Como Bloquear ares, bit torrent
-
Pensad que la 2.0 de pfSense tiene Layer 7 (filtros a nivel de aplicación):
[Firewall] [Traffic Shaper] [Layer 7]
http://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7
He usado estas reglas en mi pfsense 2.0.1
UDP * * * 53 * Resolucion DNS
TCP * * * 80 * Navegacion http
TCP * * * 443 * Navegacion https
UDP * * * 123 * Sincronizacion relojesy todos los p2p no funcionan, realmente es muy efectiva. Pero mi pregunta es, si me decido a usar layer7 para premitir un p2p minimo o sea bien controlado, tengo que deshabilitar estas reglas?? y como tendria que configurar el layer7? Muchas Gracias.
-
Layer 7 se aplica como una opción avanzada de una regla.
Por tanto, si pusieras una regla que permite todo, en las opciones avanzades pondrías la Layer 7 deseada.
-
El DNS trabaja con los protocolo UDP y TCP. para que realizen la modificacion.
saludos -
dementekuatiko,
Tienes razón. DNS es normalmente UDP 53 y hay servidores DNS que también operan por TCP.
Seguramente los equipos de yerba deben estar en DHCP con lo que entonces se toma como DNS local al propio pfSense, que a su vez recurre a los externos que tenga configurados.
Es por eso que le debe funcionar sin haber indicado TCP/UDP.
No me percaté de ello…
Saludos,
Josep Pujadas Jubany
-
Lo del puerto 80 imagino que se referirá a que ares pueda aceptar conexiones por ese puerto, porque si es con las conexiones de salida, entonces esta chunga la cosa… otra cosa seria analizar los protocolos, para eso utiliza layer7, pero si usan ofuscacion creo que tampoco puede bloquearla.
Lo mejor que puedes hacer, ademas de todo lo de arriba (bloquear puertos comunes y usar layer7), es prohibir el uso de estas aplicaciones en los equipos. En windows se pueden establecer reglas para bloquear la ejecucion de ejecutables. No es fiable al 100% pero bastara para la mayoria de usuarios. Si ademas usas windows 7, estas restriccciones funcionan mucho mejor (en xp se basa simplemente en el nombre del ficchero).
Incluso se me ocurre que instales alguna utilidad que bloquee la ejecucion de cualquier cosa que este dentro de una carpeta determinada, o incluso modificar los permisos de dichas carpetas (donde suele instalarse emule, ares, etc) con algun sccript para prohibir su acceso o ejecucion (en el arranque de la maquina por ejemplo).
-
dementekuatiko,
Tienes razón. DNS es normalmente UDP 53 y hay servidores DNS que también operan por TCP.
Seguramente los equipos de yerba deben estar en DHCP con lo que entonces se toma como DNS local al propio pfSense, que a su vez recurre a los externos que tenga configurados.
Es por eso que le debe funcionar sin haber indicado TCP/UDP.
No me percaté de ello…
Saludos,
Josep Pujadas Jubany
si es verdad lo tengo como DHCP, primero no puse la regla del DNS y no navegaba, pero luego le agregue UDP 53 y con eso funciono. No use TCP/UDP.
