Filtrage P2P



  • Bonjour à tous,

    J'utilise Pfsense comme firewall devant une archi virtualisée. J'ai aujourd'hui voulu tester le filtrage de niveau 7 en bloquant tout ce qui est P2P vers l'IP d'une VM…
    J'ai donc installé rtorrent sur cette VM, pris un bon gros torrent des deux DVD d'install de Centos6.2, mis en place la rêgle, et essayé de télécharger.

    Et la le téléchargement fonctionne tout de même... Afin de voir si le traffic P2P est bien détecté j'ai coché momentanément la case "Log packets that are handled by this rule ". Suite à ça, un petit tour dans le log m'a montré une page pleine d’occurrence de cette IP.

    Verdict ? le traffic est bien repéré, mais pas bloqué... Et pourtant, j'ai fait tout ce qu'il me semble possible pour le bloquer...
    Ci dessous quelques screen :

    La rêgle :

    Le groupe de rêgles L7 :

    Merci d'avance à tous pour votre aide !
    Fred



  • Salut à tous,

    Vu que mon sujet ne reçois pas de réponse, mais a été lu un certain nombre de fois, je déduis que personne n'a rencontré ce problème. Me conseillez-vous de poster celui-ci dans la partie anglophone ?

    Merci d'avance ,
    Fred



  • Le fait de cocher la case log, ne fait que montrer les flux correspondant à la règle.

    J'ai constaté dans la 2.0/2.0.1 que le moteur L7  ne démarrait pas sur toutes les config. Je pense que le problème vient de la.



  • bonjour,

    j'ai le même problème avec le L7 pour le bittorrent. par contre avec les autres protocoles sa semble bien marcher.



  • @Juve:

    Le fait de cocher la case log, ne fait que montrer les flux correspondant à la règle.

    J'ai constaté dans la 2.0/2.0.1 que le moteur L7  ne démarrait pas sur toutes les config. Je pense que le problème vient de la.

    Bonjour,

    Y a -il une solution pour démarrer ce moteur manuellement ?

    J'ai essayé de bloquer le torrent avec Snort, mais lui ne voit rien du tout !
    J'ai pourtant tout essayé : avec une interface, avec les deux, avec ou sans préprocesseur, avec ou sans Barnyard2, en sélectionnant les règles qui m'intéressent ou en sélectionnant tout… Il y a pourtant des détections intéressantes, comme la détection de communication avec le tracker, comme le scrape...

    Interface :

    Config générale :

    Règles P2P :

    Règles emerging P2P :

    Ce qui est détecté :

    Avec snort, et le filtrage l7 activé, je ne fais que consommer du CPU, et les torrents passent comme s'il n'y avait pas de filtrage. C'est vraiment dommage, car c'est à mes yeux assez important. Que ça soit dans une utilisation personnelle, ou une utilisation professionnelle, il est toujours très intéressant de pouvoir bloquer ce genre de trafic qui n'est pas utile, et met à genoux nos lignes…

    Notez tout de même que les test ont été effectués sur une version en développement : Comme le L7 ne fonctionnais pas en version stable, je suis passé en "développement snapshot". Aucune différence n'est remarquée.
    Snort fonctionne-il au moins sur les versions stables ?

    Merci pour vous retours  :)



  • Salut à tous,

    Je me permet de faire un petit up, histoire de voir si certains d'entre-vous ont des nouvelles sur le sujet !

    A bientôt!
    Fred



  • Dans la première capture d'écran, moi j'aurais pas laissé à PASS…


Locked