P2P!



  • Hola a todos como estan.. Tengo algunas dudas???????

    Como puedo hacer para blokear desde el pf el ares y otros programas P2P.



  • ¡Hola!

    Busca con el cajetín Search arriba a la derecha con la palabra P2P. Se ha hablado mucho de esto …

    A mi parecer, la forma más clara de no tener P2P es limitando los puertos de destino:

    http://www.bellera.cat/josep/pfsense/cabal_cs.html#altra

    Otros prefieren bloquear los puertos de cada protocolo (más complejo) o poner el P2P a baja prioridad empleando Traffic Shaper.

    Saludos,

    Josep Pujadas



  • @bellera:

    ¡Hola!

    Busca con el cajetín Search arriba a la derecha con la palabra P2P. Se ha hablado mucho de esto …

    A mi parecer, la forma más clara de no tener P2P es limitando los puertos de destino:

    http://www.bellera.cat/josep/pfsense/cabal_cs.html#altra

    Otros prefieren bloquear los puertos de cada protocolo (más complejo) o poner el P2P a baja prioridad empleando Traffic Shaper.

    Saludos,

    Josep Pujadas

    Saludos amigo, puesto que veo que manejas muy bien este programa te pregunto:
    mi proveedor wifi tiene este programa para administrar la red, como haria el para bloquear que los usuarios usemos ares, limewire y otros programas p2p??? pues como usuario noto que la red esta muy lento y el dice que es por eso, pero no sabe como bloquearlo….podrias darme en palabras sencillas (no soy un experto) apenas estoy leyendo hoy y afiliandome a este foro como funciona pfsense; una guia o maneras de hacer este bloqueo para imprimirla y llevarsela al senor para que junto a el ayudarlo para la sonrisa de todos.....
    gracias de antemanio



  • ¡Hola!

    Casi contestaste a tu pregunta con el quote de mi post …

    Digo casi porque tu proveedor tendría que entender sin problemas lo expuesto en el tutorial.

    La única diferencia es que tu proveedor tendría que poner como IP de origen la tuya, para no bloquear el P2P al resto de sus clientes.

    Por otra parte veo que el tutorial puse en las reglas el puerto 119 (NNTP) para sincronización horaria siendo lo más habitual el 123 (NTP). Actualmente lo tengo con este último.

    Añadir en que en próximas versiones se podrán establecer políticas de tráfico en función de las aplicaciones (Nivel 7 del modelo OSI), http://forum.pfsense.org/index.php/topic,17866.0.html.

    Saludos,

    Josep Pujadas



  • @bellera:

    ¡Hola!
    Casi contestaste a tu pregunta con el quote de mi post …
    Digo casi porque tu proveedor tendría que entender sin problemas lo expuesto en el tutorial.
    La única diferencia es que tu proveedor tendría que poner como IP de origen la tuya, para no bloquear el P2P al resto de sus clientes.
    Por otra parte veo que el tutorial puse en las reglas el puerto 119 (NNTP) para sincronización horaria siendo lo más habitual el 123 (NTP). Actualmente lo tengo con este último.
    Añadir en que en próximas versiones se podrán establecer políticas de tráfico en función de las aplicaciones (Nivel 7 del modelo OSI), http://forum.pfsense.org/index.php/topic,17866.0.html.

    Saludos,
    Josep Pujadas

    saludos joseph y gracias por responder, he revisado el tutorial que dijiste en el post que le respondiste al otro usuario, lo que no se si seran las mismas opciones para la version que tiene el, el tiene la 1.2 release, y me ha autorizado a entrar en su red con su clave y contraseña para que yo busque informacion al respecto y ayudar a poner a funcionar la red mejor, puesto que el poco tiempo tiene para asesorarse, tiene un "tecnico" que le instalo el sistema pero vive muy lejos de su casa y no le colabora mucho..
    ahora bien, la intencion no es bloquear el p2p solo para mi sino para todos los usuarios de la red, segun el tutoria que linkeaste entre otras cosas se debe conocer la velocidad de subida y bajada que da la red a traves de un soft, pero desconozco eso, cuales serian los pasos basicos teniendo el suscrita una conexion de 2048 kbps, y desconociendo esos datos?? pienso que graduando y/o restringuiendo el uso con una cuota minima para esas aplicaciones p2p, se notara y mucho la eficiencia de la red, pues ahi usuarios que se pegan todo el dia bajando cosas… afectando a los demas...



  • ¡Hola!

    No, no te compliques … no tienes por qué emplear Traffic Shaper.

    Es más fácil, tal como se explica en http://www.bellera.cat/josep/pfsense/cabal_cs.html#altra,

    La otra solución para controlar los accesos P2P

    Un álias para los puertos TCP de destino permitidos y otro para los UDP.

    En la versión actual puedes poner rangos de puertos en los álias. Ejemplo: 8000:8100 (con dos puntos). En la versión que hice el tutorial no se podía (o no encontré cómo hacerlo).

    Una regla en LAN que autorice el tránsito TCP y otra para UDP. Nada más. Esto corta todo. Si quieres que puedan pinguear, una regla que autorice ICMP.

    Saludos,

    Josep Pujadas



  • ¡Hola de nuevo!

    Te faltarán los puertos TCP para envío y recogida de correo: 25 (SMTP) y 110 (POP3). Es que en mi red es el servidor de correo quien hace esto y nadie más … Los alumnos no pueden hacerlo si no es con el servidor de correo local.

    No olvides tampoco el  UDP 123 (NTP).

    Y si hay quejas, vas añadiendo a los álias los autorizados. Por ejemplo TCP 22 (SSH) ...

    Saludos,

    Josep Pujadas



  • a resumidas cuentas joseph, yo baje ese tutorial al que me referiste y pense que con el Traffic Shaper era mejor, pero con lo que me dices ahora creo que es mas directo, cuales son los puertos mas comunes que debo dejar habilitados de forma estandar, sin que afecte messenguer, paginas de bancos, paginas normales (noticias, gmail, y cosas asi) para que no interfiera tanto en la red, recuerda que estoy como colaborador mas no de administrador, asi que no puedo tomar decisiones drasticas… lo que quiero es ayudar al chamo a que su red funcione mejor....
    por otra parte existe algun vinculo o biblia para sacarle todo el provcecho a esa version que el ya tiene instalada? pues sera de una gran ayuda lo que me indiques y el y para beneficio propio lo notaremos, pues dependo de el para tener internet  :D



  • ¡Hola de nuevo!

    Evidentemente es menos drástico implementar Traffic Shaper pero también es más complicado ajustarlo.

    Si no puedes ser drástico en tu entorno, tienes que reconducir el tema. Emplea Traffic Shaper para dar poca prioridad a las aplicaciones P2P.

    Si empleases el método de acotar puertos aplicaciones como Messenger no funcionarían de forma completa.

    Decías que no sabías la velocidad de las conexiones, pero si el proveedor te ha dado acceso a su pfSense  mira en [Status] [RRD Graphs] [Traffic] los máximos que tiene la WAN, en in y en out.

    Saludos,

    Josep Pujadas



  • ok eso lo pienso hacer ahora en la noche (luego de mi trabajo) luego de ver estos valores, que valores debo colocarle para subida y bajada? los mismo o montos inferiores? y aplicando el trafic shap.. que valores debo ayustar y que no, por que anoche viendo el wizard de esa version, tenia pantallas y opciones que tu ejemplo no tiene…



  • ¡Hola!

    No te puedo decir más porque no estoy empleando Traffic Shaper.

    Habrá más cosas pero lo básico sigue valiendo ya que es inherente a PF (Packet Filter), el corazón de PFsense.

    Pienso que puedes poner los valores que te den las gráficas porque tienen que ser los reales. Seguramente la capacidad de la conexión es mayor a nivel comercial. Ya lo comento en el tutorial. Yo puse 1250 de bajada para una ADSL que venden como 2000. Es lo que daba en las mediciones …

    Saludos,

    Josep Pujadas



  • ok amigo probare mas tarde como te dije. Voy a seguir los consejos para adm la red para mejoria de todos…. cualquier cosa si tienes msn enviame un pm y si me conecto te pregunto algo mas en caso de que te conectes mas tarde...



  • saludos, ajustando el wizard y colocando los valores que en el tutorial dices que te han dado resultados, me da el siguiente error:
    There were error(s) loading the rules: pfctl: the sum of the child bandwidth higher than parent "qwanRoot"pfctl: linkshare sc exceeds parent's sc /tmp/rules.debug:27: errors in queue definition pfctl: the sum of the child bandwidth higher than parent "qwanRoot" pfctl: linkshare sc exceeds parent's sc /tmp/rules.debug:29: errors in queue definition pfctl: Syntax error in config file: pf rules not loaded - The line in question reads [ the sum of the child bandwidth higher than parent "qwanRoot" pfctl]: …

    que puedo hacer o que hice mal???



  • ¡Hola!

    Esto lo que dice es que la suma de los anchos de banda de las colas-hijas superan el total de la cola-madre en la parte WAN.

    Te recomiendo emplees el asistente, guardes la configuración de tu pfSense, mires qué tal se porta la configuración que te hizo el asistente y si crees que necesitas ajustes los haces después.

    Esto es algo complicado de ajustar a mano porque hay que respetar bien la estructura. Cualquier desliz provoca situaciones como la que tienes.

    Saludos,

    Josep Pujadas



  • bellera si puedes enviame un pm con tu msn para agregarte y preguntarte algunas cosas…



  • Siento que podrias hacer las preguntas por aqui para que todos podamos ayudarte o por lo menos tener un poco mas de conocimiento! :)

    Saludos.



  • no se como hacer la tablas de trafico que coloca el en su tutorial, si bien es bastante explicito, para los neofitos en esta materia nos resulta un tanto engorroso.
    existe alguien que tenga el trafic shaper ya configurado eficientemente para restriguir al maximo los p2p y que pueda compartir las imagenes para saber como debo colocarlo en mi consola???
    Agradezco su ayuda…mi correo esta a la orden para recibir las imagenes si por aca no pueden colocarlas....



  • :) hola lopezleonel…

    1. configura el traffic shapper con el asistente, tal como te han comentado.
    2. una vez habilitado es cuestion de observacion, en el menu status-quoes puedes ver las pilas y sus drops o perdidas, ademas alli te apareceran las colas de p2p, dale menos recurso a las p2p y mas a las de navegacion http etc.

    no existe una receta estricta, depende mucho de tus usuarios y sus habitos de navegacion, asi que la entonacion de las colas dependera de lo que veas en los drops.

    personalmente te recomiendo que bloquees los p2p, sin pensarlo mucho. es lo mas sano para todos.


Log in to reply