Помогите заблокировать торренты



  • Добрый день, помогите заблокировать торренты при помощи Layer-7



  • Надобавлял в L7 bittorent tor gnutella edonkey fastrack и еще чего-то знакомого. Все равно просачивается. Лимитировать наверное проще…



  • Порты TCP\UDP с 1024 по 65535 закройте на LAN в fw.
    Или же разрешите только то, что вам конкретно надо - остальное будет закрыто и так.



  • А можно примеры фаервола и ната?…



  • @NetWiz:

    А можно примеры фаервола и ната?…




  • 2 dr.gopher

    Последнее правило - лишнее. Pfsense и так блокирует все, что явно не разрешено.
    В предпоследнем правиле разрешить только UDP на 123-ий порт - http://ru.wikipedia.org/wiki/NTP . А лучше -  включить NTP-сервер на самом Pfsense и отдавать его адрес клиентам в кач-ве сервера времени, чтоб лишнюю "дырку" прикрыть.



  • @werter:

    2 dr.gopher
    Последнее правило - лишнее. Pfsense и так блокирует все, что явно не разрешено.

    Пример перестраховки :-)

    @werter:

    2 dr.gopher
    В предпоследнем правиле разрешить только UDP на 123-ий порт - http://ru.wikipedia.org/wiki/NTP .

    Неправильный пример! TCP 123 не нужно открывать.
    werter - ну уж очень вы суровы к моему скрину. :-)



  • Ну настраивать так настраивать! ;D



  • А у меня такой вот вопрос. Две сетки идут в инет. Прописан nat вручную. Почему приходится писать правила фаервола на самих сетках, чтобы трафик не ходил через pfsense между сетями?



  • Можете на каждой из сеток написать разрешающие правила, чтобы они только в интернет ходили и не были бы доступны друг другу. Все остальное будте заблокировано по-дефолту. Это если вам не нравится писать запрещающие правила  ;D



  • Вот такие правила остановят торренты? Второе правило по-умолчанию, оно зачем?




  • Статья немножко не к теме, пример того как блокируют на Mikrotike http://www.amirz.com/how-to-block-torrent-using-layer-7-protocol-on-mikrotik/ 
    на Pfsense с помощью Layer7 создай в нем правла (action) для блокировки (block) P2P трафика http://l7-filter.sourceforge.net/protocols
    В правилах интефейса укажи в Layer7 название созданного парвила.
    И еще одна статья, как блокировать в Pfsense с помощью Layer7 ->  http://small-town-nobody.blogspot.ru/2012/05/pfsense.html, для этого возможно и потребуется статья о Mikrotike.



  • Вообще-то блокировать через L7 было мое предложение :)

    По сути вопроса. Не открыв порты, торрент не запускается. Нашел свою ошибку: указал DNS как TCP. Обнаружив кучу заблокированных соединений в diag_logs_filter.php изменил.

    Планирую сделать так. Отловить торренты и засунуть их в отдельный шейп. Его же разрешить в ночное время, когда у моего опсоса случается анлим. И людям хорошо, и провайдеру неплохо.



  • @anzak84:

    Статья немножко не к теме, пример того как блокируют на Mikrotike http://www.amirz.com/how-to-block-torrent-using-layer-7-protocol-on-mikrotik/ 
    на Pfsense с помощью Layer7 создай в нем правла (action) для блокировки (block) P2P трафика http://l7-filter.sourceforge.net/protocols
    В правилах интефейса укажи в Layer7 название созданного парвила.
    И еще одна статья, как блокировать в Pfsense с помощью Layer7 ->  http://small-town-nobody.blogspot.ru/2012/05/pfsense.html, для этого возможно и потребуется статья о Mikrotike.

    Положи файл block_torrent в /usr/local/share/protocols и создай правило. Работает!
    Файл: nano block_torrent.pat

    Protocol name

    block_torrent

    Pattern

    ^.(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits).$



  • Указанное плавило блокирует всего лишь от похода по сайтам с торрентами. Если запустить скачанный .torrent файл, то он отработает как надо. Если открыты порты, разумеется.



  • @NetWiz:

    Указанное плавило блокирует всего лишь от похода по сайтам с торрентами. Если запустить скачанный .torrent файл, то он отработает как надо. Если открыты порты, разумеется.

    На любой сайт разрешен выход,  это правило не блокирует серфинг по торрент сайтам, скачивание файла трекера можно скачать. Вот сама закачка через торрент-клиент уже невозможна. У меня так работает



  • Вот тут уже почти год как бьются, без особого успеха. http://forum.mikrotik.com/viewtopic.php?t=73462

    По сути вопроса. Разрешил только нужные порты. Остальное просто по умолчанию закрыто, точнее открывается по расписанию. Скайп, кстати, тоже не только 80 и 443 порты пользует. Очень четко определяется во время видеовызова, что сработало правило. Закачка торрентов у меня стартует по рассписанию, блокировка портов помогала неоднократно. Было дело, забывал поставить "использовать рассписание" и добавленный торрент пытался выползти через закрытые порты.