Traffic Shaper–---> Layer7



  • Hola a todos.

    Actualmente estoy aprendiendo layer 7 para bloquear por ejemplo protocolos como gtalk, jabber y msnmessenger. Aplico la accion bloquear y luego creo una regla en la lan que este antes que todas las otras reglas que tengo, pero no me funciona, ya que el chat de gmail sigue funcionando asi como el whatsapp que tengo instalado en una Blackberry, pero que me conecto por wifi.
    He realizado todos los pasos que he visto en internet, pero asi todo no me funciona.
    Se requiere instalar algun paquete adicional o crear algun alias en el firewall?

    Saludos.


  • Rebel Alliance



  • Gracias ptt, pero eran esas paginas las que mencionaba que ya habia visto en internet.
    volvere a repasar las configuraciones, puede que algo se me halla pasado.

    saludos y gracias.

    @ptt:

    Revisa estos Hilos  ;)

    http://forum.pfsense.org/index.php/topic,37208.0.html

    http://forum.pfsense.org/index.php/topic,48534.0.html

    http://forum.pfsense.org/index.php/topic,45381.0.html


  • Rebel Alliance

    Por favor, adjunta captura de pantalla de las Reglas de FW

    Si los "L7 containers" estan Bien, debe haber algo en las reglas de firewall

    Un detalle, la regla de LAN, que hace referencia al "L7 container" NO es una regla "Block" es una regla "Pass"

    O sea, hablando mal y pronto, haces un "Pass" hacia el "L7 container" que hace el "Block" ;)



  • Ahi te adjunto las reglas que tengo.
    Te comenta que al final deniego todo, es decir tengo abierto los puertos necesarios.

    @ptt:

    Por favor, adjunta captura de pantalla de las Reglas de FW

    Si los "L7 containers" estan Bien, debe haber algo en las reglas de firewall

    Un detalle, la regla de LAN, que hace referencia al "L7 container" NO es una regla "Block" es una regla "Pass"

    O sea, hablando mal y pronto, haces un "Pass" hacia el "L7 container" que hace el "Block" ;)

    ![regla firewall.JPG](/public/imported_attachments/1/regla firewall.JPG)
    ![regla firewall.JPG_thumb](/public/imported_attachments/1/regla firewall.JPG_thumb)



  • hgarcia, en la politica del firewall no estas bloquendo todo (o nada), en la 2da. linea solo permites protocolos tcp/udp, pero todos los  puertos los permites !!!!,  checate este link creo te ayudara, suerte  http://www.internetmania.net/int0/int133.htm

    quote author=hgarcia link=topic=61241.msg330175#msg330175 date=1366213911]
    Ahi te adjunto las reglas que tengo.

    Te comenta que al final deniego todo, es decir tengo abierto los puertos necesarios.

    @ptt:

    Por favor, adjunta captura de pantalla de las Reglas de FW

    Si los "L7 containers" estan Bien, debe haber algo en las reglas de firewall

    Un detalle, la regla de LAN, que hace referencia al "L7 container" NO es una regla "Block" es una regla "Pass"

    O sea, hablando mal y pronto, haces un "Pass" hacia el "L7 container" que hace el "Block" ;)



  • Pero la regla no me acepta bloquear, solo de paso y despues cuando se junto con layer 7 debe bloquear, no es esa la logica de funcionamiento. Respecto a la regla de bloqueo en el firewall al final tengo bloqueado todo y tengo abierto los puertos necesarios en mi LAN (Adjunto imagen de las reglas del firewall, ademas de la configuracion en layer7)

    Como debe ser entonces para bloquer los puertos???….....no entiendo.

    Saludos.

    @c_setup:

    hgarcia, en la politica del firewall no estas bloquendo todo (o nada), en la 2da. linea solo permites protocolos tcp/udp, pero todos los  puertos los permites !!!!,  checate este link creo te ayudara, suerte  http://www.internetmania.net/int0/int133.htm

    quote author=hgarcia link=topic=61241.msg330175#msg330175 date=1366213911]
    Ahi te adjunto las reglas que tengo.

    Te comenta que al final deniego todo, es decir tengo abierto los puertos necesarios.

    @ptt:

    Por favor, adjunta captura de pantalla de las Reglas de FW

    Si los "L7 containers" estan Bien, debe haber algo en las reglas de firewall

    Un detalle, la regla de LAN, que hace referencia al "L7 container" NO es una regla "Block" es una regla "Pass"

    O sea, hablando mal y pronto, haces un "Pass" hacia el "L7 container" que hace el "Block" ;)

    ![bloqueo total firewalll.JPG](/public/imported_attachments/1/bloqueo total firewalll.JPG)
    ![bloqueo total firewalll.JPG_thumb](/public/imported_attachments/1/bloqueo total firewalll.JPG_thumb)


    ![vido block.JPG](/public/imported_attachments/1/vido block.JPG)
    ![vido block.JPG_thumb](/public/imported_attachments/1/vido block.JPG_thumb)


  • Rebel Alliance

    En la Regla "wattsap" de tu 3º post, puerto de destino 5222, por lo tanto esa regla SOLO aplica al trafico con ese puerto de destino…. No sería mejor dejar el puerto de destino en ANY ( * ), ya que tienes el "L7 container" que aplica al tipo de trafico que deseas bloquear ?

    Tambien podrias (en las 2 reglas ) probar con el GW en "Default" ( * ) en lugar de WANGW

    Actualmente NO puedo realizar pruebas, ya que el pfSense lo tengo prestando servicio, y a los Clientes no les gustará que me ponga a experimentar.....  :P

    En su momento, cuando realicé las pruebas de Bloqueo de "Http Video" mediante L7, funcionó correctamente....



  • que version de pfsense tienes?



  • Ok, probare y comento.

    Mi version es 2.0.1-RELEASE  (i386).

    Saludos.

    @ptt:

    En la Regla "wattsap" de tu 3º post, puerto de destino 5222, por lo tanto esa regla SOLO aplica al trafico con ese puerto de destino…. No sería mejor dejar el puerto de destino en ANY ( * ), ya que tienes el "L7 container" que aplica al tipo de trafico que deseas bloquear ?

    Tambien podrias (en las 2 reglas ) probar con el GW en "Default" ( * ) en lugar de WANGW

    Actualmente NO puedo realizar pruebas, ya que el pfSense lo tengo prestando servicio, y a los Clientes no les gustará que me ponga a experimentar.....  :P

    En su momento, cuando realicé las pruebas de Bloqueo de "Http Video" mediante L7, funcionó correctamente....


Log in to reply