Ayuda p2p

moiskey

Hola a todos (internacionalmente)
Necesito toda su ayuda a los expertos en pfsense
Bueno mi problema es el siguiente
Dentro de mi red están conectados más de 15 equipos por red y wifi (ap) y tengo el problema de los p2p para ser mas preciso a los torrent y el ares
Se q se a discutido mucho este tema pero no logro entender y solucionar pero lo q realmente quiero es bloquear al 100% los p2p pero no a todos
Y la otra duda q e leído son sobre los alias ¿Cómo se crean?
Bueno para muchos estos problemas son censillos pero para mi se esta transformando un calvario ya q el p2p se esta comiendo toda la red e infectado  ???(por lo descargado)
Ante mano muchas gracias y tener una solución

EMY

Tienes que crear unas reglas de control. Si ejecutas Traffic Shaper tiene un asistente que te lo hace todo

Saludos…

moiskey

Muchas gracias por tu respuesta
Pero el Traffic Shaper me afecta a todos los usuarios y no quiero eso ya q yo uso torrent y otros PC q lo usan adecuadamente
E aprendido a crear alias pero estoy en la duda q aser aun ya q salen 3 alternativas (host-networt-port)
Aun así a mi cliente están con IP estática o fija desde el dhcp ;)
Y mi otra duda es como cerrar todos los puertos y abrir después los necesarios
                        ;D Muchas gracias ;D

ipnet

Estimado, lo que buscas podrías implementarlo con un server Linux, corriendo un Squid (para controlar puertos, accesos por IP, contenidos, etc.) y HTB-Gen (para el control del ancho de banda) dispuesto entre tu red LAN y en PFSense.

Yo tengo andando uno (no en producción todavía) y complementa muy bien al PFSense. Me resta resolver un tema de DNS o Cache, aún no lo se muy bien, que hace que tenga que esperar unos 10 segundos antes de que cargue una URL.

Saludos.

moiskey

Ufff me lo as complicado aun mas
El pfsense q tengo esta instalado en un disco duro desde CD
Solo quiero cerrar todos los puertos y Luego abrir los necesarios

EMY

A menos que tengas una regla para abrir los puertos, están todos cerrados.

Despues tienes dos opciones, abrir TODO o abrir los que querias que creo es tu caso,ejemplo:

RULES
Action: Pass
Interface: WAN
Protocol: TCP
Source: Type: any
Source OS: any
Destination: Type: any
Destination port range:
    from: El puerto que quieras
    to: El mismo puerto u otro si quieres se abran todos los que queden en medio

y lo mismo deberias hacer para Interface LAN

moiskey

Muchas gracias por tu ayuda
Bueno mandare una imagen para mejor orientación esta imagen es como esta en este momento la configuración WAN y LAN
Otra duda en la sección de rules en wan no hay nada entonces no debería navegar y e tratado de cerrar todos los puertos desde 1 al 65535 como mi PC de canijillo
Pero sigue navegando y descargando como si no existiera o debo hacerlo también en LAN

EMY

Con esto estás habilitando TODO en la parte LAN. Si quieres tener cerrado los puertos debes borrar esa linea y habilitar los que quieres, ojo con el 80 de http no sea te de problemas.

Respecto a las descargas te comenté debes habilitar Traffic Shaper si quieres controlar las descargas. Yo lo tengo asi y perfecto, las tengo en 512Kb y de ahí no pasan.

Saludos…

PD: Te recomiendo tener TODO habilitado (hacer lo mismo que tienes en LAN en la parte WAN) y tener activado Traffic Shaper. Asi lo tengo yo con 150 clientes y perfecto, no se cuela nada de momento y los P2P clavados en 512Kb. Aún así si haces un test de puertos te dan cerrados. Si te fijas tengo un hilo abierto con este tema de los puertos.

moiskey

Este es mi gran problema ???
El Traffic Shaper afecta a todo los usuarios incluyendo lo q necesito :o es bloquear solo bloquear el p2p o mejor dicho solo q tengan acceso a ciertos puertos y bloquear todo tipo p2p y otras cosas
Por ejemplo q tenga solamente acceso a lo siguiente

• acceso web (http, https)
• acceso ftp (ftp, ftp-data, sftp)
• acceso terminal (telnet, ssh, remote desktop)
• acceso email (smtp, pop3, imap, pop3s, imaps, smtps)

bellera

¡Hola!

Fácil es y se ha hablado muchas veces … Lo resumo ... Insistir es bueno ...

Sin Traffic Shaper, para cortar todo lo que no sea "normal".

En LAN sólo debe haber reglas que autoricen el tráfico deseado:

• acceso web (http, https)

TCP * * * 80 * * HTTP
TCP * * * 443 * * HTTPS
TCP * * * 8000-8100 * * HTTP alternativos
TCP * * * 53 * *  DNS por TCP
UDP * * * 53 * * DNS por TCP
UDP * * * 123 * *  NTP

• acceso ftp (ftp, ftp-data, sftp)

Caso complicado. Asegurarse de tener en LAN funcionando.
SFTP es SSH, no le afectan estas reglas.
TCP * * 127.0.0.1 * * FTP Proxy Helper 
TCP * * * 21 * * FTP

• acceso terminal (telnet, ssh, remote desktop)

TCP * * * 23 * * Telnet
TCP * * * 22 * * SSH
TCP * * * 3389 * * RDP

• acceso email (smtp, pop3, imap, pop3s, imaps, smtps)

TCP * * * 25 * * SMTP y SMTPS
TCP * * * 110 * * POP3
TCP * * * 995 * * POP3S

Etcétera …

Lista de puertos normalizados: http://www.iana.org/assignments/port-numbers

Para disminuir el volumen de reglas va bien emplear alias. Así podríamos definir un alias llamado internetTCP con todos los puertos TCP autorizados y otro llamado internetUDP con todos los puertos UDP autorizados. De esta manera sólo habrían tres reglas en LAN:

TCP * * 127.0.0.1 * * FTP Proxy Helper 
TCP * * * internetTCP * *
UDP * * * internetUDP * *

Véase http://www.bellera.cat/josep/pfsense/cabal_cs.html#altra (aunque ya es un poco "viejo" el tutorial, sigue siendo más o menos lo mismo).

Saludos,

Josep Pujadas

moiskey

Impresionante muchas gracias pero tuve unos problemas (creo q mínimos)
Tuve problemas con MSN no conecta y algunos juegos online a q se puedo haber producido
Y otra consulta como hacer todo lo contrario me refiero cuales serán exactamente los puertos p2p y en definitiva el ares solo quiero serrar el  :(ares >:(
Muchas gracias eres un master ya e tenido un avance gracias

bellera

¡Hola de nuevo!

De nada … ¡Me alegro de que estés funcionando!

Bueno, Messenger no deja de ser un P2P ...

Tendrías que autorizar todo lo que pone en:

http://support.microsoft.com/kb/927847
http://support.microsoft.com/kb/960820

Como verás, eso equivale prácticamente a dejar abierto el cortafuegos para todo, debido a los puertos dinámicos de destino. Es un problema similar al de FTP pero en el caso de FTP el cortafuegos lo tiene previsto con el FTP Proxy Helper.

Quizás la solución que te irá mejor es la de poner todo el rango de IPs de Microsoft en un alias:

207.46.0.0/16
64.4.0.0/18
65.52.0.0/14

y hacer una regla que sea:

TCP * * microsoft * * * No limitar accesos a Microsoft
UDP * * microsoft * * * No limitar accesos a Microsoft

Esto no será seguramente suficiente para que funcionen todas las prestaciones de Messenger. Hay puertos dinámicos que se emplean entre los dos clientes, sin pasar por las IPs de Microsoft. Si haces un Search en este forum con la palabra Messenger encontrarás hilos como este, http://forum.pfsense.org/index.php/topic,7848.0.html

Más información, por si la necesitaras:

http://support.microsoft.com/search/default.aspx?mode=r&query=messenger+ports+firewall&spid=global&catalog=LCID%3D1033&1033comm=1&res=20

En cuanto a los juegos tienes que mirar en la web de cada juego el apartado dedicado a firewalls. Ahí dicen qué puertos hay que tener autorizados.

Saludos,

Josep Pujadas

moiskey

Nuevamente muchas gracias es un master
Bueno en fin tiene toda la razón sobre los puertos de MSN puff son un problema tenia q ser Microsoft ??? jjijijij
Aun así mirando mas al fondo prácticamente pide todos los puertos abiertos es un problema pero como serrar los puerto de este programa (ares) solo serrar los puertos q usa este programa y dejar los demás abierto
Muchas gracias señor ballera  ;D ;D ;Dserá mi próximo santo religioso