Блокировка ограничение скорости torrent pfsense
-
Здравствуйте! Господа, искал в Интернете, как это сделать pfsense
Нашёл подробные инструкции, типа:
http://pfsensebuddy.weebly.com/blog/how-to-block-bittorrent-download-in-pfsenseОднако у меня pfsense
2.3-RELEASE (i386)
FreeBSD 10.3-RELEASE
Version 2.3.2 is available.И я не нахожу там опцию layers 7
На данный момент есть лиммитеры, они отлично режут скорости для ютуба и т.д. Но вот торрент грузит всё напрочь.
Очень прошу помощи. -
Здравствуйте, покажите пож-та как используете лимитер? У меня проблема.
-
Доброе.
Исп. шейпер https://forum.pfsense.org/index.php?topic=111231.0Похоже я нашел шейпер своей мечты, это таки fairq, а не HFSC, который по факту приоритеты очередей не поддерживает (pfsense их вообще игнорирует для HFSC, хотя в описании написано обратное).
-
Здравствуйте, покажите пож-та как используете лимитер? У меня проблема.
В своём сообщении я привёл ссылку, пользуясь которой, я лиммитеры настроил.
В чём конкретно проблема у вас?
Опишите свой случай. Цель, задачи и вводные данные. -
И я не нахожу там опцию layers 7
https://doc.pfsense.org/index.php/Layer_7
pfSense used to contain a Layer 7 classifier, ipfw-classifyd, but it has been removed. It was non-functional on pfSense 2.2.x and removed entirely from pfSense 2.3 because it was not feasible to fix. L7 classification consumed large amounts of CPU and rarely had the intended effect, and it was a rarely used feature even when it did function.
https://doc.pfsense.org/index.php/2.3_New_Features_and_Changes
Removed Layer 7 classification support from the traffic shaper
-
Понимаю что тема старая, но тем не менее….
Может кто подробно описать как заблокировать торренты в pfSense 2.3.2? -
Полностью заблокировать не получиться, не используя прокси, только попытаться приоретезировать один трафик над другим.
-
PbIXTOP,
Я не говорил, что это нужно сделать не используя прокси. Подойдут любые варианты блокировки, лишь бы работало. -
Доброе.
Разрешите в мир только определенные порты и протоколы. -
Спасибо!
Так и сделал. Теперь в сети ничего лишнего не происходит. Красота! :) -
@oleg1969:
Удалить(или откл) дефолтное правило
IPv4 TCP/UDP LAN net * * * WAN_DHCP none Inet >> LAN
Создать 4 правила
IPv4 TCP * * * 53 (DNS) * none
IPv4 UDP * * * 53 (DNS) * none
IPv4 TCP * * * 80 (HTTP) * none
IPv4 TCP * * * 443 (HTTPS) * noneПосле этого INET будет ,торренты нет
=========================================
При необходимости как писал werter (Разрешите в мир только определенные порты и протоколы)
Добавьте то что вам необходимо53 порт безконтрольно выпускать в мир в управляемой сети не стоит
-
@oleg1969:
53 порт безконтрольно выпускать в мир в управляемой сети не стоит
А разве мы его в мир выпускаем ?
Дефолтное правило делает тоже самое (только не явно – не видно номера порта и всё) ;)
Иначе как будут идти запросы ДНС?Имется в виду запрет к DNS изLAN. Если в сети единственный DNS, разрешающий адреса интернета - pfSense\Контроллер АД\еще что-то явно указанное, рядовым клиентам внешние DNS в общем-то не нужны.
-
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив
-
@Bansardo:
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив
Доброе.
Ссылкой поделитесь ? -
Подниму темку.
Может что-то поменялось? Приориет трафика не подходит, надо совсем заблочить торренты.
Или только через порты? Получается очень много их :(
Вот было удобно с лайер7. Что нибудь такое же бы. -
Так я же говорю чтобы не через порты…
Портов много. -
вы имеете ввиду это?
Protocol Source Port Destination Port Gateway Queue Schedule
IPv4 TCP/UDP 192.168.1.17 * * 1025 - 65535 * none
Что же мешает пользователю поменять порт в торрент клиенте?
Так же из сети LAN запретить всё и открыть определённые порты - гемор.
Вот лайер 7 было очень действенно и удобно.
Может через сквид что-то можно придумать?
-
Пусть меняют – но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 - 65535 ,так что флаг им руки ;D
Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.
Основные порты открыты так что интернет будет у всех
У Вас что все порты сети доступны кому ни попадя :oИз LAN да, а что в этом криминального? Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?
Говорю же что через порты это крайняя мера.
Интересен метод по типу как был через лайер 7.
-
Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.
Открытый порт в торрент клиентах - не дырка для закачки.
Он позволяет пирам за NAT (а таких - большинство) облегчить подключение друг к другу. Сама же закачка идет по куче портов, большинство из которых как раз в диапазоне 1ххх- 65535Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?
А вот тут - согласен.
Встречал решение для Микротик - резать специфичные для P2P мелкие пакеты. Как и можно ли это реализовать в pfSense - не знаю.
-
Доброе.
Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП
Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта - не идиоты.А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.
И да, что это за "контора", в к-ой работникам разрешено пользовать торренты? :o
Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?
P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.