Блокировка ограничение скорости torrent pfsense



  • Здравствуйте! Господа, искал в Интернете, как это сделать pfsense
    Нашёл подробные инструкции, типа:
    http://pfsensebuddy.weebly.com/blog/how-to-block-bittorrent-download-in-pfsense

    Однако у меня pfsense
    2.3-RELEASE (i386)
    FreeBSD 10.3-RELEASE
    Version 2.3.2 is available.

    И я не нахожу там опцию layers 7
    На данный момент есть лиммитеры, они отлично режут скорости  для ютуба и т.д. Но вот торрент грузит всё напрочь.
    Очень прошу помощи.



  • Здравствуйте, покажите пож-та как используете лимитер? У меня проблема.



  • Доброе.
    Исп. шейпер https://forum.pfsense.org/index.php?topic=111231.0

    Похоже я нашел шейпер своей мечты, это таки fairq, а не HFSC, который по факту приоритеты очередей не поддерживает (pfsense их вообще игнорирует для HFSC, хотя в описании написано обратное).



  • @randreevich:

    Здравствуйте, покажите пож-та как используете лимитер? У меня проблема.

    В своём сообщении я привёл ссылку, пользуясь которой, я лиммитеры настроил.
    В чём конкретно проблема у вас?
    Опишите свой случай. Цель, задачи и вводные данные.



  • И я не нахожу там опцию layers 7

    https://doc.pfsense.org/index.php/Layer_7

    pfSense used to contain a Layer 7 classifier, ipfw-classifyd, but it has been removed. It was non-functional on pfSense 2.2.x and removed entirely from pfSense 2.3 because it was not feasible to fix. L7 classification consumed large amounts of CPU and rarely had the intended effect, and it was a rarely used feature even when it did function.

    https://doc.pfsense.org/index.php/2.3_New_Features_and_Changes

    Removed Layer 7 classification support from the traffic shaper



  • Понимаю что тема старая, но тем не менее….
    Может кто подробно описать как заблокировать торренты в pfSense 2.3.2?



  • Полностью заблокировать не получиться, не используя прокси, только попытаться приоретезировать один трафик над другим.



  • PbIXTOP,
    Я не говорил, что это нужно сделать не используя прокси. Подойдут любые варианты блокировки, лишь бы работало.



  • Доброе.
    Разрешите в мир только определенные порты и протоколы.



  • Удалить(или откл) дефолтное правило

    IPv4 TCP/UDP LAN net * * * WAN_DHCP none   Inet >> LAN

    Создать 4 правила

    IPv4 TCP * * * 53 (DNS)         * none  
    IPv4 UDP * * * 53 (DNS)         * none  
    IPv4 TCP * * * 80 (HTTP) * none  
    IPv4 TCP * * * 443 (HTTPS) * none

    После этого INET будет ,торренты нет

    =========================================

    При необходимости  как писал werter (Разрешите в мир только определенные порты и протоколы)
    Добавьте то что вам необходимо



  • Спасибо!
    Так и сделал. Теперь в сети ничего лишнего не происходит. Красота!  :)



  • Для себя можно создать правило выше этих четырех

    Типа такого где вместо 192.168.1.3 пишете адрес вашей машины
    И торренты будут только у Вас!!

    IPv4 TCP/UDP 192.168.1.3 * * * WAN_DHCP none   My-PC



  • @oleg1969:

    Удалить(или откл) дефолтное правило

    IPv4 TCP/UDP LAN net * * * WAN_DHCP none   Inet >> LAN

    Создать 4 правила

    IPv4 TCP * * * 53 (DNS)         * none  
    IPv4 UDP * * * 53 (DNS)         * none  
    IPv4 TCP * * * 80 (HTTP) * none  
    IPv4 TCP * * * 443 (HTTPS) * none

    После этого INET будет ,торренты нет

    =========================================

    При необходимости  как писал werter (Разрешите в мир только определенные порты и протоколы)
    Добавьте то что вам необходимо

    53 порт безконтрольно выпускать в мир в управляемой сети не стоит



  • @PbIXTOP:

    53 порт безконтрольно выпускать в мир в управляемой сети не стоит

    А разве мы его в мир выпускаем ?

    Дефолтное правило делает тоже самое (только не явно – не видно номера порта и всё) ;)
    Иначе как будут идти запросы ДНС?



  • @oleg1969:

    @PbIXTOP:

    53 порт безконтрольно выпускать в мир в управляемой сети не стоит

    А разве мы его в мир выпускаем ?

    Дефолтное правило делает тоже самое (только не явно – не видно номера порта и всё) ;)
    Иначе как будут идти запросы ДНС?

    Имется в виду запрет к DNS изLAN. Если в сети единственный DNS, разрешающий адреса интернета - pfSense\Контроллер АД\еще что-то явно указанное,  рядовым клиентам внешние DNS в общем-то не нужны.



  • А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив



  • @Bansardo:

    А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

    UDP на 80 и 443 это лишнее



  • @Bansardo:

    А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

    Доброе.
    Ссылкой поделитесь ?



  • Подниму темку.
    Может что-то поменялось? Приориет трафика не подходит, надо совсем заблочить торренты.
    Или только через порты? Получается очень много их :(
    Вот было удобно с лайер7. Что нибудь такое же бы.



  • @pavvap:

    Что нибудь такое же бы.

    Вариант первый

    Я уже писал работает на Ура!

    https://forum.pfsense.org/index.php?topic=118574.msg691961#msg691961

    Вариант второй

    Создаем запрещающе  правило

    Protocol         Source       Port Destination Port Gateway Queue Schedule

    IPv4 TCP/UDP 192.168.1.17 *     *         1025 - 65535 * none

    Это пример для конкретной машины 192.168.1.17

    Если надо для всей сети в Source ставим Lan net

    и Удалить(или откл) дефолтное правило

    IPv4 TCP/UDP    LAN net    *    *    *    WAN_DHCP    none        Inet >> LAN



  • Так я же говорю чтобы не через порты…
    Портов много.



  • @pavvap:

    Так я же говорю чтобы не через порты…
    Портов много.

    А ПОЧЕМУ БЫ НЕ ЧЕРЕЗ ПОРТЫ ??

    Всего одно правило



  • вы имеете ввиду это?

    Protocol            Source          Port    Destination    Port    Gateway    Queue    Schedule

    IPv4 TCP/UDP    192.168.1.17    *        *            1025 - 65535    *    none

    Что же мешает пользователю поменять порт в торрент клиенте?

    Так же из сети LAN запретить всё и открыть определённые порты - гемор.

    Вот лайер 7 было очень действенно и удобно.

    Может через сквид что-то можно придумать?



  • @pavvap:

    вы имеете ввиду это?

    Protocol            Source          Port    Destination    Port    Gateway    Queue    Schedule

    IPv4 TCP/UDP    192.168.1.17    *        *            1025 - 65535    *    none

    Что же мешает пользователю поменять порт в торрент клиенте?

    Так же из сети LAN запретить всё и открыть определённые порты - гемор.

    Что же мешает пользователю поменять порт в торрент клиенте?

    Пусть меняют – но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 - 65535 ,так что флаг им руки ;D

    Так же из сети LAN запретить всё и открыть определённые порты - гемор.

    Основные порты открыты так что интернет будет у всех
    У Вас что все порты сети доступны кому ни попадя :o



  • Пусть меняют – но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 - 65535 ,так что флаг им руки ;D

    Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.

    Основные порты открыты так что интернет будет у всех
    У Вас что все порты сети доступны кому ни попадя :o

    Из LAN да, а что в этом криминального? Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?

    Говорю же что через порты это крайняя мера.

    Интересен метод по типу как был через лайер 7.



  • Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.

    Открытый порт в торрент клиентах - не дырка для закачки.
    Он позволяет пирам за NAT (а таких - большинство) облегчить подключение друг к другу. Сама же закачка идет по куче портов, большинство из которых как раз в диапазоне 1ххх- 65535

    Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?

    А вот тут - согласен.

    Встречал решение для Микротик - резать специфичные для P2P мелкие пакеты. Как и можно ли это реализовать в pfSense - не знаю.



  • Доброе.

    Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП

    Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
    Разработчики банк. софта - не идиоты.

    А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.

    И да, что это за "контора", в к-ой работникам разрешено пользовать торренты?  :o

    Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?

    P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.



  • @werter:

    Доброе.

    Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП

    Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
    Разработчики банк. софта - не идиоты.

    А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.

    И да, что это за "контора", в к-ой работникам разрешено пользовать торренты?  :o

    Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?

    P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.

    Этот спор будет ни о чем. Каждый останется при своем мнении.

    Про банк клиенты по большей части согласен, но есть ещё куча всякого другого софта и оборудования.

    Пользовать торренты? А что запретит? Сейчас портативные проги для всего и вся есть. К тому же проги теперь любят ставиться в папки пользователей.
    Про то что запретить скачку exe, заблокировать в домене и тд не нужно, речь не об этом.
    Поэтому и спрашиваю как заблокировать, но не через порты.
    Все же мне именно их предлагают. Повторюсь ещё раз, через лайер7 было отличное решение.

    Похожая ситуация с блокировкой видео онлайн. Блокируем по маске, вносим все известные форматы… а потом их открываем, тк в выдачах поисковиков при переходе по ссылкам по любому всплывёт наше блокирование по маске, например avi, и приходится его убирать.

    DNS на контроллерах домена, оттуда на pfsense, всё нормально там.

    Золотое правило по большей части было актуально при лимитированном интернете и других скоростях, сейчас же всё и вся лезит в инет. Наверно 50% всей работы пользователей (а не которых и 90%) находится теперь в инете. Здесь у каждого своя ситуация. Всё равно если я не дам доступ, то его не получит ничто и никто.

    Давайте не будем оффтопить и подытожим: блокировка торрентов либо портами, либо никак. А, ну ещё полосой пропускания.



  • Так поставте предедушую версию pFsense 2.2.x в них  layer 7 и работает