Bloquer les téléchargements de Torrents avec PFSENSE sur mon réseau
-
Contexte : milieu pro, installé depuis 4 mois pour le partage de connexion
Besoin : J’ai un portail captif tournant sous PFSENSE 2.2.6-RELEASE (i386) avec authentification par login et mot de passe. Je n’ai aucun problème sur mes configurations et tout marche bien. Mon sotendaucis est de mettre fin au telechargement via protocole Torrent. Ces Téléchargements on tendance a ralentir ma connexion.
Schéma :
WAN : un modem,SagemCom F@st 1704N / 2704N, en mode routeur,une adresse publique,aucun loadbalancing/failover, adresse ip fixe: 192.168.2.20
DHCP:192.168.2.21-192.168.2.100LAN : 1 Lan ,aucun VLAN, IP fixe: 10.10.10.20
DHCP: 10.10.10.100-10.10.10.200DMZ : Aucun
WIFI : Assurer par un routeur Linksys avec le DHCP désactivé, avec pour adresse fixe 10.10.10.21Autres interfaces: Aucune
Règles NAT: Aucune
Règles Firewall: Packages ajoutés : Squid,
Proxy interface : LAN
Allow users on interface : Cocher
Transparent proxy : CocherE_nable logging :_ Cocher
Log rotate : 360
Proxy port : 3128Visible hostname : moloto
Language : FrenchSuppress Squid Version : Cocher
–----------------------------------------------------
Proxy server : Access controlAllowed subnet: 10.10.10.0/24
Autres fonctions assignées au pfSense : Mon portail captif emet sur mon LAN eth0
Question : Poser dans besoin
Pistes imaginées
Recherches : Je suis tomber sur ce tutoriel dans mes recherches : http://pfsensebuddy.weebly.com/blog/how-to-block-bittorrent-download-in-pfsense
J'ai suivi le processus jusqu’à la fin mais en fin de compte mon trafic internet était complètement bloqué.
Si j'ai pas été précis sur un certain point merci de faire part pour que je vous donnerai plus de détail. Merci
-
Bonjour
pour bloquer le p2p, je vous invite suivre les Etapes ci-dessous1. aller sur FIREWALL–-> ALIASES
2. dans l'onglet port créez un alias avec la listes des ports standard utilisés (20,21,25,53,80,443,etc) selon vos besoins.3. allez sur FIREWALL -> RULES
4. Créez une règle pour bloquer tous trafics internet via tous les ports
5. créez une deuxième règle pour autoriser seulement le trafic sur les ports déclarés dans l'aliasVoila.
-
pour bloquer le p2p, je vous invite suivre les Etapes ci-dessous
…/...
5. créez une deuxième règle pour autoriser seulement le trafic sur les ports déclarés dans l'aliasVoila.
Ce n'est malheureusement pas aussi simple :-\
Par exemple Bittorrent peut fonctionner sur le port 80 :-X
-
Contexte : milieu pro, installé depuis 4 mois pour le partage de connexion
Besoin : J’ai un portail captif tournant sous PFSENSE 2.2.6-RELEASE (i386) avec authentification par login et mot de passe. Je n’ai aucun problème sur mes configurations et tout marche bien. Mon sotendaucis est de mettre fin au telechargement via protocole Torrent. Ces Téléchargements on tendance a ralentir ma connexion.
…/...
Si j'ai pas été précis sur un certain point merci de faire part pour que je vous donnerai plus de détail. Merci
Pourrais-tu décrire, au delà de "j'ai coché ça et ça…" ce que tu essaies d'obtenir avec cette configuration ?
OK tu as suivit la directive formulaire, au moins au niveau du look ça à l'air bien mais, de mon point de vue, ça n'apporte que peu d’informations sur ce que tu veux obtenir, d'autant que les infos n'arrivent pas, selon moi, dans les bonnes sections.
1 - Si tu pouvais expliquer pourquoi tu superposes portail captif et proxy transparent, ça serait un premier pas instructif.
2 - une petite description du principe des tes règles de FW me semble indispensable. STP pas en mode "forumulaire" du genre j'ai coché ça ou ça, mais plutôt que font ces règles et pourquoi
3 - bloquer Bittorrent est assez difficile car ce service en mode peer-to-peer peut utiliser un grand nombre de port, y compris en s'appuyant sur le port 80 et des proxy externes :-[PS : je ne suis pas certain de bien comprendre, avec la description de ce que tu en fais, la configuration de ton proxy mais si je ne me trompe pas, tu essaies d'avoir un proxy transparent et authentifié. Si c'est bien le cas, sache que ça n'existe pas. Soit c'est transparent et, au passage, ça ne prend pas en compte HTTPS sauf à activer SSL_bump (Man In The Middle), mais dans ce cas il n'y a pas d’authentification possible, soit il faut s'authentifier au niveau du proxy et dans ce cas, celui-ci ne peut [b]pas être configuré en mode transparent 8)
-
1 - Si tu pouvais expliquer pourquoi tu superposes portail captif et proxy transparent, ça serait un premier pas instructif.
2 - une petite description du principe des tes règles de FW me semble indispensable. STP pas en mode "formulaire" du genre j'ai coché ça ou ça, mais plutôt que font ces règles et pourquoi
3 - bloquer Bittorrent est assez difficile car ce service en mode peer-to-peer peut utiliser un grand nombre de port, y compris en s'appuyant sur le port 80 et des proxy externes :-[
[/quote]1- je superpose Portail Captif et Proxy transparent car le portail captif servira a intercepter tous traffic HTTP et forcer les utilisateurs à s'authentifier sur le réseau en par login/mot de passe ou voucher avant d'acceder a internet. Le proxy transparent va mettre en cache les pages les plus visitées, afin d'eviter de recharger une page qui a déja été visitée
2- J'ai pas encore etablie de règle de Firewall sur mon réseau
-
En espérant ne pas créer trop de dégâts ::) , je vais essayer de préciser 2 ou 3 points:
-
le portail captif n'intercepte pas vraiment tout le trafic HTTP. Ce dispositif redirige effectivement les requêtes HTTP vers la page d'authentification mais une fois l'utilisateur authentifié auprès du portail captif, celui-ci va modifier les règles de pare-feu pour permettre un accès à internet, y compris HTTP qui n'est plus intercepté.
-
En décidant d'utiliser le proxy pour le cache HTTP "uniquement", il faut bien être conscient qu'une grosse partie du trafic est maintenant en HTTPS, donc pas cachée (c'est le premier point important) et pas contrôle par Squid ni Squidguard (blacklists) justement parce que le proxy fonctionne en mode transparent.
Pour revenir sur le mode de fonctionnement du proxy:
- j'écrivais dans ma réponse précédente que tu ne peux pas avoir un proxy HTTP à la fois en mode transparent et explicite.
C'est une réponse un peu simplificatrice, qui demeure vraie si tu utilises uniquement l'interface graphique pour configurer le proxy hébergé sur pfSense. En modifiant le fichier de conf (ou en gérant ton propre proxy), il est tout à fait possible de faire fonctionner le proxy à la fois en mode explicite et transparent, ce que j'explique =https://forum.pfsense.org/index.php?topic=106016.0ici. (en anglais)
mais je n'ai pas l'impression que tu sois confronté à ce type de besoin.
Du coup, quand je lis ce fil et ta question relative à la gestion de quota par utilisateur, je suis dubitatif…
-
-
-Finalement que me conseillez vous au niveau du proxy? que je décoche le faite qu'il soit transparent ou je le laisse transparent?
-Mon poste relatif au quota, je demandais car pas mal d'ami m'ont demander si PFSENSE pouvais définir les quota par utilisateur dans le réseau.
Certaines solutions hotspot tel que TrueCafé(si je ne me trompe) permettent de definir un quota par utilisateur.
C'etait pour verifier la faisabilité avec PfSENSE -
-Finalement que me conseillez vous au niveau du proxy? que je décoche le faite qu'il soit transparent ou je le laisse transparent?
Je te conseille surtout d'éviter de poser la même question dans 2 fils différents car c'est très difficile à suivre ;D
et donc je t'ai répondu dans l'autre fil.-Mon poste relatif au quota, je demandais car pas mal d'ami m'ont demander si PFSENSE pouvais définir les quota par utilisateur dans le réseau.
Certaines solutions hotspot tel que TrueCafé(si je ne me trompe) permettent de definir un quota par utilisateur.
C'etait pour verifier la faisabilité avec PfSENSEIl suffit alors de poser la question de cette manière là, n'est-ce pas ;)
Si tu fais des recherches dans ce sens, tu trouveras soit des considérations sur le fait que ces fonctionnalités seraient à intégrer au portail captif ChiliSpot (via un serveur Radius), soit, sur des réponses récentes… que c'est un aspect Radius.
Même si ça ne plaît pas à jdh et que ça fait ds dégâts, il n'y a pas beaucoup de choix, c'est le troisième "A" (du AAA) de Radius qui aujourd'hui supporte cette fonctionnalité.Finalement, tu peux lire cette page.