Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Блокировка ограничение скорости torrent pfsense

    Scheduled Pinned Locked Moved Russian
    21 Posts 8 Posters 7.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      IvanRom
      last edited by

      Здравствуйте! Господа, искал в Интернете, как это сделать pfsense
      Нашёл подробные инструкции, типа:
      http://pfsensebuddy.weebly.com/blog/how-to-block-bittorrent-download-in-pfsense

      Однако у меня pfsense
      2.3-RELEASE (i386)
      FreeBSD 10.3-RELEASE
      Version 2.3.2 is available.

      И я не нахожу там опцию layers 7
      На данный момент есть лиммитеры, они отлично режут скорости  для ютуба и т.д. Но вот торрент грузит всё напрочь.
      Очень прошу помощи.

      1 Reply Last reply Reply Quote 0
      • R
        randreevich
        last edited by

        Здравствуйте, покажите пож-та как используете лимитер? У меня проблема.

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          Доброе.
          Исп. шейпер https://forum.pfsense.org/index.php?topic=111231.0

          Похоже я нашел шейпер своей мечты, это таки fairq, а не HFSC, который по факту приоритеты очередей не поддерживает (pfsense их вообще игнорирует для HFSC, хотя в описании написано обратное).

          1 Reply Last reply Reply Quote 0
          • I
            IvanRom
            last edited by

            @randreevich:

            Здравствуйте, покажите пож-та как используете лимитер? У меня проблема.

            В своём сообщении я привёл ссылку, пользуясь которой, я лиммитеры настроил.
            В чём конкретно проблема у вас?
            Опишите свой случай. Цель, задачи и вводные данные.

            1 Reply Last reply Reply Quote 0
            • P
              pigbrother
              last edited by

              И я не нахожу там опцию layers 7

              https://doc.pfsense.org/index.php/Layer_7

              pfSense used to contain a Layer 7 classifier, ipfw-classifyd, but it has been removed. It was non-functional on pfSense 2.2.x and removed entirely from pfSense 2.3 because it was not feasible to fix. L7 classification consumed large amounts of CPU and rarely had the intended effect, and it was a rarely used feature even when it did function.

              https://doc.pfsense.org/index.php/2.3_New_Features_and_Changes

              Removed Layer 7 classification support from the traffic shaper

              1 Reply Last reply Reply Quote 0
              • V
                virt404
                last edited by

                Понимаю что тема старая, но тем не менее….
                Может кто подробно описать как заблокировать торренты в pfSense 2.3.2?

                1 Reply Last reply Reply Quote 0
                • P
                  PbIXTOP
                  last edited by

                  Полностью заблокировать не получиться, не используя прокси, только попытаться приоретезировать один трафик над другим.

                  1 Reply Last reply Reply Quote 0
                  • V
                    virt404
                    last edited by

                    PbIXTOP,
                    Я не говорил, что это нужно сделать не используя прокси. Подойдут любые варианты блокировки, лишь бы работало.

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Доброе.
                      Разрешите в мир только определенные порты и протоколы.

                      1 Reply Last reply Reply Quote 0
                      • V
                        virt404
                        last edited by

                        Спасибо!
                        Так и сделал. Теперь в сети ничего лишнего не происходит. Красота!  :)

                        1 Reply Last reply Reply Quote 0
                        • P
                          PbIXTOP
                          last edited by

                          @oleg1969:

                          Удалить(или откл) дефолтное правило

                          IPv4 TCP/UDP LAN net * * * WAN_DHCP none   Inet >> LAN

                          Создать 4 правила

                          IPv4 TCP * * * 53 (DNS)         * none  
                          IPv4 UDP * * * 53 (DNS)         * none  
                          IPv4 TCP * * * 80 (HTTP) * none  
                          IPv4 TCP * * * 443 (HTTPS) * none

                          После этого INET будет ,торренты нет

                          =========================================

                          При необходимости  как писал werter (Разрешите в мир только определенные порты и протоколы)
                          Добавьте то что вам необходимо

                          53 порт безконтрольно выпускать в мир в управляемой сети не стоит

                          1 Reply Last reply Reply Quote 0
                          • P
                            pigbrother
                            last edited by

                            @oleg1969:

                            @PbIXTOP:

                            53 порт безконтрольно выпускать в мир в управляемой сети не стоит

                            А разве мы его в мир выпускаем ?

                            Дефолтное правило делает тоже самое (только не явно – не видно номера порта и всё) ;)
                            Иначе как будут идти запросы ДНС?

                            Имется в виду запрет к DNS изLAN. Если в сети единственный DNS, разрешающий адреса интернета - pfSense\Контроллер АД\еще что-то явно указанное,  рядовым клиентам внешние DNS в общем-то не нужны.

                            1 Reply Last reply Reply Quote 0
                            • ?
                              A Former User
                              last edited by

                              А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

                              1 Reply Last reply Reply Quote 0
                              • werterW
                                werter
                                last edited by

                                @Bansardo:

                                А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

                                Доброе.
                                Ссылкой поделитесь ?

                                1 Reply Last reply Reply Quote 0
                                • P
                                  pavvap
                                  last edited by

                                  Подниму темку.
                                  Может что-то поменялось? Приориет трафика не подходит, надо совсем заблочить торренты.
                                  Или только через порты? Получается очень много их :(
                                  Вот было удобно с лайер7. Что нибудь такое же бы.

                                  1 Reply Last reply Reply Quote 0
                                  • P
                                    pavvap
                                    last edited by

                                    Так я же говорю чтобы не через порты…
                                    Портов много.

                                    1 Reply Last reply Reply Quote 0
                                    • P
                                      pavvap
                                      last edited by

                                      вы имеете ввиду это?

                                      Protocol            Source          Port    Destination    Port    Gateway    Queue    Schedule

                                      IPv4 TCP/UDP    192.168.1.17    *        *            1025 - 65535    *    none

                                      Что же мешает пользователю поменять порт в торрент клиенте?

                                      Так же из сети LAN запретить всё и открыть определённые порты - гемор.

                                      Вот лайер 7 было очень действенно и удобно.

                                      Может через сквид что-то можно придумать?

                                      1 Reply Last reply Reply Quote 0
                                      • P
                                        pavvap
                                        last edited by

                                        Пусть меняют – но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 - 65535 ,так что флаг им руки ;D

                                        Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.

                                        Основные порты открыты так что интернет будет у всех
                                        У Вас что все порты сети доступны кому ни попадя :o

                                        Из LAN да, а что в этом криминального? Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?

                                        Говорю же что через порты это крайняя мера.

                                        Интересен метод по типу как был через лайер 7.

                                        1 Reply Last reply Reply Quote 0
                                        • P
                                          pigbrother
                                          last edited by

                                          Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.

                                          Открытый порт в торрент клиентах - не дырка для закачки.
                                          Он позволяет пирам за NAT (а таких - большинство) облегчить подключение друг к другу. Сама же закачка идет по куче портов, большинство из которых как раз в диапазоне 1ххх- 65535

                                          Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?

                                          А вот тут - согласен.

                                          Встречал решение для Микротик - резать специфичные для P2P мелкие пакеты. Как и можно ли это реализовать в pfSense - не знаю.

                                          1 Reply Last reply Reply Quote 0
                                          • werterW
                                            werter
                                            last edited by

                                            Доброе.

                                            Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП

                                            Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
                                            Разработчики банк. софта - не идиоты.

                                            А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.

                                            И да, что это за "контора", в к-ой работникам разрешено пользовать торренты?  :o

                                            Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?

                                            P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.