie de la couche applicative (typiquement l'url demandée). Il est donc normal que Pfsense ne vous les fournisse pas. Vous pouvez certes obtenir la résolution de l'ip cible en nom mais cela ne renseigne que vaguement sur le site web consulté et encore moins sur l'url envoyée. Ce que vous souhaitez peut être obtenu par un proxy. Là se présente un autre problème, de nature juridique.

lg750

Merci beaucoup pour votre réponse, il me semblait qu'à un moment donné je me retrouverai confronté un problème d'ordre illégal. De toute façon mes règles fonctionnent, j'aurais juste aimé pouvoir en savoir un peu plus sur l'usage fait par les utilisateurs de mon réseau, mais si c'est illégal alors ça ne m'intéresse pas, c'était de la simple curiosité.

Merci ;)

ccnet

Sur le plan juridique, de façon très résumée, vous pouvez consulter les volumes de trafic par utilisateur sans problème, ou encore établir un hit parade des sites visités. Par contre consulter pour certains utilisateurs la liste des url visitées porte atteinte à ce qui est considéré comme des données personnelles. De plus il est impératif que les utilisateurs aient connaissance, de façon formelle (charte signée), de l'existence du proxy ou d'autres dispositifs qui collectent de données ou auditent le trafic.

lg750

Merci pour ces précieuses informations ;)