Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ayuda p2p

    Scheduled Pinned Locked Moved Español
    13 Posts 4 Posters 6.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      moiskey
      last edited by

      Hola a todos (internacionalmente)
      Necesito toda su ayuda a los expertos en pfsense
      Bueno mi problema es el siguiente
      Dentro de mi red están conectados más de 15 equipos por red y wifi (ap) y tengo el problema de los p2p para ser mas preciso a los torrent y el ares
      Se q se a discutido mucho este tema pero no logro entender y solucionar pero lo q realmente quiero es bloquear al 100% los p2p pero no a todos
      Y la otra duda q e leído son sobre los alias ¿Cómo se crean?
      Bueno para muchos estos problemas son censillos pero para mi se esta transformando un calvario ya q el p2p se esta comiendo toda la red e infectado  ???(por lo descargado)
      Ante mano muchas gracias y tener una solución

      1 Reply Last reply Reply Quote 0
      • E
        EMY
        last edited by

        Tienes que crear unas reglas de control. Si ejecutas Traffic Shaper tiene un asistente que te lo hace todo

        Saludos…

        1 Reply Last reply Reply Quote 0
        • M
          moiskey
          last edited by

          Muchas gracias por tu respuesta
          Pero el Traffic Shaper me afecta a todos los usuarios y no quiero eso ya q yo uso torrent y otros PC q lo usan adecuadamente
          E aprendido a crear alias pero estoy en la duda q aser aun ya q salen 3 alternativas (host-networt-port)
          Aun así a mi cliente están con IP estática o fija desde el dhcp ;)
          Y mi otra duda es como cerrar todos los puertos y abrir después los necesarios
                                  ;D Muchas gracias ;D

          1 Reply Last reply Reply Quote 0
          • I
            ipnet
            last edited by

            Estimado, lo que buscas podrías implementarlo con un server Linux, corriendo un Squid (para controlar puertos, accesos por IP, contenidos, etc.) y HTB-Gen (para el control del ancho de banda) dispuesto entre tu red LAN y en PFSense.

            Yo tengo andando uno (no en producción todavía) y complementa muy bien al PFSense. Me resta resolver un tema de DNS o Cache, aún no lo se muy bien, que hace que tenga que esperar unos 10 segundos antes de que cargue una URL.

            Saludos.

            1 Reply Last reply Reply Quote 0
            • M
              moiskey
              last edited by

              Ufff me lo as complicado aun mas
              El pfsense q tengo esta instalado en un disco duro desde CD
              Solo quiero cerrar todos los puertos y Luego abrir los necesarios

              1 Reply Last reply Reply Quote 0
              • E
                EMY
                last edited by

                A menos que tengas una regla para abrir los puertos, están todos cerrados.

                Despues tienes dos opciones, abrir TODO o abrir los que querias que creo es tu caso,ejemplo:

                RULES
                Action: Pass
                Interface: WAN
                Protocol: TCP
                Source: Type: any
                Source OS: any
                Destination: Type: any
                Destination port range:
                    from: El puerto que quieras
                    to: El mismo puerto u otro si quieres se abran todos los que queden en medio

                y lo mismo deberias hacer para Interface LAN

                1 Reply Last reply Reply Quote 0
                • M
                  moiskey
                  last edited by

                  Muchas gracias por tu ayuda
                  Bueno mandare una imagen para mejor orientación esta imagen es como esta en este momento la configuración WAN y LAN
                  Otra duda en la sección de rules en wan no hay nada entonces no debería navegar y e tratado de cerrar todos los puertos desde 1 al 65535 como mi PC de canijillo
                  Pero sigue navegando y descargando como si no existiera o debo hacerlo también en LAN

                  1 Reply Last reply Reply Quote 0
                  • E
                    EMY
                    last edited by

                    Con esto estás habilitando TODO en la parte LAN. Si quieres tener cerrado los puertos debes borrar esa linea y habilitar los que quieres, ojo con el 80 de http no sea te de problemas.

                    Respecto a las descargas te comenté debes habilitar Traffic Shaper si quieres controlar las descargas. Yo lo tengo asi y perfecto, las tengo en 512Kb y de ahí no pasan.

                    Saludos…

                    PD: Te recomiendo tener TODO habilitado (hacer lo mismo que tienes en LAN en la parte WAN) y tener activado Traffic Shaper. Asi lo tengo yo con 150 clientes y perfecto, no se cuela nada de momento y los P2P clavados en 512Kb. Aún así si haces un test de puertos te dan cerrados. Si te fijas tengo un hilo abierto con este tema de los puertos.

                    1 Reply Last reply Reply Quote 0
                    • M
                      moiskey
                      last edited by

                      Este es mi gran problema ???
                      El Traffic Shaper afecta a todo los usuarios incluyendo lo q necesito :o es bloquear solo bloquear el p2p o mejor dicho solo q tengan acceso a ciertos puertos y bloquear todo tipo p2p y otras cosas
                      Por ejemplo q tenga solamente acceso a lo siguiente

                      • acceso web (http, https)
                      • acceso ftp (ftp, ftp-data, sftp)
                      • acceso terminal (telnet, ssh, remote desktop)
                      • acceso email (smtp, pop3, imap, pop3s, imaps, smtps)
                      1 Reply Last reply Reply Quote 0
                      • belleraB
                        bellera
                        last edited by

                        ¡Hola!

                        Fácil es y se ha hablado muchas veces … Lo resumo ... Insistir es bueno ...

                        Sin Traffic Shaper, para cortar todo lo que no sea "normal".

                        En LAN sólo debe haber reglas que autoricen el tráfico deseado:

                        • acceso web (http, https)

                        TCP * * * 80 * * HTTP
                        TCP * * * 443 * * HTTPS
                        TCP * * * 8000-8100 * * HTTP alternativos
                        TCP * * * 53 * *  DNS por TCP
                        UDP * * * 53 * * DNS por TCP
                        UDP * * * 123 * *  NTP

                        • acceso ftp (ftp, ftp-data, sftp)

                        Caso complicado. Asegurarse de tener en LAN funcionando.
                        SFTP es SSH, no le afectan estas reglas.
                        TCP * * 127.0.0.1 * * FTP Proxy Helper 
                        TCP * * * 21 * * FTP

                        • acceso terminal (telnet, ssh, remote desktop)

                        TCP * * * 23 * * Telnet
                        TCP * * * 22 * * SSH
                        TCP * * * 3389 * * RDP

                        • acceso email (smtp, pop3, imap, pop3s, imaps, smtps)

                        TCP * * * 25 * * SMTP y SMTPS
                        TCP * * * 110 * * POP3
                        TCP * * * 995 * * POP3S

                        Etcétera …

                        Lista de puertos normalizados: http://www.iana.org/assignments/port-numbers

                        Para disminuir el volumen de reglas va bien emplear alias. Así podríamos definir un alias llamado internetTCP con todos los puertos TCP autorizados y otro llamado internetUDP con todos los puertos UDP autorizados. De esta manera sólo habrían tres reglas en LAN:

                        TCP * * 127.0.0.1 * * FTP Proxy Helper 
                        TCP * * * internetTCP * *
                        UDP * * * internetUDP * *

                        Véase http://www.bellera.cat/josep/pfsense/cabal_cs.html#altra (aunque ya es un poco "viejo" el tutorial, sigue siendo más o menos lo mismo).

                        Saludos,

                        Josep Pujadas

                        1 Reply Last reply Reply Quote 0
                        • M
                          moiskey
                          last edited by

                          Impresionante muchas gracias pero tuve unos problemas (creo q mínimos)
                          Tuve problemas con MSN no conecta y algunos juegos online a q se puedo haber producido
                          Y otra consulta como hacer todo lo contrario me refiero cuales serán exactamente los puertos p2p y en definitiva el ares solo quiero serrar el  :(ares >:(
                          Muchas gracias eres un master ya e tenido un avance gracias

                          1 Reply Last reply Reply Quote 0
                          • belleraB
                            bellera
                            last edited by

                            ¡Hola de nuevo!

                            De nada … ¡Me alegro de que estés funcionando!

                            Bueno, Messenger no deja de ser un P2P ...

                            Tendrías que autorizar todo lo que pone en:

                            http://support.microsoft.com/kb/927847
                            http://support.microsoft.com/kb/960820

                            Como verás, eso equivale prácticamente a dejar abierto el cortafuegos para todo, debido a los puertos dinámicos de destino. Es un problema similar al de FTP pero en el caso de FTP el cortafuegos lo tiene previsto con el FTP Proxy Helper.

                            Quizás la solución que te irá mejor es la de poner todo el rango de IPs de Microsoft en un alias:

                            207.46.0.0/16
                            64.4.0.0/18
                            65.52.0.0/14

                            y hacer una regla que sea:

                            TCP * * microsoft * * * No limitar accesos a Microsoft
                            UDP * * microsoft * * * No limitar accesos a Microsoft

                            Esto no será seguramente suficiente para que funcionen todas las prestaciones de Messenger. Hay puertos dinámicos que se emplean entre los dos clientes, sin pasar por las IPs de Microsoft. Si haces un Search en este forum con la palabra Messenger encontrarás hilos como este, http://forum.pfsense.org/index.php/topic,7848.0.html

                            Más información, por si la necesitaras:

                            http://support.microsoft.com/search/default.aspx?mode=r&query=messenger+ports+firewall&spid=global&catalog=LCID%3D1033&1033comm=1&res=20

                            En cuanto a los juegos tienes que mirar en la web de cada juego el apartado dedicado a firewalls. Ahí dicen qué puertos hay que tener autorizados.

                            Saludos,

                            Josep Pujadas

                            1 Reply Last reply Reply Quote 0
                            • M
                              moiskey
                              last edited by

                              Nuevamente muchas gracias es un master
                              Bueno en fin tiene toda la razón sobre los puertos de MSN puff son un problema tenia q ser Microsoft ??? jjijijij
                              Aun así mirando mas al fondo prácticamente pide todos los puertos abiertos es un problema pero como serrar los puerto de este programa (ares) solo serrar los puertos q usa este programa y dejar los demás abierto
                              Muchas gracias señor ballera  ;D ;D ;Dserá mi próximo santo religioso

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.