как заблокировать transmission (p2p)



  • pfsense2.1.2. Создаю правило в floating для всех или для alias, в layer7 выставляю p2p. В итоге блокируется только программы bittorent и utorrent, трафик с программ zona и transmission проходит. Как быть?



  • Создайте правила на основе портов, а не на L7.
    TCP\UDP с 1024 по 65535.



  • :-\ самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск! Научить layer7, а именно p2p сигнатуры определять трафик transmission можно? Или есть альтернативные варианты?



  • Ну ребят, подскажите) вопрос щепятильный.
    Нашел недавнию тему, в ней Anzak84 писал что можно самому написать сигнатуру типа:

    
    Положи файл block_torrent в /usr/local/share/protocols и создай правило. Работает!
    Файл: nano block_torrent.pat
    
    # Protocol name
    block_torrent
    # Pattern
    ^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits).*$
    
    

    Но я не совсем понимаю, что именно он блокируют, то ли за ведома указанный трафик данных вендоров, толи запросы с данными словами.



  • В pfsense есть некий системный файлик в котором содержатся поддерживаемые сигнатуры. Думаю его можно найти и дополнить своими данными. Но для этого необходимо иметь нужные сигнатуры. Возможно их знает гугл.

    ЗЫ Файлик не помню уже где, но был 100%



  • обязательно отпишусь о своих поисках и дальнейших наработках. Если есть еще мнения, делитесь.



  • самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск!

    Мой вам совет - используйте WebDAV с Я.Диском  - задействуется всего один порт - 443\TCP. Плюс легко мапится как сетевой диск в Win.
    Далее , p2p активно использует UDP-протокол - большинство web-сервисов - TCP (даже на нестандартных портах).

    Я не думаю, что вы используете 100500 ресурсов, для к-тых нет возможности чуть подумать и вручную написать необходимые правила в fw. Остальное же просто не открывать.

    Так что мой вариант далеко не самый худший. Если подумать, конечно.



  • @bill_open:

    Ну ребят, подскажите) вопрос щепятильный.
    Нашел недавнию тему, в ней Anzak84 писал что можно самому написать сигнатуру типа:

    
    Положи файл block_torrent в /usr/local/share/protocols и создай правило. Работает!
    Файл: nano block_torrent.pat
    
    # Protocol name
    block_torrent
    # Pattern
    ^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits).*$
    
    

    Но я не совсем понимаю, что именно он блокируют, то ли за ведома указанный трафик данных вендоров, толи запросы с данными словами.

    Этот pattern-файл - сигнатуры зарубежных торрент-трекеров, При желании его можно дополнить нужными трекерами.  При его задействовании торрент-клиенты не смогут работать только с перечисленными трекерами. Однако в битторрент есть возможность работать (читай - скачивать) напрямую с пирами. Например - так:

    http://ru.wikipedia.org/wiki/Распределённая_хеш-таблица
    То есть задействование этого паттерна практически никак не повлияет на собственно торрент-трафик вашей сети а лишь усложнит пользователям  скачивание файлов .torrent с заблокированных трекеров.

    Но они быстро освоят magnet-ссылки.
    http://youpk.ru/magnet-ssylki/



  • А конечная цель блокировать или разгрузить канал? Если последнее то альтернатива - в виде настройки шейпера на приоритизацию только НУЖНОГО траффика, а весь остальной гнать в очередь, сделать её большой, если памяти хватает.



  • @w0w:

    А конечная цель блокировать или разгрузить канал? Если последнее то альтернатива - в виде настройки шейпера на приоритизацию только НУЖНОГО траффика, а весь остальной гнать в очередь, сделать её большой, если памяти хватает.

    Очереди с приоритизацией настроил сразу, замечательная вещь.  Требуется заблокировать p2p. Сейчас изучаю вариант с анализом трафика(подозрения…зря). Скорее всего буду блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.
    p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense



  • блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.

    Вы про магнет-ссылки слышали ? При этом никакого торрент-файла не загружается.
    Пример ресурса поиска по DHT и скачивания по магнет - http://btdigg.org/



  • @werter:

    самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск!

    Мой вам совет - используйте WebDAV с Я.Диском  - задействуется всего один порт - 443\TCP. Плюс легко мапится как сетевой диск в Win.
    Далее , p2p активно использует UDP-протокол - большинство web-сервисов - TCP (даже на нестандартных портах).

    Я не думаю, что вы используете 100500 ресурсов, для к-тых нет возможности чуть подумать и вручную написать необходимые правила в fw. Остальное же просто не открывать.

    Так что мой вариант далеко не самый худший. Если подумать, конечно.

    Я понимаю вас и согласился бы имея схему сети на 2-5пк, но пару моментов.
    Во первых: Так и получится 100500, посчитать минимум, на орг ~500пк. исключить все не получится, полюбому, ибо динамические порты используют очень много сервисов и программ, то что я привел пример с яндексом, это не панацея, многочисленные программы контрагентов(клиент банки, сервисы для организации доступа того или иного, их политики по частой смене портов). Во вторых: Менталитет пользователей, объяснять не буду.



  • @werter:

    блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.

    Вы про магнет-ссылки слышали ? При этом никакого торрент-файла не загружается.
    Пример ресурса поиска по DHT и скачивания по магнет - http://btdigg.org/

    И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.



  • @bill_open:

    И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.

    А можно эти порты не дропать, а ограничить по ним скорость?



  • @fvf:

    @bill_open:

    И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.

    А можно эти порты не дропать, а ограничить по ним скорость?

    Была тема по ограничению торрентов.
    Смысл в том, чтобы загнать весь прочий трафик в медленную очередь, а основному (известные полезные протоколы) предоставить нормальную скорость.
    Посмотрите в  FAQ и поиском по русской ветке.



  • Смысл в том, чтобы загнать весь прочий трафик в медленную очередь, а основному (известные полезные протоколы) предоставить нормальную скорость.

    Это делается с помощью стандартного Shaper Wizard + небольшое допиливание после того, как мастер отработает.
    Ну и про Reset States не забываем после изменения правил во Floating rules.



  • p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense

    Вот с этого места поподробнее… неужели этот гейт умеет блокировать р2р траффик, не тупо закрытием известных портов?





  • @w0w:

    p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense

    Вот с этого места поподробнее… неужели этот гейт умеет блокировать р2р траффик, не тупо закрытием известных портов?

    еще как! Но только при покупки подписки appPatrol, благо стоит она не дорого.



  • AppPatrol рубит по сигнатурам, на сколько я вижу
    http://www.manualslib.com/manual/200423/Zyxel-Communications-200-Series.html?page=193
    , причем сигнатуры регулярно можно обновлять по подписке.

    Хорошая идея для пакета pfSense.



  • ntop кстати с легкостью определяет torrent.