Блокировка ограничение скорости torrent pfsense
-
Понимаю что тема старая, но тем не менее….
Может кто подробно описать как заблокировать торренты в pfSense 2.3.2? -
Полностью заблокировать не получиться, не используя прокси, только попытаться приоретезировать один трафик над другим.
-
PbIXTOP,
Я не говорил, что это нужно сделать не используя прокси. Подойдут любые варианты блокировки, лишь бы работало. -
Доброе.
Разрешите в мир только определенные порты и протоколы. -
Спасибо!
Так и сделал. Теперь в сети ничего лишнего не происходит. Красота! :) -
@oleg1969:
Удалить(или откл) дефолтное правило
IPv4 TCP/UDP LAN net * * * WAN_DHCP none Inet >> LAN
Создать 4 правила
IPv4 TCP * * * 53 (DNS) * none
IPv4 UDP * * * 53 (DNS) * none
IPv4 TCP * * * 80 (HTTP) * none
IPv4 TCP * * * 443 (HTTPS) * noneПосле этого INET будет ,торренты нет
=========================================
При необходимости как писал werter (Разрешите в мир только определенные порты и протоколы)
Добавьте то что вам необходимо53 порт безконтрольно выпускать в мир в управляемой сети не стоит
-
@oleg1969:
53 порт безконтрольно выпускать в мир в управляемой сети не стоит
А разве мы его в мир выпускаем ?
Дефолтное правило делает тоже самое (только не явно – не видно номера порта и всё) ;)
Иначе как будут идти запросы ДНС?Имется в виду запрет к DNS изLAN. Если в сети единственный DNS, разрешающий адреса интернета - pfSense\Контроллер АД\еще что-то явно указанное, рядовым клиентам внешние DNS в общем-то не нужны.
-
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив
-
@Bansardo:
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив
Доброе.
Ссылкой поделитесь ? -
Подниму темку.
Может что-то поменялось? Приориет трафика не подходит, надо совсем заблочить торренты.
Или только через порты? Получается очень много их :(
Вот было удобно с лайер7. Что нибудь такое же бы. -
Так я же говорю чтобы не через порты…
Портов много. -
вы имеете ввиду это?
Protocol Source Port Destination Port Gateway Queue Schedule
IPv4 TCP/UDP 192.168.1.17 * * 1025 - 65535 * none
Что же мешает пользователю поменять порт в торрент клиенте?
Так же из сети LAN запретить всё и открыть определённые порты - гемор.
Вот лайер 7 было очень действенно и удобно.
Может через сквид что-то можно придумать?
-
Пусть меняют – но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 - 65535 ,так что флаг им руки ;D
Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.
Основные порты открыты так что интернет будет у всех
У Вас что все порты сети доступны кому ни попадя :oИз LAN да, а что в этом криминального? Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?
Говорю же что через порты это крайняя мера.
Интересен метод по типу как был через лайер 7.
-
Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.
Открытый порт в торрент клиентах - не дырка для закачки.
Он позволяет пирам за NAT (а таких - большинство) облегчить подключение друг к другу. Сама же закачка идет по куче портов, большинство из которых как раз в диапазоне 1ххх- 65535Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?
А вот тут - согласен.
Встречал решение для Микротик - резать специфичные для P2P мелкие пакеты. Как и можно ли это реализовать в pfSense - не знаю.
-
Доброе.
Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП
Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта - не идиоты.А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.
И да, что это за "контора", в к-ой работникам разрешено пользовать торренты? :o
Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?
P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.
-
Доброе.
Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП
Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта - не идиоты.А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.
И да, что это за "контора", в к-ой работникам разрешено пользовать торренты? :o
Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?
P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.
Этот спор будет ни о чем. Каждый останется при своем мнении.
Про банк клиенты по большей части согласен, но есть ещё куча всякого другого софта и оборудования.
Пользовать торренты? А что запретит? Сейчас портативные проги для всего и вся есть. К тому же проги теперь любят ставиться в папки пользователей.
Про то что запретить скачку exe, заблокировать в домене и тд не нужно, речь не об этом.
Поэтому и спрашиваю как заблокировать, но не через порты.
Все же мне именно их предлагают. Повторюсь ещё раз, через лайер7 было отличное решение.Похожая ситуация с блокировкой видео онлайн. Блокируем по маске, вносим все известные форматы… а потом их открываем, тк в выдачах поисковиков при переходе по ссылкам по любому всплывёт наше блокирование по маске, например avi, и приходится его убирать.
DNS на контроллерах домена, оттуда на pfsense, всё нормально там.
Золотое правило по большей части было актуально при лимитированном интернете и других скоростях, сейчас же всё и вся лезит в инет. Наверно 50% всей работы пользователей (а не которых и 90%) находится теперь в инете. Здесь у каждого своя ситуация. Всё равно если я не дам доступ, то его не получит ничто и никто.
Давайте не будем оффтопить и подытожим: блокировка торрентов либо портами, либо никак. А, ну ещё полосой пропускания.