Pfsense vs TOR browser
-
А тор изначально присутствовал в леере? Что-то я проглядел мимо.
В 2.0.2 tor присутствует.
Попытался на основании этих рекомендаций заблокировать bittorrent.
pfSense отказался сохранять блокирующее правило:
The following input errors were detected:
You can only select a layer7 container for Pass type rules.
-
Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.
-
Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.
Хмм, у меня не блокирует :(
Правило Pass в fw, пытался dns заблочить. Стоит самым первым. Если не трудно - проверьте у себя, пож-та. -
Гугл 1 ссылка с примером
http://small-town-nobody.blogspot.ru/2012/05/pfsense.html -
Правильно написал - вешать контейнеры только на правилах pass. Поведение контейнера задается на рисунке 4-м постом выше. Это как фильтр в фильтре.
В свое время блокировал так соц-сети. Паттерн для них пробегал в форуме.
Именно - повесил Layer 7 на основное правило(pass) доступа Lan в интернет, все работало.
Попробовал счас со встроенным в 2.0.2 паттерном для bittorrent - никакой реакции.Да, именно по ссылке выше.
-
Эээ, я правило не во Floating создавал, а просто на LAN . Это важно ? Может кто-то еще это подтвердить\проверить?
-
Эээ, я правило не во Floating создавал, а просто на LAN . Это важно ? Может кто-то еще это подтвердить\проверить?
Создавал и Floating, и Lan - торренты пролазят все равно.
-
Это всё интересно и познавательно. Но вопрос стоит как средствами ps заблокировать(существенно затруднить) использование браузеров на технологии tor.
Firewall: Traffic Shaper: Layer7 .
Далее создавайте правило в fw с Action: Block , где в Advanced features: Layer7 выбираете ранее созданный L7-фильтр.
И , ес-но, правило должно стоять по списку выше разрешающих .P.s. Если тот паттерн, к-ый исп-ся в пф для определения tor-активности, не сработает, то можно попробовать подгрузить другой - http://l7-filter.sourceforge.net/protocols
В пф он подгружается по ссылке - http://ip-адрес-пфсенсе/diag_patterns.phpЧто-то не действует это правило. TOR браузер загрузился, запретные сайты всё равно открываются.
-
На тестовой машине запускаете Tor, вызываете cmd, вводите команду netstat -abn и смотрите какие порты использует Tor. Закрываете Tor.
Далее, разрешаете в правилах fw доступ только по определеннным портам. Из стандарного набора - это 53 tcp\udp, icmp (ICMP echoreq ?), 80 tcp, 443 tcp, 465 tcp, 995 tcp, 110 tcp, 123 udp (NTP) и специфические для ваших нужд (клиент-банки etc.). После этого, запускаете Tor и проверяете его на работоспособность. -
На тестовой машине запускаете Tor, вызываете cmd, вводите команду netstat -abn и смотрите какие порты использует Tor. Закрываете Tor.
Далее, разрешаете в правилах fw доступ только по определеннным портам. Из стандарного набора - это 53 tcp\udp, icmp (ICMP echoreq ?), 80 tcp, 443 tcp, 465 tcp, 995 tcp, 110 tcp, 123 udp (NTP) и специфические для ваших нужд (клиент-банки etc.). После этого, запускаете Tor и проверяете его на работоспособность.Ну и наблюдаем рабочий Tor т.к для связи он первым делом пробует 80 tcp, 443 tcp, появился у нас один такой умник, не знаю что с ним делать….
Список IP адресов сетей Tor можно получить тут http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csvВ начале пробовал задать обновляемый ACL в squid
########################################
acl TORLIST dst "/var/squid/acl/TorIP.list"
http_access deny TORLIST
acl CTORLIST dst "/var/squid/acl/CTorIP.list" # Custom
http_access deny CTORLIST
########################################В скупе со скриптом
########################################
#!/bin/sh
TOR server list
cd /var/squid/acl
fetch http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv
sort -u Tor_ip_list_ALL.csv > TorIP.list
rm Tor_ip_list_ALL.csv
/opt/qlproxy/bin/restart.sh########################################
Но потом понял что стормозил, squid у меня в режиме transparent, и ни какого трафика кроме как на портах 80, 443 заблокировать через этот ACL не сможет, нужно iptables…
Предлагаю обсудить как автоматизировать этот процесс в скупе с iptables, думаю не мы одни с такой проблемой.
-
Что мешает закрыть все порты кроме 53 и 80+443?
-
Вроде для работы TOR используется клиент+браузер, а если запретить запуск клиента ТОРа с помощью групповых политик?
-
2 Lexus34
Закройте 443\TCP во вне. Разрешайте только избранным из\вне.https://forum.pfsense.org/index.php?topic=73508.0