Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    как заблокировать transmission (p2p)

    Scheduled Pinned Locked Moved Russian
    21 Posts 6 Posters 5.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bill_open
      last edited by

      pfsense2.1.2. Создаю правило в floating для всех или для alias, в layer7 выставляю p2p. В итоге блокируется только программы bittorent и utorrent, трафик с программ zona и transmission проходит. Как быть?

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Создайте правила на основе портов, а не на L7.
        TCP\UDP с 1024 по 65535.

        1 Reply Last reply Reply Quote 0
        • B
          bill_open
          last edited by

          :-\ самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск! Научить layer7, а именно p2p сигнатуры определять трафик transmission можно? Или есть альтернативные варианты?

          1 Reply Last reply Reply Quote 0
          • B
            bill_open
            last edited by

            Ну ребят, подскажите) вопрос щепятильный.
            Нашел недавнию тему, в ней Anzak84 писал что можно самому написать сигнатуру типа:

            
            Положи файл block_torrent в /usr/local/share/protocols и создай правило. Работает!
            Файл: nano block_torrent.pat
            
            # Protocol name
            block_torrent
            # Pattern
            ^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits).*$
            
            

            Но я не совсем понимаю, что именно он блокируют, то ли за ведома указанный трафик данных вендоров, толи запросы с данными словами.

            1 Reply Last reply Reply Quote 0
            • D
              dvserg
              last edited by

              В pfsense есть некий системный файлик в котором содержатся поддерживаемые сигнатуры. Думаю его можно найти и дополнить своими данными. Но для этого необходимо иметь нужные сигнатуры. Возможно их знает гугл.

              ЗЫ Файлик не помню уже где, но был 100%

              SquidGuardDoc EN  RU Tutorial
              Localization ru_PFSense

              1 Reply Last reply Reply Quote 0
              • B
                bill_open
                last edited by

                обязательно отпишусь о своих поисках и дальнейших наработках. Если есть еще мнения, делитесь.

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск!

                  Мой вам совет - используйте WebDAV с Я.Диском  - задействуется всего один порт - 443\TCP. Плюс легко мапится как сетевой диск в Win.
                  Далее , p2p активно использует UDP-протокол - большинство web-сервисов - TCP (даже на нестандартных портах).

                  Я не думаю, что вы используете 100500 ресурсов, для к-тых нет возможности чуть подумать и вручную написать необходимые правила в fw. Остальное же просто не открывать.

                  Так что мой вариант далеко не самый худший. Если подумать, конечно.

                  1 Reply Last reply Reply Quote 0
                  • P
                    pigbrother
                    last edited by

                    @bill_open:

                    Ну ребят, подскажите) вопрос щепятильный.
                    Нашел недавнию тему, в ней Anzak84 писал что можно самому написать сигнатуру типа:

                    
                    Положи файл block_torrent в /usr/local/share/protocols и создай правило. Работает!
                    Файл: nano block_torrent.pat
                    
                    # Protocol name
                    block_torrent
                    # Pattern
                    ^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits).*$
                    
                    

                    Но я не совсем понимаю, что именно он блокируют, то ли за ведома указанный трафик данных вендоров, толи запросы с данными словами.

                    Этот pattern-файл - сигнатуры зарубежных торрент-трекеров, При желании его можно дополнить нужными трекерами.  При его задействовании торрент-клиенты не смогут работать только с перечисленными трекерами. Однако в битторрент есть возможность работать (читай - скачивать) напрямую с пирами. Например - так:

                    http://ru.wikipedia.org/wiki/%D0%A0%D0%B0%D1%81%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D1%91%D0%BD%D0%BD%D0%B0%D1%8F_%D1%85%D0%B5%D1%88-%D1%82%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0
                    То есть задействование этого паттерна практически никак не повлияет на собственно торрент-трафик вашей сети а лишь усложнит пользователям  скачивание файлов .torrent с заблокированных трекеров.

                    Но они быстро освоят magnet-ссылки.
                    http://youpk.ru/magnet-ssylki/

                    1 Reply Last reply Reply Quote 0
                    • w0wW
                      w0w
                      last edited by

                      А конечная цель блокировать или разгрузить канал? Если последнее то альтернатива - в виде настройки шейпера на приоритизацию только НУЖНОГО траффика, а весь остальной гнать в очередь, сделать её большой, если памяти хватает.

                      1 Reply Last reply Reply Quote 0
                      • B
                        bill_open
                        last edited by

                        @w0w:

                        А конечная цель блокировать или разгрузить канал? Если последнее то альтернатива - в виде настройки шейпера на приоритизацию только НУЖНОГО траффика, а весь остальной гнать в очередь, сделать её большой, если памяти хватает.

                        Очереди с приоритизацией настроил сразу, замечательная вещь.  Требуется заблокировать p2p. Сейчас изучаю вариант с анализом трафика(подозрения…зря). Скорее всего буду блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.
                        p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.

                          Вы про магнет-ссылки слышали ? При этом никакого торрент-файла не загружается.
                          Пример ресурса поиска по DHT и скачивания по магнет - http://btdigg.org/

                          1 Reply Last reply Reply Quote 0
                          • B
                            bill_open
                            last edited by

                            @werter:

                            самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск!

                            Мой вам совет - используйте WebDAV с Я.Диском  - задействуется всего один порт - 443\TCP. Плюс легко мапится как сетевой диск в Win.
                            Далее , p2p активно использует UDP-протокол - большинство web-сервисов - TCP (даже на нестандартных портах).

                            Я не думаю, что вы используете 100500 ресурсов, для к-тых нет возможности чуть подумать и вручную написать необходимые правила в fw. Остальное же просто не открывать.

                            Так что мой вариант далеко не самый худший. Если подумать, конечно.

                            Я понимаю вас и согласился бы имея схему сети на 2-5пк, но пару моментов.
                            Во первых: Так и получится 100500, посчитать минимум, на орг ~500пк. исключить все не получится, полюбому, ибо динамические порты используют очень много сервисов и программ, то что я привел пример с яндексом, это не панацея, многочисленные программы контрагентов(клиент банки, сервисы для организации доступа того или иного, их политики по частой смене портов). Во вторых: Менталитет пользователей, объяснять не буду.

                            1 Reply Last reply Reply Quote 0
                            • B
                              bill_open
                              last edited by

                              @werter:

                              блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.

                              Вы про магнет-ссылки слышали ? При этом никакого торрент-файла не загружается.
                              Пример ресурса поиска по DHT и скачивания по магнет - http://btdigg.org/

                              И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.

                              1 Reply Last reply Reply Quote 0
                              • F
                                fvf
                                last edited by

                                @bill_open:

                                И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.

                                А можно эти порты не дропать, а ограничить по ним скорость?

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dvserg
                                  last edited by

                                  @fvf:

                                  @bill_open:

                                  И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.

                                  А можно эти порты не дропать, а ограничить по ним скорость?

                                  Была тема по ограничению торрентов.
                                  Смысл в том, чтобы загнать весь прочий трафик в медленную очередь, а основному (известные полезные протоколы) предоставить нормальную скорость.
                                  Посмотрите в  FAQ и поиском по русской ветке.

                                  SquidGuardDoc EN  RU Tutorial
                                  Localization ru_PFSense

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by

                                    Смысл в том, чтобы загнать весь прочий трафик в медленную очередь, а основному (известные полезные протоколы) предоставить нормальную скорость.

                                    Это делается с помощью стандартного Shaper Wizard + небольшое допиливание после того, как мастер отработает.
                                    Ну и про Reset States не забываем после изменения правил во Floating rules.

                                    1 Reply Last reply Reply Quote 0
                                    • w0wW
                                      w0w
                                      last edited by

                                      p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense

                                      Вот с этого места поподробнее… неужели этот гейт умеет блокировать р2р траффик, не тупо закрытием известных портов?

                                      1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter
                                        last edited by

                                        http://zyxel.ru/zywall-usg-1000

                                        1 Reply Last reply Reply Quote 0
                                        • B
                                          bill_open
                                          last edited by

                                          @w0w:

                                          p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense

                                          Вот с этого места поподробнее… неужели этот гейт умеет блокировать р2р траффик, не тупо закрытием известных портов?

                                          еще как! Но только при покупки подписки appPatrol, благо стоит она не дорого.

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dvserg
                                            last edited by

                                            AppPatrol рубит по сигнатурам, на сколько я вижу
                                            http://www.manualslib.com/manual/200423/Zyxel-Communications-200-Series.html?page=193
                                            , причем сигнатуры регулярно можно обновлять по подписке.

                                            Хорошая идея для пакета pfSense.

                                            SquidGuardDoc EN  RU Tutorial
                                            Localization ru_PFSense

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.