Pfsense vs TOR browser

pigbrother

@dvserg:

А тор изначально присутствовал в леере? Что-то я проглядел мимо.

В 2.0.2 tor присутствует.

Попытался на основании этих рекомендаций заблокировать bittorrent.

pfSense отказался сохранять блокирующее правило:

The following input errors were detected:

You can only select a layer7 container for Pass type rules.

dvserg

Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.

werter

@dvserg:

Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.

Хмм, у меня не блокирует :(
Правило Pass в fw, пытался dns заблочить. Стоит самым первым. Если не трудно - проверьте у себя, пож-та.

dvserg

Гугл 1 ссылка с примером
http://small-town-nobody.blogspot.ru/2012/05/pfsense.html

pigbrother

@dvserg:

Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.

В свое время блокировал так соц-сети. Паттерн для них пробегал в форуме.
Именно - повесил Layer 7 на основное правило(pass)  доступа Lan в интернет, все работало.
Попробовал счас со встроенным в 2.0.2 паттерном для bittorrent - никакой реакции.

Да, именно по ссылке выше.

werter

Эээ, я правило не во Floating создавал, а просто на LAN . Это важно ? Может кто-то еще это подтвердить\проверить?

pigbrother

@werter:

Эээ, я правило не во Floating создавал, а просто на LAN . Это важно ? Может кто-то еще это подтвердить\проверить?

Создавал и Floating, и Lan - торренты пролазят все равно.

deem73

@werter:

@deem73:

Это всё интересно  и познавательно. Но вопрос стоит как средствами ps заблокировать(существенно затруднить)  использование браузеров на технологии tor.

Firewall: Traffic Shaper: Layer7 .

Далее создавайте правило в fw с Action: Block  , где в Advanced features: Layer7 выбираете ранее созданный L7-фильтр.
И , ес-но, правило должно стоять по списку выше разрешающих .

P.s. Если тот паттерн, к-ый исп-ся в пф для определения tor-активности, не сработает, то можно попробовать подгрузить другой - http://l7-filter.sourceforge.net/protocols
В пф он подгружается по ссылке - http://ip-адрес-пфсенсе/diag_patterns.php

Что-то не действует это правило. TOR браузер загрузился, запретные сайты всё равно открываются.

werter

На тестовой машине запускаете Tor, вызываете cmd, вводите команду netstat -abn и смотрите какие порты использует Tor. Закрываете Tor.
Далее, разрешаете в правилах fw доступ только по определеннным портам. Из стандарного набора - это 53 tcp\udp, icmp (ICMP echoreq ?), 80 tcp, 443 tcp, 465 tcp, 995 tcp, 110 tcp, 123 udp (NTP)  и специфические для ваших нужд (клиент-банки etc.).  После этого, запускаете Tor и проверяете его на работоспособность.

Lexus34

@werter:

На тестовой машине запускаете Tor, вызываете cmd, вводите команду netstat -abn и смотрите какие порты использует Tor. Закрываете Tor.
Далее, разрешаете в правилах fw доступ только по определеннным портам. Из стандарного набора - это 53 tcp\udp, icmp (ICMP echoreq ?), 80 tcp, 443 tcp, 465 tcp, 995 tcp, 110 tcp, 123 udp (NTP)  и специфические для ваших нужд (клиент-банки etc.).  После этого, запускаете Tor и проверяете его на работоспособность.

Ну и наблюдаем рабочий Tor т.к для связи он первым делом пробует 80 tcp, 443 tcp, появился у нас один такой умник, не знаю что с ним делать….
Список IP адресов сетей Tor можно получить тут http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv

В начале пробовал задать обновляемый ACL в squid

########################################
acl TORLIST dst "/var/squid/acl/TorIP.list"
http_access deny TORLIST
acl CTORLIST dst "/var/squid/acl/CTorIP.list" # Custom
http_access deny CTORLIST
########################################

В скупе со скриптом

########################################

#!/bin/sh

TOR server list

cd /var/squid/acl
fetch http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv
sort -u Tor_ip_list_ALL.csv > TorIP.list
rm Tor_ip_list_ALL.csv
/opt/qlproxy/bin/restart.sh

########################################

Но потом понял что стормозил, squid у меня в режиме transparent, и ни какого трафика кроме как на портах 80, 443 заблокировать через этот ACL не сможет, нужно iptables…

Предлагаю обсудить как автоматизировать этот процесс  в скупе с iptables, думаю не мы одни с такой проблемой.

Scodezan

Что мешает закрыть все порты кроме 53 и 80+443?

Angel_19

Вроде для работы TOR используется клиент+браузер, а если запретить запуск клиента ТОРа с помощью групповых политик?

werter

2 Lexus34
Закройте 443\TCP во вне. Разрешайте только избранным из\вне.

https://forum.pfsense.org/index.php?topic=73508.0