Блокировка ограничение скорости torrent pfsense

virt404

Понимаю что тема старая, но тем не менее….
Может кто подробно описать как заблокировать торренты в pfSense 2.3.2?

PbIXTOP

Полностью заблокировать не получиться, не используя прокси, только попытаться приоретезировать один трафик над другим.

virt404

PbIXTOP,
Я не говорил, что это нужно сделать не используя прокси. Подойдут любые варианты блокировки, лишь бы работало.

werter

Доброе.
Разрешите в мир только определенные порты и протоколы.

virt404

Спасибо!
Так и сделал. Теперь в сети ничего лишнего не происходит. Красота!  :)

PbIXTOP

@oleg1969:

Удалить(или откл) дефолтное правило

IPv4 TCP/UDP LAN net * * * WAN_DHCP none   Inet >> LAN

Создать 4 правила

IPv4 TCP * * * 53 (DNS)         * none  
IPv4 UDP * * * 53 (DNS)         * none  
IPv4 TCP * * * 80 (HTTP) * none  
IPv4 TCP * * * 443 (HTTPS) * none

После этого INET будет ,торренты нет

=========================================

При необходимости  как писал werter (Разрешите в мир только определенные порты и протоколы)
Добавьте то что вам необходимо

53 порт безконтрольно выпускать в мир в управляемой сети не стоит

pigbrother

@oleg1969:

@PbIXTOP:

53 порт безконтрольно выпускать в мир в управляемой сети не стоит

А разве мы его в мир выпускаем ?

Дефолтное правило делает тоже самое (только не явно – не видно номера порта и всё) ;)
Иначе как будут идти запросы ДНС?

Имется в виду запрет к DNS изLAN. Если в сети единственный DNS, разрешающий адреса интернета - pfSense\Контроллер АД\еще что-то явно указанное,  рядовым клиентам внешние DNS в общем-то не нужны.

A Former User

А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

werter

@Bansardo:

А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

Доброе.
Ссылкой поделитесь ?

pavvap

Подниму темку.
Может что-то поменялось? Приориет трафика не подходит, надо совсем заблочить торренты.
Или только через порты? Получается очень много их :(
Вот было удобно с лайер7. Что нибудь такое же бы.

pavvap

Так я же говорю чтобы не через порты…
Портов много.

pavvap

вы имеете ввиду это?

Protocol            Source          Port    Destination    Port    Gateway    Queue    Schedule

IPv4 TCP/UDP    192.168.1.17    *        *            1025 - 65535    *    none

Что же мешает пользователю поменять порт в торрент клиенте?

Так же из сети LAN запретить всё и открыть определённые порты - гемор.

Вот лайер 7 было очень действенно и удобно.

Может через сквид что-то можно придумать?

pavvap

Пусть меняют – но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 - 65535 ,так что флаг им руки ;D

Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.

Основные порты открыты так что интернет будет у всех
У Вас что все порты сети доступны кому ни попадя :o

Из LAN да, а что в этом криминального? Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?

Говорю же что через порты это крайняя мера.

Интересен метод по типу как был через лайер 7.

pigbrother

Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.

Открытый порт в торрент клиентах - не дырка для закачки.
Он позволяет пирам за NAT (а таких - большинство) облегчить подключение друг к другу. Сама же закачка идет по куче портов, большинство из которых как раз в диапазоне 1ххх- 65535

Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?

А вот тут - согласен.

Встречал решение для Микротик - резать специфичные для P2P мелкие пакеты. Как и можно ли это реализовать в pfSense - не знаю.

werter

Доброе.

Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП

Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта - не идиоты.

А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.

И да, что это за "контора", в к-ой работникам разрешено пользовать торренты?  :o

Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?

P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.

pavvap

@werter:

Доброе.

Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП

Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта - не идиоты.

А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.

И да, что это за "контора", в к-ой работникам разрешено пользовать торренты?  :o

Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?

P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.

Этот спор будет ни о чем. Каждый останется при своем мнении.

Про банк клиенты по большей части согласен, но есть ещё куча всякого другого софта и оборудования.

Пользовать торренты? А что запретит? Сейчас портативные проги для всего и вся есть. К тому же проги теперь любят ставиться в папки пользователей.
Про то что запретить скачку exe, заблокировать в домене и тд не нужно, речь не об этом.
Поэтому и спрашиваю как заблокировать, но не через порты.
Все же мне именно их предлагают. Повторюсь ещё раз, через лайер7 было отличное решение.

Похожая ситуация с блокировкой видео онлайн. Блокируем по маске, вносим все известные форматы… а потом их открываем, тк в выдачах поисковиков при переходе по ссылкам по любому всплывёт наше блокирование по маске, например avi, и приходится его убирать.

DNS на контроллерах домена, оттуда на pfsense, всё нормально там.

Золотое правило по большей части было актуально при лимитированном интернете и других скоростях, сейчас же всё и вся лезит в инет. Наверно 50% всей работы пользователей (а не которых и 90%) находится теперь в инете. Здесь у каждого своя ситуация. Всё равно если я не дам доступ, то его не получит ничто и никто.

Давайте не будем оффтопить и подытожим: блокировка торрентов либо портами, либо никак. А, ну ещё полосой пропускания.