Pfsense ne filtre pas le P2P



  • Bonjour,
    je suis administrateur du réseau de l'afpa de toulon et selon la charte de l'établissement les téléchargement via le le P2P sont bannis. Malheureusement je ne trouve pas de moyen pour bloqué ces logiciels (à par le "traffic shaper" qui ralenti la connexion au point de pouvoir fumer un clop pendant le chargement de google). Vue que les ports utilisés pour le P2P sont très variables je ne peux pas tous les bloqués un par un (et puis faudrait les connaitre…).

    J'ai deja désactivé la règles qui laissent tout passé du Lan vers la wan et mis mes propres "rules" ainsi que l'installation de squid et squidgard qui ne permettent pas de bloquer ces logiciel (ou alors j'ai pas trouvé).
    Dommage que l'on ne trouvent pas plus d'information en français sur ce firewall car il me semble vraiment très complet et efficace.

    p.s: j'utilise la version 1.2 de PFSense

    par avance merci de vos réponse.

    A très bientôt...



  • Effectivement un filtrage basé sur les numéros de ports n'est pas suffisant pour filtrer le p2p. Il est nécessaire d'inspecter le contenu des paquets pour décider si oui, ou non on les laisse passer. Il faudrait regarder du coté des packages. J'ignore si il en existe pour traiter ce problème. Dans un registre voisin il en existe un (imspector) pour filtrer les protocoles de messagerie instantanée.



  • Normalement il ne devrait quasiment rien passer si tous les ports en sortie sont fermés et qu'un proxy de type squid est requis pour naviguer. Il va rester les torrents encapsulé dans du HTTPS… la c'est un peu plus complexe pour limiter leur utilisation (désactivation du mode CONNECT dans squid).

    Vous devez avoir une coquille dans votre configuration, êtes vous sûre que tout est banni de LAN vers WAN ? J'entends par là aucun flux direct.

    Cordialement,



  • bonsoir,

    Merci de vos réponses.

    Il y a une règles par défaut a l'installation de PFSense qui laisse tout sortir du LAN vers le Wan que j'ai désactivé puis j'ai mis mes propres règles (ouverture http, ftp, https, imaps, imap, pop3, etc ,plus pas mal de ports utilisés pour les jeux). Je suppose que seul ces ports sont désormais ouvert et que les petits malins qui utilise des logiciel de P2P les utiliseront mais je ne peux pas laisser que le protocole http ouvert; cahier des charges oblige. Je ne sait pas si je n'ai aucun flux directe du lan vers le wan car je ne sais pas ce que c'est. Je n'est pas trouvé le mode CONNECT dans squid (peut etre parce que je suis en interface graphique ?).

    Il n'y a que 2 règles du WAN vers le LAN les régles définit par l'onglet de configuration de l'interface WAN soit : 
    Block private networks
    Block bogon networks

    regles qui interdisent l'accès au réseau privé externe si je ne me trompe pas

    NTOP m'indique: edonkey 31Mb de données transmise
                          bittorrent 7Mb
                          kazaa  9Kb
    ce n'est pas énorme certes mais le fait est que le telechargement par P2P est interdit.

    J'ai par contre réussi à mettre en place le "traffic shaper" sans que le réseau soit affecté. Le premier onglet de configuration permet de régler la vitesse de download et d'upload j'ai donc mis des vitesses qui correspondent à ma connexion (wanadoo 8Mbit) et le surf est redevenu praticable. (j'adore cette fonction maintenant ;D)

    Ccnet j'ai regarder dans les packages un module permettant de filtrer le P2P mais rien semble intéressante pour cela.

    Question subsidiaire, je ne peux afficher les images du sites "leboncoin.fr" l'url de ces images est http://195.154.158.34….... j'ai donc créée une règle qui permet l'accès au réseau 195.154.158.0/24 du WAN vers le LAN et l'inverse LAN vers WAN mais les images ne s'affichent toujours pas (même en désactivant les règles de l'interface WAN (cité plus haut).

    Cordialement,



  • Alors dans l'ordre:

    1. Ne pas se fonder sur les informations remontées par NTOP, il associe des ports à des logiciels de façon arbitraire (en fait il se base sur les ports source >1024, utilisés aléatoirement par les machine et quand ca tombe dans la plage connue pour être celle d'un soft P2P car résulte en un faux positif).

    2. Il est à l'heure actuelle presque impossible d'empêcher des utilisations non souhaitées sans interdire le mode CONNECT/HTTPS. Dès que vous autorisez une connexion HTTPS vous permettez la mise en place d'un tunnel vers n'importe quelle destination…oui je sais c'est triste !

    3. Dès qu'on autorise des ports en direct sans proxy applicatifs (donc en résumé tous les ports de jeux) on ne peu pas empêcher quelqu'un de tunneler à travers ces ports.

    le traffic shaper reste au final la solution la plus fiable pour limiter les nuisances...



  • Je ne savais pas que Pfsense pouvait filtrer le P2P.
    Je pensais qu'il ne faisait du filtrage que sur la couche 4 (protocole de transport : DUP, TCP,…) et non sur la couche applicative (couche 7).

    Je suis vivement intéressé de savoir comment le configurer pour le voir fonctionner parce que mis à part le blocage des ports (que les logiciels de P2P déterminent aléatoirement à l'install), je ne voyais vraiment pas comment faire.


Locked