Bloquer les téléchargements de Torrents avec PFSENSE sur mon réseau

onegame

Contexte : milieu pro, installé depuis 4 mois pour le partage de connexion

Besoin : J’ai un portail captif tournant sous PFSENSE 2.2.6-RELEASE (i386) avec authentification par login et mot de passe. Je n’ai aucun problème sur mes configurations et tout marche bien. Mon sotendaucis est de mettre fin au telechargement via protocole Torrent. Ces Téléchargements on tendance a ralentir ma connexion.

Schéma :
WAN : un modem,SagemCom F@st 1704N / 2704N, en mode routeur,une adresse publique,aucun loadbalancing/failover, adresse ip fixe: 192.168.2.20
DHCP:192.168.2.21-192.168.2.100

LAN : 1 Lan ,aucun VLAN, IP fixe: 10.10.10.20
DHCP: 10.10.10.100-10.10.10.200

DMZ : Aucun
WIFI : Assurer par un routeur Linksys avec le DHCP désactivé, avec pour adresse fixe 10.10.10.21

Autres interfaces: Aucune

Règles NAT: Aucune

Règles Firewall: Packages ajoutés : Squid,

Proxy interface : LAN
Allow users on interface : Cocher
Transparent proxy : Cocher

E_nable logging :_ Cocher
Log rotate : 360
Proxy port : 3128

Visible hostname : moloto
Language : French

Suppress Squid Version : Cocher

–----------------------------------------------------
Proxy server : Access control

Allowed subnet: 10.10.10.0/24

Autres fonctions assignées au pfSense : Mon portail captif emet sur mon LAN eth0

Question : Poser dans besoin

Pistes imaginées

Recherches : Je suis tomber sur ce tutoriel dans mes recherches : http://pfsensebuddy.weebly.com/blog/how-to-block-bittorrent-download-in-pfsense

J'ai suivi le processus jusqu’à la fin mais en fin de compte mon trafic internet était complètement bloqué.

Si j'ai pas été précis sur un certain point merci de faire part pour que je vous donnerai plus de détail. Merci

Simon_styl

Bonjour
pour bloquer le p2p, je vous invite suivre les Etapes ci-dessous

1. aller sur FIREWALL–-> ALIASES 
2. dans l'onglet port créez  un alias avec la listes des ports standard utilisés (20,21,25,53,80,443,etc) selon vos besoins.

3. allez sur FIREWALL -> RULES
4. Créez une règle pour bloquer tous trafics internet via tous les  ports
5. créez une deuxième règle pour autoriser seulement le trafic sur les ports déclarés dans l'alias

Voila.

chris4916

@Simon_styl:

pour bloquer le p2p, je vous invite suivre les Etapes ci-dessous

…/...
5. créez une deuxième règle pour autoriser seulement le trafic sur les ports déclarés dans l'alias

Voila.

Ce n'est malheureusement pas aussi simple  :-\

Par exemple Bittorrent peut fonctionner sur le port 80  :-X

chris4916

@onegame:

Contexte : milieu pro, installé depuis 4 mois pour le partage de connexion

Besoin : J’ai un portail captif tournant sous PFSENSE 2.2.6-RELEASE (i386) avec authentification par login et mot de passe. Je n’ai aucun problème sur mes configurations et tout marche bien. Mon sotendaucis est de mettre fin au telechargement via protocole Torrent. Ces Téléchargements on tendance a ralentir ma connexion.

…/...

Si j'ai pas été précis sur un certain point merci de faire part pour que je vous donnerai plus de détail. Merci

Pourrais-tu décrire, au delà de "j'ai coché ça et ça…" ce que tu essaies d'obtenir avec cette configuration ?

OK tu as suivit la directive formulaire, au moins au niveau du look ça à l'air bien mais, de mon point de vue, ça n'apporte que peu d’informations sur ce que tu veux obtenir, d'autant que les infos n'arrivent pas, selon moi, dans les bonnes sections.

1 - Si tu pouvais expliquer pourquoi tu superposes portail captif et proxy transparent, ça serait un premier pas instructif.
2 - une petite description du principe des tes règles de FW me semble indispensable. STP pas en mode "forumulaire" du genre j'ai coché ça ou ça, mais plutôt que font ces règles et pourquoi
3 - bloquer Bittorrent est assez difficile car ce service en mode peer-to-peer peut utiliser un grand nombre de port, y compris en s'appuyant sur le port 80 et des proxy externes  :-[

PS : je ne suis pas certain de bien comprendre, avec la description de ce que tu en fais, la configuration de ton proxy mais si je ne me trompe pas, tu essaies d'avoir un proxy transparent et authentifié. Si c'est bien le cas, sache que ça n'existe pas. Soit c'est transparent et, au passage, ça ne prend pas en compte HTTPS sauf à activer SSL_bump (Man In The Middle), mais dans ce cas il n'y a pas d’authentification possible, soit il faut s'authentifier au niveau du proxy et dans ce cas, celui-ci ne peut [b]pas être configuré en mode transparent  8)

onegame

@chris4916:

@onegame:

1 - Si tu pouvais expliquer pourquoi tu superposes portail captif et proxy transparent, ça serait un premier pas instructif.
2 - une petite description du principe des tes règles de FW me semble indispensable. STP pas en mode "formulaire" du genre j'ai coché ça ou ça, mais plutôt que font ces règles et pourquoi
3 - bloquer Bittorrent est assez difficile car ce service en mode peer-to-peer peut utiliser un grand nombre de port, y compris en s'appuyant sur le port 80 et des proxy externes  :-[
[/quote]

1- je superpose Portail Captif et Proxy transparent car le portail captif servira a intercepter tous traffic HTTP et forcer les utilisateurs à s'authentifier sur le réseau en par login/mot de passe ou voucher avant d'acceder a internet. Le proxy transparent va mettre en cache les pages les plus visitées, afin d'eviter de recharger une page qui a déja été visitée

2- J'ai pas encore etablie de règle de Firewall sur mon réseau

chris4916

En espérant ne pas créer trop de dégâts  ::) , je vais essayer de préciser 2 ou 3 points:

• le portail captif n'intercepte pas vraiment tout le trafic HTTP. Ce dispositif redirige effectivement les requêtes HTTP vers la page d'authentification mais une fois l'utilisateur authentifié auprès du portail captif, celui-ci va modifier les règles de pare-feu pour permettre un accès à internet, y compris HTTP qui n'est plus intercepté.

• En décidant d'utiliser le proxy pour le cache HTTP "uniquement", il faut bien être conscient qu'une grosse partie du trafic est maintenant en HTTPS, donc pas cachée (c'est le premier point important) et pas contrôle par Squid ni Squidguard (blacklists) justement parce que le proxy fonctionne en mode transparent.

Pour revenir sur le mode de fonctionnement du proxy:

• j'écrivais dans ma réponse précédente que tu ne peux pas avoir un proxy HTTP à la fois en mode transparent et explicite.
  C'est une réponse un peu simplificatrice, qui demeure vraie si tu utilises uniquement l'interface graphique pour configurer le proxy hébergé sur pfSense. En modifiant le fichier de conf (ou en gérant ton propre proxy), il est tout à fait possible de faire fonctionner le proxy à la fois en mode explicite et transparent, ce que j'explique =https://forum.pfsense.org/index.php?topic=106016.0ici. (en anglais)
  mais je n'ai pas l'impression que tu sois confronté à ce type de besoin.

Du coup, quand je lis ce fil et ta question relative à la gestion de quota par utilisateur, je suis dubitatif…

onegame

-Finalement que me conseillez vous au niveau du proxy? que je décoche le faite qu'il soit transparent ou je le laisse transparent?

-Mon poste relatif au quota, je demandais car pas mal d'ami m'ont demander si PFSENSE pouvais définir les quota par utilisateur dans le réseau.
Certaines solutions hotspot tel que TrueCafé(si je ne me trompe) permettent de definir un quota par utilisateur.
C'etait pour verifier la faisabilité avec PfSENSE

chris4916

@onegame:

-Finalement que me conseillez vous au niveau du proxy? que je décoche le faite qu'il soit transparent ou je le laisse transparent?

Je te conseille surtout d'éviter de poser la même question dans 2 fils différents car c'est très difficile à suivre  ;D
et donc je t'ai répondu dans l'autre fil.

-Mon poste relatif au quota, je demandais car pas mal d'ami m'ont demander si PFSENSE pouvais définir les quota par utilisateur dans le réseau.
Certaines solutions hotspot tel que TrueCafé(si je ne me trompe) permettent de definir un quota par utilisateur.
C'etait pour verifier la faisabilité avec PfSENSE

Il suffit alors de poser la question de cette manière là, n'est-ce pas  ;)

Si tu fais des recherches dans ce sens, tu trouveras soit des considérations sur le fait que ces fonctionnalités seraient à intégrer au portail captif ChiliSpot (via un serveur Radius), soit, sur des réponses récentes… que c'est un aspect Radius.
Même si ça ne plaît pas à jdh et que ça fait ds dégâts, il n'y a pas beaucoup de choix, c'est le troisième "A" (du AAA) de Radius qui aujourd'hui supporte cette fonctionnalité.

Finalement, tu peux lire cette page.