Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense ne filtre pas le P2P

    Scheduled Pinned Locked Moved Français
    6 Posts 4 Posters 7.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      Okom
      last edited by

      Bonjour,
      je suis administrateur du réseau de l'afpa de toulon et selon la charte de l'établissement les téléchargement via le le P2P sont bannis. Malheureusement je ne trouve pas de moyen pour bloqué ces logiciels (à par le "traffic shaper" qui ralenti la connexion au point de pouvoir fumer un clop pendant le chargement de google). Vue que les ports utilisés pour le P2P sont très variables je ne peux pas tous les bloqués un par un (et puis faudrait les connaitre…).

      J'ai deja désactivé la règles qui laissent tout passé du Lan vers la wan et mis mes propres "rules" ainsi que l'installation de squid et squidgard qui ne permettent pas de bloquer ces logiciel (ou alors j'ai pas trouvé).
      Dommage que l'on ne trouvent pas plus d'information en français sur ce firewall car il me semble vraiment très complet et efficace.

      p.s: j'utilise la version 1.2 de PFSense

      par avance merci de vos réponse.

      A très bientôt...

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Effectivement un filtrage basé sur les numéros de ports n'est pas suffisant pour filtrer le p2p. Il est nécessaire d'inspecter le contenu des paquets pour décider si oui, ou non on les laisse passer. Il faudrait regarder du coté des packages. J'ignore si il en existe pour traiter ce problème. Dans un registre voisin il en existe un (imspector) pour filtrer les protocoles de messagerie instantanée.

        1 Reply Last reply Reply Quote 0
        • J
          Juve
          last edited by

          Normalement il ne devrait quasiment rien passer si tous les ports en sortie sont fermés et qu'un proxy de type squid est requis pour naviguer. Il va rester les torrents encapsulé dans du HTTPS… la c'est un peu plus complexe pour limiter leur utilisation (désactivation du mode CONNECT dans squid).

          Vous devez avoir une coquille dans votre configuration, êtes vous sûre que tout est banni de LAN vers WAN ? J'entends par là aucun flux direct.

          Cordialement,

          1 Reply Last reply Reply Quote 0
          • O
            Okom
            last edited by

            bonsoir,

            Merci de vos réponses.

            Il y a une règles par défaut a l'installation de PFSense qui laisse tout sortir du LAN vers le Wan que j'ai désactivé puis j'ai mis mes propres règles (ouverture http, ftp, https, imaps, imap, pop3, etc ,plus pas mal de ports utilisés pour les jeux). Je suppose que seul ces ports sont désormais ouvert et que les petits malins qui utilise des logiciel de P2P les utiliseront mais je ne peux pas laisser que le protocole http ouvert; cahier des charges oblige. Je ne sait pas si je n'ai aucun flux directe du lan vers le wan car je ne sais pas ce que c'est. Je n'est pas trouvé le mode CONNECT dans squid (peut etre parce que je suis en interface graphique ?).

            Il n'y a que 2 règles du WAN vers le LAN les régles définit par l'onglet de configuration de l'interface WAN soit : 
            Block private networks
            Block bogon networks

            regles qui interdisent l'accès au réseau privé externe si je ne me trompe pas

            NTOP m'indique: edonkey 31Mb de données transmise
                                  bittorrent 7Mb
                                  kazaa  9Kb
            ce n'est pas énorme certes mais le fait est que le telechargement par P2P est interdit.

            J'ai par contre réussi à mettre en place le "traffic shaper" sans que le réseau soit affecté. Le premier onglet de configuration permet de régler la vitesse de download et d'upload j'ai donc mis des vitesses qui correspondent à ma connexion (wanadoo 8Mbit) et le surf est redevenu praticable. (j'adore cette fonction maintenant ;D)

            Ccnet j'ai regarder dans les packages un module permettant de filtrer le P2P mais rien semble intéressante pour cela.

            Question subsidiaire, je ne peux afficher les images du sites "leboncoin.fr" l'url de ces images est http://195.154.158.34….... j'ai donc créée une règle qui permet l'accès au réseau 195.154.158.0/24 du WAN vers le LAN et l'inverse LAN vers WAN mais les images ne s'affichent toujours pas (même en désactivant les règles de l'interface WAN (cité plus haut).

            Cordialement,

            1 Reply Last reply Reply Quote 0
            • J
              Juve
              last edited by

              Alors dans l'ordre:

              1. Ne pas se fonder sur les informations remontées par NTOP, il associe des ports à des logiciels de façon arbitraire (en fait il se base sur les ports source >1024, utilisés aléatoirement par les machine et quand ca tombe dans la plage connue pour être celle d'un soft P2P car résulte en un faux positif).

              2. Il est à l'heure actuelle presque impossible d'empêcher des utilisations non souhaitées sans interdire le mode CONNECT/HTTPS. Dès que vous autorisez une connexion HTTPS vous permettez la mise en place d'un tunnel vers n'importe quelle destination…oui je sais c'est triste !

              3. Dès qu'on autorise des ports en direct sans proxy applicatifs (donc en résumé tous les ports de jeux) on ne peu pas empêcher quelqu'un de tunneler à travers ces ports.

              le traffic shaper reste au final la solution la plus fiable pour limiter les nuisances...

              1 Reply Last reply Reply Quote 0
              • S
                subnett
                last edited by

                Je ne savais pas que Pfsense pouvait filtrer le P2P.
                Je pensais qu'il ne faisait du filtrage que sur la couche 4 (protocole de transport : DUP, TCP,…) et non sur la couche applicative (couche 7).

                Je suis vivement intéressé de savoir comment le configurer pour le voir fonctionner parce que mis à part le blocage des ports (que les logiciels de P2P déterminent aléatoirement à l'install), je ne voyais vraiment pas comment faire.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.